보안 관제

패킷 분석 도구 tcpdump, Wireshark, tshark

TungTung0000 2026. 6. 23. 16:41

 

✔️ 【Wireshark】

- 환경: 로컬 PC (GUI 필요)
- 강점: 최강 분석, Follow Stream, 통계
- 약점: 무거움, 원격 서버 직접 사용 어려움
- 최적: 심층 분석, 교육, 포렌식

 

 

 

 

✔️ 【tshark】

- 환경: CLI (Wireshark 디코딩 엔진)
- 강점: Wireshark 수준 분석 + CLI + 자동화
- 약점: 학습 곡선
- 최적: 대용량 pcap 자동 분석, 스크립팅

 

# tshark = Wireshark의 CLI 버전
$ sudo apt install tshark -y

# 기본 사용
$ sudo tshark -i eth0                  # 실시간 캡처
$ sudo tshark -i eth0 -c 100           # 100패킷만
$ sudo tshark -i eth0 -w capture.pcap  # 파일 저장
$ tshark -r capture.pcap               # pcap 파일 읽기

# 필터 적용
$ sudo tshark -i eth0 -f "tcp port 80"        # 캡처 필터
$ tshark -r cap.pcap -Y "http.request"        # 디스플레이 필터

# 특정 필드만 추출 (-T fields -e 필드명)
$ tshark -r cap.pcap -T fields   -e ip.src -e ip.dst -e http.request.uri   -Y "http.request"

# HTTP 요청 URL 목록
$ tshark -r cap.pcap -Y http.request   -T fields -e http.host -e http.request.uri | sort -u

# 통신 IP 목록
$ tshark -r cap.pcap -T fields   -e ip.src -e ip.dst | sort | uniq -c | sort -rn | head

# 악성 트래픽 자동 탐지 스크립트
$ tshark -r malware.pcap -T fields -e ip.dst   | sort | uniq -c | sort -rn | head -20  # 많이 통신한 외부 IP

 

[실행 결과]

 

 

 

 

 

✔️ 【tcpdump】

-  환경: 원격 서버 CLI (GUI 없음)
강점: 가볍고 빠름, 리소스 적음
-  약점: 분석 기능 제한적
- 최적: 실시간 캡처, pcap 저장

 

# tcpdump 기본
$ sudo tcpdump -i eth0              # 모든 인터페이스
$ sudo tcpdump -i any               # 모든 인터페이스 동시
$ sudo tcpdump -n                   # DNS 역조회 없이 (빠름)
$ sudo tcpdump -nn                  # 포트도 숫자로
$ sudo tcpdump -v / -vv / -vvv     # 상세도 증가

# BPF 필터 (캡처 필터)
$ sudo tcpdump -i eth0 port 22
$ sudo tcpdump -i eth0 host 192.168.1.100
$ sudo tcpdump -i eth0 src host 10.0.0.1
$ sudo tcpdump -i eth0 dst port 80
$ sudo tcpdump -i eth0 tcp
$ sudo tcpdump -i eth0 'tcp and port 443'
$ sudo tcpdump -i eth0 'src 10.0.0.1 and dst port 22'
$ sudo tcpdump -i eth0 'not port 22'  # SSH 제외

# 파일 저장 & 읽기
$ sudo tcpdump -i eth0 -w /tmp/capture.pcap -c 200
$ tcpdump -r /tmp/capture.pcap
$ tcpdump -r /tmp/capture.pcap -n port 80  # 읽으면서 필터

# 페이로드 출력 (내용 확인)
$ sudo tcpdump -i eth0 -A port 80    # ASCII 출력
$ sudo tcpdump -i eth0 -X port 80    # HEX + ASCII

 

[실행 결과]

 

 

 

'보안 관제' 카테고리의 다른 글

(👌→수정필)보안점검 통합  (0) 2026.06.23
침해사고 대응 자동화 스크립트  (0) 2026.06.22
Lynis  (0) 2026.06.22
[보안 관제] 로그 파일 보안 분석  (0) 2026.06.09