스니핑 도구 tcpdump 소개

TCP Dump

- 가장 일반적으로 사용하는 스니핑 도구로 불법적인 느낌, 해킹이라는 느낌보다는 관리자적인 느낌이 강한 도구이다.

처음부터 스니핑을 위한 도구로 개발된 것이 아니라 네트워크 관리를 위해 개발된 툴이며 Snort라는 IDS의 기반 프로그램이기도 하다.

man page에서 Tcpdump의 정의를 잠깐 살펴보고자 한다.

Tcpdump prints out a description of the contents of packets on a network interface that match the boolean expression; the description is preceded by a time stamp, printed, by default, as hours, minutes, seconds, and fractions of a second since midnight. It can also be run with the -w flag, which causes it to save the packet data to a file for later analysis, and/or with the -r flag, which causes it to read from a saved packet file rather than to read packets from a network interface. It can also be run with the -V flag, which causes it to read a list of saved packet files. In all cases, only packets that match expression will be processed by tcpdump.

뭐 내용을 잠깐 보면 Tcpdump는 boolean 표현식을 만족하는 네트워크 인터페이스의 패킷의 내용을 출력하고 파일로 저장하는 w플래그나 저장된 패킷으로부터 읽어들이는 r플래그 등이 존재한다는 것을 확인할 수 있다.

설치

Tcpdump는 libpcap 라이브러리를 사용하는데 칼리에서는 기본적으로 tcpdump가 설치되어 있고, 리눅스의 경우

apt-get install tcpdump, apt-get install libpcap 으로 필요 라이브러리를 설치하면 되는데 자세한 설치 방법은 칼리를 사용할 것이기 때문에 제외하도록 한다.

옵션(자주 쓰이는 것만 나열 (자세한 것은 man page 참고)

-c count   입력한 수만큼의 패킷이 출력된 후 종료

Exit after receiving count packets.

-d     compiled된 packet-matching code를 사람이 읽을 수 있도록 바꾸어서 출력

Dump the compiled packet-matching code in a human readable form to standard output and stop.

-dd     C프로그램의 fragment로 출력

Dump packet-matching code as a C program fragment.

-ddd    decimal numbers(숫자) 로 출력

Dump packet-matching code as decimal numbers (preceded with a count).

-e        각각의 덤프 line의 link-level 헤더 출력

Print the link-level header on each dump line. This can be used, for example, to print MAC layer addresses for protocols such as Ethernet and IEEE 802.11.

-F file   Filter 표현을 위한 입력으로 파일을 사용하고, 추가적인 표현 명령들은 무시

Use file as input for the filter expression. An additional expression given on the command line is ignored.

-h    tcpdump, libpcap version 확인

-i interface    인터페이스 선택(많이 사용됨)

--interface=interface

Listen on interface. If unspecified, tcpdump searches the system interface list for the lowest numbered, configured up interface (excluding loopback), which may turn out to be, for example, ``eth0''.

-j tstamp_type    Timestamp 타입 설정

--time-stamp-type=tstamp_type

Set the time stamp type for the capture to tstamp_type. The names to use for the time stamp types are given in pcap-tstamp(7); not all the types listed there will necessarily be valid for any given interface.

-K    IP, TCP, UDP checksum을 하지 않음

--dont-verify-checksums

-l     표준 출력 데이터를 buffered함. 패킷을 캡처링할 때 데이터를 보고 싶을 때 많이씀

Make stdout line buffered. Useful if you want to see the data while capturing it.

-p    promiscuous 모드로 설정하지 않음

--no-promiscuous-mode

-r file     파일로 부터 패킷을 읽어들임

Read packets from file (which was created with the -w option or by other tools that write pcap or pcap-ng files). 

-T type     조건식에 의해 패킷들을 specified type으로 표시

-t     시간 표시 안함

Don't print a timestamp on each dump line.

-v    자세한 정보

When parsing and printing, produce (slightly more) verbose output. For example, the time to live, identification, total length and options in an IP packet are printed. Also enables additional packet integrity checks such as verifying the IP and ICMP header checksum.

When writing to a file with the -w option, report, every 10 seconds, the number of packets captured.

-vv   더 자세한 정보 출력

Even more verbose output. For example, additional fields are printed from NFS reply packets, and SMB packets are fully decoded.

예제

To print all packets arriving at or departing from sundown:

-> tcpdump host sundown        

 //sundown host의 출발 도착 패킷 출력

To print traffic between helios and either hot or ace:

    -> tcpdump host helios and \( hot or ace \)    

//helios와 hot, ace에서 발생하는 패킷 출력

To print all IP packets between ace and any host except helios:

    -> tcpdump ip host ace and not helios        

//helios를 제외한 ace와 다른 host간 ip 패킷 출력

To print all traffic between local hosts and hosts at Berkeley:

     -> tcpdump net ucb-ether       

//local host와 berkeley host사이에서 발생하는 모든 트래픽 출력

To print all ftp traffic through internet gateway snup: (note that the expression is quoted to prevent the shell from (mis-)interpreting the parentheses):

    -> tcpdump 'gateway snup and (port ftp or ftp-data)'    

//gateway snup을 통한 모든 ftp 패킷 출력

To print IP packets longer than 576 bytes sent through gateway snup:

    -> tcpdump 'gateway snup and ip[2:2] > 576'    

//snup을 통과하는 패킷 중 576byte 이상 패킷 출력