Skip to content

Latest commit

 

History

History
47 lines (37 loc) · 1.13 KB

tshark.adoc

File metadata and controls

47 lines (37 loc) · 1.13 KB

tshark를 root 권한으로 실행하지 않기

tshark를 root 권한으로 실행하면 보안상 좋지 않다. 아래와 같은 스크립트로 tshark를 실행할 수 있는 별도의 사용자 그룹을 만들고, setcap으로 필요한 기능만을 부여한다.

sudo groupadd tshark
sudo usermod -a -G tshark benelog
sudo chgrp tshark /usr/bin/dumpcap
sudo chmod 750 /usr/bin/dumpcap
sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
getcap /usr/bin/dumpcap

주요 옵션

  • -i : 인터페이스 지정

  • -f : 캡쳐 필터

  • -R : 리드(Read) 필터, 디스플레이 필터

  • -r : pcap 파일에서 읽기

명령어 예시

tshark -i lo  -c 2

lo 포트 53번 UDP 패킷

tshark -f "udp port 53" -i lo

장치 ID가 RI1 라우터로부터 전송 된 CDP 패킷만 캡처

tshark -R "cdp.deviceid==R1" -i eth0
tshark -i lo -f 'tcp port 8080' -T fields -e _ws.col.Protocol -e _ws.col.Info