> 네트워크 관리 > tcpdump

tcpdump: 네트워크 트래픽 덤프 및 분석

tcpdump는 네트워크 인터페이스를 통해 송수신되는 TCP/IP 및 기타 패킷을 캡처하고 분석하는 강력한 명령줄 도구입니다. 특정 조건에 맞는 패킷만 필터링하여 실시간으로 표시하거나 파일로 저장하여 나중에 분석할 수 있습니다. 네트워크 문제 진단, 보안 감사, 애플리케이션 디버깅 등 다양한 용도로 활용됩니다.

개요

tcpdump는 네트워크 인터페이스를 모니터링하여 패킷 헤더를 캡처하고 해석합니다. 다양한 필터링 표현식을 사용하여 원하는 트래픽만 선택적으로 볼 수 있으며, 캡처된 데이터를 표준 출력으로 표시하거나 `.pcap` 파일로 저장할 수 있습니다.

주요 기능

  • 네트워크 인터페이스 실시간 모니터링
  • 다양한 프로토콜(TCP, UDP, ICMP 등) 패킷 캡처
  • 강력한 필터링 표현식 지원
  • 캡처된 데이터를 파일로 저장 및 로드
  • 네트워크 문제 진단 및 보안 분석

주요 옵션

tcpdump는 매우 다양한 옵션을 제공하여 캡처 동작, 필터링, 출력 형식을 세밀하게 제어할 수 있습니다.

캡처 제어

출력 형식

필터링 표현식

생성된 명령어:

명령어를 조합해 보세요.

설명:

`tcpdump` 명령어를 실행합니다.

위 옵션들을 조합하여 AI와 함께 가상으로 명령어를 실행해 보세요.

사용 예시

tcpdump의 다양한 활용법을 보여주는 예시입니다. 대부분의 경우 root 권한이 필요합니다.

모든 인터페이스에서 패킷 캡처 (기본)

sudo tcpdump

모든 활성 인터페이스에서 패킷을 캡처하고 실시간으로 출력합니다. `Ctrl+C`로 중지합니다.

특정 인터페이스에서 캡처

sudo tcpdump -i eth0

eth0 인터페이스에서 발생하는 모든 트래픽을 캡처합니다.

특정 호스트의 트래픽 캡처

sudo tcpdump host 192.168.1.100

IP 주소 192.168.1.100과 관련된 모든 트래픽을 캡처합니다.

특정 포트의 TCP 트래픽 캡처

sudo tcpdump tcp port 80

웹 서버(HTTP) 트래픽인 80번 포트의 TCP 패킷만 캡처합니다.

소스 IP 및 목적지 포트 조합 필터링

sudo tcpdump src host 192.168.1.50 and dst port 22

소스 IP가 192.168.1.50이고 목적지 포트가 22(SSH)인 트래픽을 캡처합니다.

캡처된 패킷을 파일로 저장

sudo tcpdump -i eth0 -c 100 -w capture.pcap

eth0 인터페이스에서 캡처된 패킷을 `capture.pcap` 파일에 저장합니다. `-c 100`으로 100개의 패킷만 저장합니다.

저장된 파일에서 패킷 읽기

tcpdump -r capture.pcap

이전에 저장된 `capture.pcap` 파일의 내용을 읽어 출력합니다.

IP 주소와 포트 번호만 표시 (이름 변환 없음)

sudo tcpdump -nn

호스트 이름 및 서비스 이름 변환 없이 IP 주소와 포트 번호만 숫자로 표시하여 빠르게 확인합니다.

설치

tcpdump는 대부분의 Linux 배포판에서 기본적으로 제공되지 않거나, 최소 설치 시 포함되지 않을 수 있습니다. 다음 명령어를 사용하여 설치할 수 있습니다.

Debian/Ubuntu

sudo apt update
sudo apt install tcpdump

APT 패키지 관리자를 사용하여 tcpdump를 설치합니다.

CentOS/RHEL/Fedora

sudo yum install tcpdump  # 또는 dnf install tcpdump

YUM 또는 DNF 패키지 관리자를 사용하여 tcpdump를 설치합니다.

팁 & 주의사항

tcpdump를 효과적으로 사용하기 위한 팁과 주의해야 할 사항들입니다.

권한 문제

네트워크 인터페이스를 캡처하려면 일반적으로 root 권한이 필요합니다. 따라서 대부분의 tcpdump 명령어는 `sudo`와 함께 실행해야 합니다.

  • 항상 `sudo tcpdump ...` 형태로 실행
  • 특정 사용자에게 `CAP_NET_RAW` 권한을 부여하여 `sudo` 없이 실행할 수도 있지만, 보안상 주의 필요

필터링의 중요성

트래픽이 많은 환경에서 필터링 없이 tcpdump를 실행하면 엄청난 양의 데이터가 출력되어 분석이 어렵고 시스템 성능에 영향을 줄 수 있습니다. 항상 필요한 트래픽만 캡처하도록 필터링 표현식을 적극적으로 활용하세요.

  • 불필요한 트래픽은 버리고 필요한 트래픽만 캡처
  • 필터링은 캡처 시작 전에 적용되어야 효율적

파일 저장 및 분석

실시간 분석이 어렵거나 나중에 자세히 분석해야 할 경우, `-w` 옵션을 사용하여 패킷을 `.pcap` 파일로 저장하는 것이 좋습니다. 저장된 파일은 Wireshark와 같은 GUI 도구로 더욱 편리하게 분석할 수 있습니다.

  • 대량의 트래픽은 `-w`로 저장 후 분석
  • Wireshark는 `.pcap` 파일 분석에 최적화된 도구

성능 고려사항

tcpdump는 시스템 리소스를 많이 사용할 수 있습니다. 특히 높은 대역폭 환경에서 전체 패킷을 캡처하거나 복잡한 필터를 사용하면 CPU 및 디스크 I/O에 부하를 줄 수 있습니다.

  • `-s` 옵션으로 캡처할 패킷 길이를 제한하여 리소스 절약
  • `-c` 옵션으로 캡처할 패킷 수를 제한

동일 카테고리 명령어

aria2c

aria2c: 다중 프로토콜 다운로드 관리자

curl

curl -I: HTTP 헤더 정보 확인

curl

curl: HTTP 요청 및 파일 전송 (자동 모드)

curl-verbose

curl-verbose: curl의 상세 통신 정보 출력

dig

dig: DNS 정보 조회