모든 TCP 연결 패킷을 기록하는 명령 구문은 무엇입니까?
방화벽을 구성할 수 있도록 내 컴퓨터가 발신 연결을 시도하는 주소와 포트를 확인하려고 합니다.
답변1
이 사용 사례에서는 모든 트래픽이 아닌 연결을 시작하려는 패킷만 캡처하는 것이 좋습니다. 이는 SYN 플래그만 설정된 모든 것입니다.
tcpdump -ni ${INTERFACE} -w ~/synconnections.pcap tcp[13] == 2 and src host ${MYIP}
내가 표절한 것의 대부분은 다음에서 왔다.tcpdump 매뉴얼 페이지. "특정 플래그 조합(SYN-ACK, URG-ACK 등)을 사용하여 TCP 패킷 캡처" 섹션에서는 플래그의 의미를 자세히 설명합니다(값 2로 설정된 13번째 옥텟은 SYN입니다).
그리고 어떤 패킷 필터링 솔루션을 사용하고 계신지는 모르겠지만, 로깅 기능이 있는지 확인해 보시는 것이 좋을 것 같습니다. 기본적으로 모두 거부한 다음 http/https/ssh를 허용하고 로그를 확인하여 차단된 항목을 확인하세요.
답변2
나가는 TCP 패킷을 기록하는 것이 PCAP 형식으로 디스크에 쓰는 것을 의미하는 경우 다음 명령을 사용할 수 있습니다.
$ tcpdump -nni eth0 -w outgoing-tcp.pcap ip src 192.168.1.1 and tcp
인터페이스를 컴퓨터의 인터페이스로 바꾸고 IP 주소를 컴퓨터의 IP 주소로 바꾸세요. 사용 중인 tcpdump 버전(예: 이전 버전)에 따라 전체 패킷을 96바이트로 자르지 않고 기록하려면 "-s 0" 옵션을 추가하면 됩니다. 데이터 가방. 그러나 최근 tcpdump 버전에서는 대부분의(전부는 아니지만) 플랫폼에서 기본값이 65535이므로 이것이 필요하지 않을 수 있습니다.