SUN SOLARIS 장비에서 TCPDUMP 뜨는 방법 - snoop 명령어
* 시작
snoop -d eri0 -o snoop.trc
* 중지는 다른 터미널창에서
ps -ef | grep snoop | grep -v grep 명령어를 사용하여 snoop 프로세서의 pid를 확인후 kill -9 pid로 종료
* 패킷 내용확인 방법
snoop -i snoop.trc -tr -V -v -x 0 > snoop.txt
http://blog.naver.com/cyber143/20046364527
snoop 명령어
1. 네트워크상의 모든 패킷을 보여준다.
# snoop
화살표의 방향으로 어디서 어디로 어떠한 네트워크 패킷이 오고 가는지 알수 있다.
C : send out R : reply
2. moon과 오고 가는 모든 패킷을 보여 준다.
# snoop moon
3. moon과 how 두 시스템 간의 모든 패킷을 보여준다.
# snoop moon how
4. snoop의 결과를 깔끔하게 보여준다(일반적으로 4개씩 라이닝 한다)
# snoop -V
5. snoop의 결과를 분류해서 보여 준다
(ETHER, IP, TCP, TELNET 순으로 자세히 설명하여 준다)
# snoop -v
6. 리얼타임으로 체크되는 정보를 파일로 저장한다 왠만해서는 볼수 없기 때문에 파일로 저장
# snoop -o filename
7. -o 옵션으로 저장한 파일을 -i 옵션으로 본다.
# snoop -i filename
8. -o 옵션으로 저장한 파일을 -v 옵션 보기로 바꾸어 보여 준다.
# snoop -i filename -v
9. 저장 파일의 12 패킷 목차를 뽑아서 -v 옵션 형태로 바꾸어 보여준다
# snoop -i filename -p12 -v
10. 파일의 TCP 부분만을 -V 옵션 형식으로 나열한다.
# snoop -i filename -V | grep TCP
11. 여러 종류의 네트워크 디바이스가 있는 경우 특정 디바이스의 패킷만을 볼수 있다.
# snoop -d hme0
디바이스를 명시하지 않을 경우 default로 loopback(lo0)을 제외한 첫번째 network device를 조사합니다
12. beep음 소리를 들으면서 볼수 있다.
# snoop -a
13. -x length 옵션 캡쳐한 패킷을 hexa값으로 덤프합니다
# snoop -d hme0 -x 100
14. packet filtering
수많은 packet중에 원하는 것만을 보고자 할경우
host : 지정된 host와 오고가는 packet들을 검출
dst : 지정된 host로 가는 packet들을 검출
src : 지정된 host에서 오는 packet들을 검출
port : 지정된 port 번호와 통신하는 packet들을 검출
# snoop -d hme0 host 192.168.0.1 and port 2323
192.168.0.1 서버와 오고 가는 packet이면서 port번호가 2323인 packet들을 검출 (src dst 포함)
# snoop -d hme0 dst 192.168.0.1
192.168.0.1로 가는 packet들을 검출
