서버의 특정포트로 송수신되는 모든 패킷 전체를 확인하기
작성자 정보
- 관리자 작성
- 작성일
컨텐츠 정보
- 1,173 조회
- 0 추천
-
목록
본문
서버의 특정포트로 송수신되는 모든 패킷 전체를 확인하기
다음은 tcpdump명령어를 이용하여 패킷헤드가 아닌 패킷 전체를 캡쳐해 볼 수 있습니다.
즉, 아래와 같이 tcpdump명령어를 사용하시면 특정 IP주소의 서버로 특정 포트를 이용하는 모든 패킷을 캡쳐하여 특정 파일에 저장할 수 있습니다.
|
[root@command root]# tcpdump -w tcpdump.log -s 1500 tcp port 22 and host 192.168.0.100 tcpdump: listening on eth0 ^C
43 packets received by filter 0 packets dropped by kernel [root@command root]# [root@command root]# ls -l tcpdump.log -rw-r--r-- 1 root root 7675 Mar 1 01:00 tcpdump.log [root@command root]# |
위의 명령어의 의미는 다음과 같습니다.
-w tcpdump.log
결과를 tcpdump.log파일에 저장합니다.
임의로 지정할 수 있습니다.
-s 1500
캡쳐할 패킷의 길이로서 1500은 패킷의 전체길이를 의미하므로 모든 패킷을 캡쳐하게 됩니다.
해당 이더넷의 MTU값이 1500이면 여기서 1500을 지정하면 됩니다.
tcp port 22
캡쳐할 대상 프로토콜과 포트를 지정한 것으로 TCP 포트 22번으로 송수신되는 데이터를 캡쳐하게 됩니다.
host 192.168.0.100
192.168.0.100서버와 송수신되는 데이터를 대상으로 캡쳐합니다.
즉, 결론적으로 이번 명령어의 의미는 현재 로컬서버와 192.168.0.100서버 사이의 통신데이터패킷 중 tcp 22번포트의 모든 패킷을 1500길이로 캡쳐하여 tcpdump.log파일에 저장하는 것입니다.
MTU값이 1500이기 때문에 1패킷의 길이가 1500입니다.
따라서 패킷전체를 캡쳐하게 됩니다.
그리고 다음은 위에서 캡쳐한 tcpdump.log파일의 내용을 ASCII모드로 확인하는 방법입니다.
즉, tcpdump명령어에 -Xqnr옵션을 사용하면 다음과 같은 ASCII모드로 파일의 내용을 확인할 수 있습니다.
|
[root@command root]# tcpdump -Xqnr tcpdump.log
01:00:08.433518 192.168.0.111.32772 > 192.168.0.100.ssh: tcp 0 (DF) 0x0000 4500 003c 3f48 4000 4006 7950 c0a8 006f E..<?H@.@.yP...o 0x0010 c0a8 0064 8004 0016 32cf c65f 0000 0000 ...d....2.._.... 0x0020 a002 16d0 3c73 0000 0204 05b4 0402 080a ....<s.......... 0x0030 003f f917 0000 0000 0103 0300 .?.......... 01:00:08.433674 192.168.0.100.ssh > 192.168.0.111.32772: tcp 0 (DF) 0x0000 4500 003c 0000 4000 4006 b898 c0a8 0064 E..<..@.@......d 0x0010 c0a8 006f 0016 8004 260d 735d 32cf c660 ...o....&.s]2..` 0x0020 a012 16a0 c586 0000 0204 05b4 0402 080a ................ 0x0030 0003 dd9d 003f f917 0103 0300 .....?...... 01:00:08.433726 192.168.0.111.32772 > 192.168.0.100.ssh: tcp 0 (DF) 0x0000 4500 0034 3f49 4000 4006 7957 c0a8 006f E..4?I@.@.yW...o 0x0010 c0a8 0064 8004 0016 32cf c660 260d 735e ...d....2..`&.s^ 0x0020 8010 16d0 f41b 0000 0101 080a 003f f917 .............?.. 0x0030 0003 dd9d .... 01:00:08.436708 192.168.0.100.ssh > 192.168.0.111.32772: tcp 23 (DF) 0x0000 4500 004b aec3 4000 4006 09c6 c0a8 0064 E..K..@.@......d 0x0010 c0a8 006f 0016 8004 260d 735e 32cf c660 ...o....&.s^2..` 0x0020 8018 16a0 875a 0000 0101 080a 0003 dd9d .....Z.......... 0x0030 003f f917 5353 482d 312e 3939 2d4f 7065 .?..SSH-1.99-Ope 0x0040 6e53 5348 5f33 2e35 7031 0a nSSH_3.5p1. 01:00:08.436746 192.168.0.111.32772 > 192.168.0.100.ssh: tcp 0 (DF) 0x0000 4500 0034 3f4a 4000 4006 7956 c0a8 006f E..4?J@.@.yV...o 0x0010 c0a8 0064 8004 0016 32cf c660 260d 7375 ...d....2..`&.su 0x0020 8010 16d0 f403 0000 0101 080a 003f f918 .............?.. 0x0030 0003 dd9d .... |
이런 내용을 처음 보시는 분들은 “뭐 이런 게 다 있어!”라고 하실지 모르겠지만 ASCII코드와 16진수인 HEX코드에 친숙하신 분들이라면 위의 화면내용이 영문처럼 보일 수도 있을 것입니다.
즉, 위의 분석방법에 대해서 관심이 많으신 분들이라면 ASCII코드와 16진수코드에 대한 공부를 조금만 하시면 됩니다.
위와 같이 캡쳐한 내용을 분석한 다음 그 내용을 확인하신다면 현재 우리가 사용하고 있는 인터넷환경이 얼마나 취약한가를 느낄 수 있을 것입니다.
관련자료
-
이전
-
다음
