[Secui]tcpdump 사용법

[시누기]

tcpdump란?

tcp 통신에 대한 정보를 가장 원시적 수준에서 확인 가능, ping과 함께 통신망 문제 해결에 유용한 도구

Microsoft Windows 기반 운영체제에서는 기본적으로 제공되지 않는다. 확인을 위해서 가상 단말기(VM)를 이용하거나 별도의 FreeBSD 또는 Unix, Linux 전산기를 구축해야 한다.

Secui MF2 방화벽 장비에서의 tcpdump

**************************************************

** SecuiOS V2.0 (64bit)    http://www.secui.com **

**************************************************

Last login: Fri Mar 17 17:05:56 2017 from 192.168.0.2

[root@fw1 ~]# tcpdump -h

tcpdump version 4.1-PRE-CVS_2009_09_23

libpcap version 1.0.0

Usage: tcpdump [-aAdDefIKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]

                [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]

                [ -i interface ] [ -M secret ] [ -r file ]

                [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ]

                [ -y datalinktype ] [ -z command ] [ -Z user ]

                [ expression‎ ]

방화벽 장비 내에는 tcpdump가 설치되어 있어 통과하는 통신을 확인할 수 있다.

방화벽 장비에 설치된 통신 장치와 설정된 통신 주소 및 활성화 여부와 회당 통신량 (실예)

# nicinfo

eth0    192.168.10.10   255.255.255.0   Enabled 1500

tun0    172.16.0.1      255.255.0.0     Enabled 1500

eth8    192.168.200.3   255.255.255.0   Enabled 1500

eth8    192.168.200.1   255.255.255.0   Enabled 1500

eth14   1.1.1.1 255.255.255.0   Enabled 1500

eth15   192.168.253.248 255.255.255.128 Enabled 1500

eth16   192.168.253.5   255.255.255.128 Enabled 1500

eth16:0 110.129.127.186 255.255.255.0   Enabled 1500

각 통신 장치는 장비를 어떻게, 어떤 단자에 어떤 통신을 연결하냐에 따라 다르기 때문에 사전에 이러한 정보를 숙지하고 있는 것이 좋다. 이 정보는 장비와 구성 설정에 따라 다르다.

이 방화벽 장비에서는 eth0은 장비 직접 관리 단자, eth8은 완충 통신망(DMZ), eth14는 장비간 통신망, eth15는 내부 통신망,  eth16은 외부 통신망으로 지정되어 있다.

1호기 방화벽

# tcpdump -nni eth15 host 192.168.0.2 and icmp

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth15, link-type EN10MB (Ethernet), capture size 65535 bytes

^C

0 packets captured

19 packets received by filter

0 packets dropped by kernel

192.168.0.2에서 발신하는 통신이 방화벽 1호기를 통과하지 않는다.

2호기 방화벽

# tcpdump -nni eth15 host 192.168.0.2 and icmp

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth15, link-type EN10MB (Ethernet), capture size 65535 bytes

12:34:57.989436 IP 192.168.0.2 > 168.126.63.1: ICMP echo request, id 1, seq 10542, length 40

12:34:57.990662 IP 168.126.63.1 > 192.168.0.2: ICMP echo reply, id 1, seq 10542, length 40

12:34:58.993847 IP 192.168.0.2 > 168.126.63.1: ICMP echo request, id 1, seq 10543, length 40

12:34:58.996711 IP 168.126.63.1 > 192.168.0.2: ICMP echo reply, id 1, seq 10543, length 40

12:34:59.999371 IP 192.168.0.2 > 168.126.63.1: ICMP echo request, id 1, seq 10544, length 40

12:35:00.000469 IP 168.126.63.1 > 192.168.0.2: ICMP echo reply, id 1, seq 10544, length 40

^C

6 packets captured

121 packets received by filter

80 packets dropped by kernel

192.168.0.2에서 발신하는 통신이 방화벽 2호기를 통과하고 있다.

실례

tcpdump -nni eth16 host 192.168.253.2 and icmp and 192.168.253.254

 ▒ 특정 출처에서 발신되는 전 통신    특정 대상까지

src dst

출처: 나