TCPDUMP 사용방법
http://ezsimple.inmu.net/zb/view.php?id=free&no=181
문제는
헥사코드로 나오는 것을 어떻게 번역할것인가이다.
번역기가 있는것도 아니고..
흠미...
번역기를 찾아봐야겠다.
TCP 자세히 보기
http://www.joinc.co.kr/modules/moniwiki/wiki.php/Site/TCP_IP/TCP_Header
사용예)
http://ezsimple.inmu.net/zb/view.php?id=free&no=181
문제는
헥사코드로 나오는 것을 어떻게 번역할것인가이다.
번역기가 있는것도 아니고..
흠미...
번역기를 찾아봐야겠다.
http://www.joinc.co.kr/modules/moniwiki/wiki.php/Site/TCP_IP/TCP_Header
사용예)
번호 | 분류 | 제목 | 날짜 | 조회 수 |
---|---|---|---|---|
777 | 컴퓨터잡담 | [악성코드퇴치] 악성코드 처리 방법 1 | 2010.08.12 | 9901 |
776 | 컴퓨터잡담 | [잦은오류해결] 오류발생을 알려주는 drwtsn32.exe 때문에 다운? 차라리 없애버리자. | 2010.08.12 | 5838 |
775 | 컴퓨터잡담 | [autohotkey] 시스템 레지스트리 수정, 삭제 | 2010.08.14 | 8461 |
774 | 컴퓨터잡담 | [autohotkey] 시스템 레지스트리 수정, 삭제 1 3 | 2010.08.14 | 8040 |
773 | 컴퓨터잡담 | Tips N Tricks Process Listing - Using third party DLL! | 2010.08.14 | 20423 |
772 | 컴퓨터잡담 | 부팅시마다 체크디스크 실행되는 경우 설정방법 | 2010.08.21 | 26563 |
771 | 컴퓨터잡담 | [윈도우 웹서버] hmailserver 1 1 | 2010.08.22 | 23352 |
770 | 컴퓨터잡담 | hMailServer - 설치시 주의 핵심사항 1 | 2010.08.24 | 103065 |
769 | 컴퓨터잡담 | [악성코드] 컴퓨터가 주기적으로 꺼지는 현상 2 | 2010.08.24 | 12217 |
768 | 컴퓨터잡담 | 무선랜 비밀번호 모음 3 | 2010.08.26 | 16894 |
767 | 컴퓨터잡담 | [악성코드제거] 가짜백신에 속지말고 MS정품을 이용하자. | 2010.09.02 | 10318 |
766 | 컴퓨터잡담 | 아파치서버에서 시작시 무엇을 불러들이나? httpd -l 1 2 | 2010.09.04 | 9758 |
765 | 컴퓨터잡담 | Excel에서 틀 고정 방법 | 2010.09.04 | 18604 |
764 | 컴퓨터잡담 | 이전 버전의 Office로 Office 2007 파일을 여는 방법 1 | 2010.09.04 | 11278 |
763 | 컴퓨터잡담 | 동영상 제작프로그램, 파워디렉터(POWER DIRECTOR) 1 2 | 2010.09.10 | 20214 |
762 | 컴퓨터잡담 | XP윈도우가 버벅 거릴때 시스템 파일 복구하기 1 | 2010.09.11 | 11273 |
761 | 컴퓨터잡담 | Windows Movie Maker 2.1 다운로드 2 2 | 2010.09.11 | 22457 |
760 | 컴퓨터잡담 | 엑셀에서 날짜와 시간 계산하는 법 2 | 2010.09.20 | 31637 |
759 | 컴퓨터잡담 | 오류 socket error #10061 connection 3 2 | 2010.09.25 | 53969 |
758 | 컴퓨터잡담 | PHP Text to Image 1 | 2010.09.29 | 13949 |
http://urin79.com
우린친구블로그
네트워크 트래픽 분석에 필요한 무료 소프트웨어를 사용해보자
다운로드: http://netgroup-serv.polito.it/
windump는 유닉스 시스템에서 사용하던 tcpdump 프로그램을 윈도우용으로 포팅한 프로그램이다. 이 프로그램은 기본적으로 winpcap 라이브러리를 사용한다. 이 라이브러리는 위의 NetGroup 홈페이지에서 다운로드 할 수 있다.
WinDump
커맨드 라인 옵션
결과를 file에 출력
sample 1)
C:\>windump -D
1.\Device\NPF_GenericDialupAdapter (Adapter for generic dialup and VPN capture)
2.\Device\NPF_{F544E3E6-9AF8-4E10-A6D2-3561D96295E8} (Intel(R) 82566DC-2 Gigabit
Network Connection (Microsoft's Packet Scheduler) )
3.\Device\NPF_{766B24F8-FF94-4A41-99D9-AB1FACF81E6D} (VMware Virtual Ethernet Ad
apter)
4.\Device\NPF_{4026F870-7B5D-4F1B-8365-5FE3058CF082} (VMware Virtual Ethernet Ad
apter)
C:\>windump -i 2 위의 NIC 조회 결과 실제 네트워크 카드는 2번이므로 2번 디바이스를 덤프
sample 2)
windump -i 2 -s 200 -x -w testcap 2번 네트워크 디바이스의 각 패킷의 첫 200 바이트를 수집해서, 이를 hex 형식으로 testcap이라는 파일에 출력
필터 조건문
필터 조건문은 한 개 이상의 조건(primitive)으로 구성되어 있다. 이 조건은 필터링할 항목을 설명하며 네트워크 이름 또는 그 번호, 그리고 한 개 이상의 한정어(qualifier)를 포함하고 있다.
한정어에는 세 가지가 있다.
windump ip 네트워크에 흐르는 IP 패킷만을 수집
windump ip host 192.168.1.10 특정 IP주소로부터의 트래픽 확인(송,수신 모두 다)
windump ip src 192.168.1.10 특정 IP주로로부터의 수신 트래픽만 확인
windump ip host 192.168.1 특정 서브넷으로부터 오는 패킷만 수집