[tcpdump] 네트워크 패킷 캡쳐하기

pcap파일로 네트워크 패킷을 저장해보자. 로컬에서는 wireshark라는 GUI로 패킷 수집 및 저장이 가능한 툴을 사용했다. 하지만 서비스를 운영중인 AWS EC2 환경에서 네트워크 패킷을 저장하는 것이 필요했다.
 
여러 툴 중에 tcpdump가 시스템 리소스를 적게 사용하여 서버 성능에 미치는 영향을 최소화 할 수 있다고 하여 tcpdump를 사용하기로 했다. 
 

서버 환경

• Amazon linux2 

tcpdump 설치

sudo yum install tcpdump

 

sudo tcpdump -i eth0 -w /path/to/file.pcap

sudo tcpdump -i eth0 /home/ec2-user/temp_pcap/test.pcap

 

tcpdump로 pcap 파일 읽기

 
tcpdump는 pcap 파일을 사람이 읽기 쉬운 형식으로 출력할 수 있습니다.

sudo tcpdump -r /path/to/file.pcap

 
특정 host 주소 필터링해서 pcap 파일 읽기

sudo tcpdump -r /path/to/file.pcap host <IP_ADDRESS>
sudo tcpdump -r /path/to/file.pcap host api.vworld.kr