·-r file : 패킷들을 ‘-w’옵션으로 만들어진 파일로 부터읽어 들인다.·-s length: 패킷들로부터 추출하는 샘플을 default값인68Byte외의 값으로 설정할 때 사용·-T type : 조건식에 의해 선택된 패킷들을 명시된 형식으로 표시·-S : TCP sequence번호를 상대적인 번호가 아닌 절대적인 번호로 출력·-v : 좀 더 많은 정보들을 출력·-vv : ‘-v’보다 좀 더 많은 정보들을 출력·-w : 캡춰한 패킷들을 분석해서 출력하는 대신에 그대로파일에 저장ex)#tcpdump host 192.168.2.165192.168.2.165 IP 주소를 가지고 있는 프레임#tcpdump host 192.168.2.165 and port 23특정 IP 주소와 지정된 포트를 가지고 있는 프레임만 출력#tcpdump -i eth0 host 192.0.0.1eth0 인터페이스에서 흐르는 패킷 중 192.0.0.1IP주소를 가지고 있는 패킷만 출력2. Filter 조건·Protocol:사용 가능한 값: ether, fddi, ip, arp, rarp, decnet, lat,sca, moprc, mopdl, tcp and udp.·Direction:사용 가능한 값: src, dst, src and dst, src or dst·Logical Operations:사용 가능한 값: not, and, or. 부정 연산(“not”)ex)·src host 10.7.2.12 and not dst net 10.200.0.0/16출발지 IP 주소가 10.7.2.12이면서, 목적지 IP 네트워크가 10.200.0.0/16이 아닌 패킷·ip.src != 10.1.2.3 and ip.dst != 10.4.5.6출발지 IP 주소가 10.1.2.3이 아니면서, 동시에 목적지IP 주소가 10.4.5.6이 아닌 패킷● 확보된 트래픽 분석(Analysis)- DDoS 공격 특징을 파악하기 위해서는 프로토콜 정보, HTTP 헤더 정보, 연결 정보를 확인해야 함분석 도구tcpdstatngrep, httpryargus설명수집된 트래픽의 프로토콜 종류 등에 관한 정보 확인http header에 관한 정보 확인concurrent connection에 관한 정보 확인· 분석도구 기능 및 설치 방법- 상기 표시된 모든 도구의 필수 패키지패키지의 의존성 때문에 libpcap 은 필수적으로 설치되어 있어야 함031
- tcpdstat :캡처된 pcap 파일의 정보 조회 및 프로토콜별 사용량 확인이 가능하고 파일 내에서의 평균 트래픽과 최대 트래픽 등의 정보를 제공,rpm을 이용하여 설치- ngrep :실시간 패킷 확인하고 옵션 설정으로 사용자가 필요한 내용만 필터링 가능, Header와 data의 확인 가능, yum을 이용하여 설치- httpry :http protocol(80port)를 사용하는 패킷을 캡처하고 호출되는 콘텐츠의 Method별 확인 가능, source file을 이용하여 설치- argus :네트워크 패킷을 모니터링 하는 툴이며 bps, pps, cps, rps 정보 생성source file 및 rpm 을 이용하여 설치, http://www.qosient.com/argus/index.shtml· 분석도구 사용 시 주요 확인 사항- tcpdstat :평균/최대 트래픽, 사용 중인 프로토콜 종류, 프로토콜별 사용량032