Linux packet capture

#기본 명령어

tcpdump -i enp3s0 -n -s0 -vv udp -w packet.pcap -C 20 -Z root

 

enp3s0 이더넷 장치 명

20 패킷 캡쳐 사이즈(20M) -> 용량이 크면 와이어샤크로 열때 느리기 때문에 사이즈를 적절히 분배하는게 좋음

 

# 패킷 캡쳐를 telnet / ssh 닫을 때도 유지 하는 법

 

1. 스크립트를 하나 만들고

#######
capture.sh
#######
#!/bin/sh
tcpdump -i enp3s0 -n -s0 -vv udp -w packet.pcap -C 20 -Z root

 

2. 

nohup ./capture.sh &

명령어를 실행하면 창을 닫아도 백그라운드에서 계속 캡쳐 진행함

 

3. 

30 2 * * * (find /export/home/ums/packet -name '*.pcap*' -mtime +7 -delete)

 

패킷 용량이 많으면 용량이 다 찰수있으니 크론탭으로 적절히 삭제 주기를 설정한다.