tshark에서 패킷 내용을 상세하게 출력(-V 옵션)

 

반달가면 이글루에서 백업 - http://bahndal.egloos.com/640394 (2020.7.25)

tshark에서 -V 옵션을 지정하면 패킷의 내용을 상세하게 출력해 준다. 각 프로토콜 계층마다 헤더(header) 구성 요소별로 실제로 어떤 값이 있는지 볼 수 있다.

전체 패킷에 대해서 다 이렇게 보기는 양이 너무 많을 것이므로, -Y 옵션으로 필터(filter)를 지정하여 조건에 맞는 패킷만 골라낸 후에 자세한 내용을 보는 방식으로 활용할 수 있다.

예를 들어 패킷을 저장한 test.pcap 파일을 읽어서(-r 옵션) HTTP GET 패킷만 골라 상세한 내용을 보고자 한다면 아래와 같이 할 수 있겠다.

# test.pcap 파일에서 HTTP GET 패킷만 골라낸 후 상세 내용 출력
tshark -r test.pcap -Y "http.request.method==GET" -V | more

와이어샤크(wireshark)에서 GUI로 확인하는 방법도 있으나, 리눅스에서 tshark를 활용할 경우에는 grep 등 다양한 명령어와 조합할 수 있기 때문에 대용량 pcap 파일에 대해서는 원하는 정보만 모아서 출력할 수 있는 tshark가 더 편리할 수 있다.

예를 들어 test.pcap 파일에서 HTTP GET 패킷만 골라낸 후에, "co.kr" 문자열을 포함한 HTTP 호스트만 골라서 중복을 제거하고 정렬할 수 있다. (중복 제거에 대한 내용은 이전 게시물을 참고하자. 여기로)

# test.pcap 파일에서 HTTP GET 패킷을 골라낸 후 grep과 sort를 조합
tshark -r test.pcap -Y "http.request.method==GET" -V | grep "Host:" | grep "co\.kr" | sort -u | more