Post

Wireshark / tcpdump

ShortCut

| | | | — | — | | Ctrl + F | 하고 나서 Ctrl +N / B | | Ctrl + M 마커 | 하고 나서 Shift + Ctrl + N / B |

Tip

SYN이후 모든 segment는 ACK flag가 set(1)되어있다.

File-Export HTTP Object 기능 유용.

frame protocol은 모든 data를 포괄한다. 따라서 frame containts나 frame matches로 Ctrl + F를 대체할 수 있음.

Text String 검색은 Packet Detail로 설정해야 나오는 경우가 대부분. list로 설정하면 검색이 안된다.

FTP 클릭하고 Follow TCP Stream하면 segmentation되어 전송된 FTP 패킷전체가 한번에 보이고 이를 file로 save할 수 있다.

이 때 반드시 Show and save data as를 Raw로 설정하고 저장해야함. 기본값은 ASCII로 되어있는데 이렇게 되면 ASCII데이터가 저장되어 원래의 데이터가 변경된다.

특정 패킷만 수집할 때

display filter 말고ㅡ capture filter를 사용하면 잡을 때 부터 특정 패킷만 수집하도록 할 수 있어서 속도면에서나 용량면에서 이득이다.

IPsec Decode

IPsec에 사용되는 SA ( Security Association )를 알고 있다면 decode할 수 있다. SA는 단방향으로 각각 설정되므로 한 쪽 방향의 SA만 가지고 있으면 그 방향만 decode된다.

1
2
3
ESP 패킷 우클릭 - Protocol Preferences
\* Edit - Preferences - Protocols 에서 각 프로토콜에 옵션을 지정할 수 있는데, 거기서 ESP를 선택한 것과 같다.

Attempt to detect/decode encrypted ESP payloads 옵션을 활성화 해야 입력한 SA와 대조하며 decode하게 된다. src, dst, SPI, Encryption method, Encryption Key, Authentication method는 반드시 입력해야 하는 듯 하고 Authenciation Key는 입력하지 않아도 융통성있게 처리해 주는 듯. * Authentication method는 반드시 지정해주어야 한다.

패킷 필터 걸고 저장

1
2
3
frame.number > 200 && frame.number < 300    등 필터 걸고
file - export specified packet

tcpdump

1
2
3
4
tcpdump -i lo -w soc.pcap & tail -f soc.pcap
tcpdump -qns 0 -A -r soc.pcap      # ugly view
tcpick -C -yP -r soc.pcap          # pretty view

http://www.slashroot.in/packet-capturing-tcpdump-command-linux

특정 패킷만 저장(Probe Request)

1
2
tcpdump -i mon0 -w prob.pcap -C 10 "link[0] == 0x40"

1
2
sudo /usr/sbin/tcpdump -nni any host {dst_ip} and port {dst_port} -w sftp_dev.pcap

This post is licensed under CC BY 4.0 by the author.