tcpdump는 캡처 대상을 좁혀야 쓸모 있는 기록이 된다
인터페이스, host, port, TCP flag 조건을 정해 필요한 패킷만 저장하면 분석 시간이 줄어든다.
1 iface어디서 볼지 선택eth0, lo, any
2 host상대 IP 제한잡음 줄이기
3 port서비스 포트 제한443, 5432 등
4 flagsSYN/RST/FIN 확인연결 단계 구분
5 writepcap 저장Wireshark 분석
인터페이스, host, port, TCP flag 조건을 정해 필요한 패킷만 저장하면 분석 시간이 줄어든다.