반달가면 이글루에서 백업 - http://bahndal.egloos.com/640394 (2020.7.25)
tshark에서 -V 옵션을 지정하면 패킷의 내용을 상세하게 출력해 준다. 각 프로토콜 계층마다 헤더(header) 구성 요소별로 실제로 어떤 값이 있는지 볼 수 있다.
전체 패킷에 대해서 다 이렇게 보기는 양이 너무 많을 것이므로, -Y 옵션으로 필터(filter)를 지정하여 조건에 맞는 패킷만 골라낸 후에 자세한 내용을 보는 방식으로 활용할 수 있다.
예를 들어 패킷을 저장한 test.pcap 파일을 읽어서(-r 옵션) HTTP GET 패킷만 골라 상세한 내용을 보고자 한다면 아래와 같이 할 수 있겠다.
# test.pcap 파일에서 HTTP GET 패킷만 골라낸 후 상세 내용 출력
tshark -r test.pcap -Y "http.request.method==GET" -V | more
와이어샤크(wireshark)에서 GUI로 확인하는 방법도 있으나, 리눅스에서 tshark를 활용할 경우에는 grep 등 다양한 명령어와 조합할 수 있기 때문에 대용량 pcap 파일에 대해서는 원하는 정보만 모아서 출력할 수 있는 tshark가 더 편리할 수 있다.
예를 들어 test.pcap 파일에서 HTTP GET 패킷만 골라낸 후에, "co.kr" 문자열을 포함한 HTTP 호스트만 골라서 중복을 제거하고 정렬할 수 있다. (중복 제거에 대한 내용은 이전 게시물을 참고하자. 여기로)
# test.pcap 파일에서 HTTP GET 패킷을 골라낸 후 grep과 sort를 조합
tshark -r test.pcap -Y "http.request.method==GET" -V | grep "Host:" | grep "co\.kr" | sort -u | more
'괜찮은_프리웨어' 카테고리의 다른 글
리브레오피스(LibreOffice) 칼크(Calc)에서 frequency 함수를 이용한 빈도(분포) 계산 (0) | 2023.09.16 |
---|---|
오토잇(AutoIt) - 윈도우용 작업 자동화 도구 (0) | 2023.09.16 |
MPC-BE: 윈도우용 무료 동영상 플레이어 (프리웨어) (0) | 2023.09.14 |
WinSCP - 윈도우용 scp/sftp 클라이언트 프로그램 (0) | 2023.09.14 |
픽시아(Pixia) - 소박한 무료 포토샵 프로그램 (0) | 2023.09.12 |