tcpdump 사용법에 대해 질문올립니다.(수정)

dragoune   
   조회 5776   추천 0    

안녕하세요, 왜국에서 노동하는 사람입니다.
환절기 건강하시온지요 m(__)m

혹시 tcpdump 에서 자동으로 IP별로 저장하는 옵션이 있을런지요?

업무상 패킷덤프를 떠야하는데, IP별로 패킷을 떠야하는 상황입니다.
문제는 어떤 IP에서 패킷이 올지 모르는 경우라서 전체 IP에 대해서 캡쳐가 필요합니다.

컴퓨터가 구려서 그런지 wireshark로 200MB 넘어가는 파일 열면
wireshark가 심심하면 꺼져버려서 열기도 힘들고요 (열어서 IP 확인해서 필터 걸려면 그 순간에 죽어서 다시~)

혹시 좋은 방법 알고 계시면 가르쳐 주시기 바랍니다.

감사합니다.

짧은글 일수록 신중하게.
DoubleSH 2018-10
host 옵션으로 특정 IP 만 저장합니다
e.g.) tcpdump -i any host 1.1.1.1 and tcp port 80
dragoune 2018-10
답변 감사합니다.
해당 방법에 대해서는 알고 있습니다만, 어느 IP에서 올지를 알 수가 없기 때문에 문제가 되는 상황입니다.
그렇다고 전체 패킷덤프를 사용하기에는 파일이 비대해져서 해석이 어려워져서 문제가 되고요

자동으로 IP 별로 캡쳐하는 옵션이 있으면 좋을 것 같인데 힘들런지요?
     
DoubleSH 2018-10
요즘 PC사양이면 대략 30MB 정도로 자르면 될겁니다.
tcpdump -C 30 -w capfile

분할된거 열어볼땐 append 해서 붙여서 볼 수 있구요.


그리고 어느 IP 에서 올지 모른다면서 필터링 한다는건 욕심입니다 ㄷㄷㄷㄷ
따로 툴을 만드셔야 가능할듯
     
DoubleSH 2018-10
분할된 파일내에서 특정IP 필터링 건 다음 export 해놓고
다른 분할파일에서도 똑같이 export 해서
각각을 append 해서 확인하시는게 좋을것같아요
          
dragoune 2018-10
감사합니다. 역시 자동으로 하는건 무리가 있었나보네요...
전화용 서버에서 패킷을 캡쳐하다보니 10초에 20MB 이상 쌓이기도 해서 뭔가 방법이 없을까 찾아보고 있습니다.
SIP 패킷은 UDP로 포트 지정만 하면 되다보니 1시간에 100MB 이하로 쌓이는데
RTP 패킷은 순식간에 용량이 커져서 어렵네요 ^^;
               
DoubleSH 2018-10
ㅎㅎ 저도 SIP 엔지니어입니다.
물론 사용량에 따라 다르겠지만 ~
30MB 로 10개 정도 로테이션 돌리면 보통 하루는 커버될겁니다. W옵션이었나... tcpdump -W 10 -C 30 -w capfile 
시간대별로 저장이 되니 해당하는 시간만 열어서 필터링 하시고
덤프뜰때도 rtp 포트 지정해서 받으세요.

아시겠지만??? 그냥 적자면
asterisk 기준으로는 rtp.conf 에 있고
rtpstart=10000
rtpend=20000
이런식으로 세팅이 되니
tcpdump udp port 10000-20000 처럼 걸면 되겠죠

아참.. 와이어샤크 돌리는 PC 사양이 낮은편이면 15MB 정도로 줄이세요 ㅋㅋ
                    
dragoune 2018-10
감사합니다. 다니는 회사 욕이라 좀 그런데
서버 한대에 고객을 많이 밀어넣다보니 30분에 700MB 이상 쌓이고 있습니다. ㅠ_ㅠ

요런 옵션을 쓰고 있고요.
tcpdump -vv udp port 5060 or udp portrange 10000-20000 -G 1800 -z /usr/bin/gzip -w /tcpdump/%Y%m%d_%H%M.pcap
역시 좀 더 짧게 끊어서 저장하는 수 밖에 없겠네요

PC는 i5-8250u 에 8GB / 256GB ...PC도 안사줘서 제돈으로 사서 씁니다. ㅎㅎ;

원래 일본이 인터넷이 엉망인건지, 고객사에서 오는 패킷에 손실이 좀 있는 편이라
한국 집으로 VPN 연결해서 전화거는 편이 깨끗할 정도로 인터넷이 엉망인데요

이제는 상위 회선사업자 서버에서 오는 음성까지 무음상태라 그걸 좀 캡쳐해서 보내려는데
아주 환장하겠습니다. ㅠ_ㅠ
                         
DoubleSH 2018-10
하...엔지니어 환장하는 서버네요 ㅋㅋㅋ
회선에 무음으로 온다고 보내면, "우리는 bypass 하는데?' 라고 하지 않을까요 하하... 아니라면 다행...

확인해보니 전에 VM 으로 삽질당하시던 그분이군요.......
사관학교인가봅니다.. 경험쌓고 도망가야하는 회사 ㅎㅎㅎㅎ
dragoune 2018-10
더 이상 답글이 안달리네요 ㅎ;

@DoubleSH님
문의 해보면 너네가 보낸 패킷이랑 우리가 보낸 패킷 수에 차이가 없으니까 우리는 문제 없다! 라고 하더군요.

사실 클라우드밴더도 의심스럽긴합니다.
통신을 안하던 외부서버에서 UDP로 패킷을 보내면 어째서인지 하나도 도착하지를 않거든요.
무슨 VM이 NAT 동작하는 것도 아니고 원 -_-;; 문의해보면 맨날 자기네는 문제 없다고 하고 말이죠...
그래서 패킷이 오는건지 안오는건지, 왔다면 무음인건지 를 파악하려 합니다. ^^;;


QnA
제목Page 3330/5708
2014-05   5141113   정은준1
2015-12   1675767   백메가
2018-12   5676   초보IT
2006-01   5676   최원식
2006-05   5676   김진석
2014-10   5676   꿈꾸지마
2007-10   5676   김용수_
2005-12   5676   한상천
2007-10   5676   이희원
2005-06   5676   박상범
2015-10   5676   수필처럼
2016-09   5676   모자란트
2014-08   5676   윈도우10
2005-10   5676   최창현
2005-07   5676   이상현
2005-10   5676   민정기
2006-01   5676   윤종완
2011-09   5676   아름다운노을
2008-05   5676   김건우
2005-10   5676   윤현덕
2006-03   5676   정힘찬
2007-04   5676   하창석