tcpdump는 「네트워크 인터페이스를 지나는 패킷을 가로채 보는」 도구.
네트워크 디버깅의 가장 깊은 수단.
와이어샤크 같은 GUI의 명령줄 버전.
기본.
sudo tcpdump — 모든 패킷 캡처.
매우 시끄러움 — 거의 항상 필터와 함께.
sudo tcpdump -i eth0 — eth0 인터페이스만.
-n으로 IP 이름 변환 안 함(빠름).
필터링.
sudo tcpdump 'host 192.168.1.50' — 그 IP 관련만.
'port 80' — HTTP 포트만.
'tcp port 22' — TCP 22만.
'src 1.2.3.4' — 발신지.
'dst port 443' — 목적지 포트.
and·or로 결합.
파일 저장·분석.
tcpdump -w capture.pcap — 파일로 저장.
나중에 tcpdump -r capture.pcap 또는 와이어샤크 GUI로 분석.
「30분 캡처 → 와이어샤크로 자세히 본다」 표준 패턴.
활용.
1) 「내 앱이 서버에 진짜 요청 보내나」 검증.
2) 「TLS 핸드셰이크 어디서 깨지나」 분석.
3) DNS 쿼리 보기 — port 53 필터.
4) 의심스런 트래픽 분석.
매우 강력하지만 권한·보안 주의 — 캡처된 평문 데이터에는 비밀번호·세션 토큰 등 포함될 수 있음.
한 줄 요약
tcpdump는 패킷 캡처.
-i 인터페이스, -n 이름 변환 안 함, host·port·tcp·src·dst 필터.
-w로 pcap 저장 + 와이어샤크 분석.
강력하지만 보안 주의.
더 알아볼 것
- BPF 필터 문법
- 와이어샤크 — GUI 분석
- mitmproxy — TLS 가로채기
