ShortCut

 Ctrl + F  하고 나서 Ctrl +N / B
 Ctrl + M 마커  하고 나서 Shift + Ctrl + N / B

 

Tip

SYN이후 모든 segment는 ACK flag가 set(1)되어있다.

 

File-Export HTTP Object 기능 유용.

 

frame protocol은 모든 data를 포괄한다. 따라서 frame containts나 frame matches로 Ctrl + F를 대체할 수 있음.

 

Text String 검색은 Packet Detail로 설정해야 나오는 경우가 대부분. list로 설정하면 검색이 안된다.

 

FTP 클릭하고 Follow TCP Stream하면 segmentation되어 전송된 FTP 패킷전체가 한번에 보이고 이를 file로 save할 수 있다.

이 때 반드시 Show and save data as를 Raw로 설정하고 저장해야함. 기본값은 ASCII로 되어있는데 이렇게 되면 ASCII데이터가 저장되어 원래의 데이터가 변경된다.

 

특정 패킷만 수집할 때

display filter 말고ㅡ capture filter를 사용하면 잡을 때 부터 특정 패킷만 수집하도록 할 수 있어서 속도면에서나 용량면에서 이득이다.

 

IPsec Decode

IPsec에 사용되는 SA ( Security Association )를 알고 있다면 decode할 수 있다.
SA는 단방향으로 각각 설정되므로 한 쪽 방향의 SA만 가지고 있으면 그 방향만 decode된다.
```

ESP 패킷 우클릭 - Protocol Preferences 

* Edit - Preferences - Protocols 에서 각 프로토콜에 옵션을 지정할 수 있는데, 거기서 ESP를 선택한 것과 같다.

```

`` Attempt to detect/decode encrypted ESP payloads`` 옵션을 활성화 해야 입력한 SA와 대조하며 decode하게 된다.

`` src, dst, SPI, Encryption method, Encryption Key, Authentication method``는 반드시 입력해야 하는 듯 하고 `` Authenciation Key``는 입력하지 않아도 융통성있게 처리해 주는 듯.

* `` Authentication method``는 반드시 지정해주어야 한다.

 

패킷 필터 걸고 저장

```
frame.number > 200 && frame.number < 300    등 필터 걸고
file - export specified packet
```
 

tcpdump

tcpdump -i lo -w soc.pcap & tail -f soc.pcap
tcpdump -qns 0 -A -r soc.pcap      # ugly view
tcpick -C -yP -r soc.pcap          # pretty view

http://www.slashroot.in/packet-capturing-tcpdump-command-linux

 

특정 패킷만 저장(Probe Request)

tcpdump -i mon0 -w prob.pcap -C 10 "link[0] == 0x40"

 

sudo /usr/sbin/tcpdump -nni any host {dst_ip} and port {dst_port} -w sftp_dev.pcap

 

 

저작자표시 비영리 동일조건

'Utilities' 카테고리의 다른 글

[Chrome] request pending 기능  (0) 2019.08.08
UML 과 Diagram  (0) 2017.07.26
티스토리 마크다운 코드 하이라이팅 ( tistory markdown code highlighting )  (0) 2017.05.28
유용한 프로그램, 툴, Chrome extension  (0) 2017.05.03
[Chrome] 개발자 도구 ( Developer Tools ) / 포터블  (0) 2017.04.12

티스토리툴바