1.패킷 캡처 메뉴 이동
/maint/pktcap/data
capture : 패킷을 캡처하기 시작합니다. 해당 명령어는 다양한 옵션으로 필터가 가능합니다.
stop : capture 명령어로 캡처를 시작한 후 캡처를 중단하는 명령어입니다.
dump : 캡처한 명령어를 출력합니다.
clearcap : 캡처한 파일을 삭제합니다.
2.패킷 캡처 과정
(1) capture로 패킷을 캡처합니다.
(2) stop로 패킷 캡처를 중단합니다.
(3) dumpcap으로 캡처한 패킷을 출력합니다.
(4) clearcap 캡처한 패킷을 삭제합니다.
3. capture 옵션
-c : count 옵션으로 총 캡처할 패킷 량을 정합니다. 범위는 0-1000000000 까지 입니다. EX) capture -c 3000 ##패킷을 3000 개 까지만 캡처합니다.
-p : 특정 포트에 대해 패킷을 캡처합니다. EX) capture -p 1 ##1번 포트에 대해 패킷을 캡처합니다.
-v : 특정 vlan에 대해 패킷을 캡처합니다. EX) capture -v 1 ##vlan 1으로 통신하는 패킷을 캡처합니다.
-e : 패킷을 실시간으로 캡처 및 출력합니다. *해당 옵션을 단독으로 사용하면 캡처가 끊기지 않을 수 있습니다. 반드시 -c옵션이나 다른 패킷의 조건을 제한하는 옵션을 같이 사용해야 합니다. EX) capture -e -c200 ##실시간으로 패킷을 200개 까지 캡처 및 바로 출력합니다.
그 외 옵션 **해당 옵션들은 and/or 를 이용하여 여러 조건으로 캡처 가능합니다.
host <IP> : 특정 host의 패킷을 캡처합니다. EX) capture host 192.168.10.5 ##192.168.10.5 의 패킷을 캡처합니다.
dst host <IP> : 특정 ip가 목적지인 패킷을 캡처합니다. EX) capture dst host 192.168.10.5 ##목적지 ip 가 192.168.10.5 인 패킷을 캡처합니다.
src host <IP> : 특정 ip가 소스인 패킷을 캡처합니다. EX) capture src host 192.168.10.5 ##소스 ip 가 192.168.10.5 인 패킷을 캡처합니다.
port <포트번호> : 특정 포트를 가진 패킷을 캡처합니다. EX) capture port 80 ##80포트로 통신하는 패킷을 캡처합니다.
4. 예시
웹(http) 부하분산 패킷 캡처 예시입니다.
클라이언트:192.168.4.10 , 서비스vip:192.168.10.172 , 실제웹서버:192.168.10.161
(1)목적지 ip가 192.168.10.172 이고 port 80 으로 통신하는 패킷을 100개 까지만 캡처
capture -c 100 dst host 192.168.10.172 and port 80
(2)캡처를 중단합니다.
stop
100개 까지만 캡처된 것을 확인할 수 있습니다.
(3)캡처를 확인합니다.
dumpcap
(4)패킷 캡처를 삭제합니다.
clearcap
——————————————————————————————————————————————————————————
(1)192.168.4.10 , 192.168.10.172 의 통신 패킷, 192.168.10.161 , 192.168.4.10 의 통신 패킷을 동시에 캡처합니다. 총 300개의 패킷을 캡처합니다.
capture -c 300 host 192.168.4.10. and host 192.168.10.172 or host 192.168.10.161 and host 192.168.4.10
(2)캡처를 중단합니다.
stop
(3)캡처를 확인합니다.
dumpcap
(4)패킷 캡처를 삭제합니다.
clearcap
출처:https://support.radware.com/app/answers/answer_view/a_id/1028300/~/alteon-filters-or-flags-usage-during-packet-capturing-