반응형
TCP SYN과 Reset 패킷을 확인
$ tcpdump -i enp1s0 -nN "tcp[tcpflags] == tcp-syn or tcp[tcpflags] == tcp-rst"
16:55:16.516453 IP 65.49.1.10.42458 > 112.169.87.89.87: Flags [S], seq 3730493766, win 65535, length 0
16:55:19.755480 IP 140.99.191.218.57246 > 112.169.89.88.26720: Flags [S], seq 417367123, win 1024, length 0
16:55:19.960898 IP 140.99.191.218.57246 > 112.169.89.88.26720: Flags [R], seq 417367124, win 1200, length 0
16:55:19.991267 IP 185.11.61.225.44794 > 112.169.89.88.38956: Flags [S], seq 163297978, win 1024, length 0
16:55:20.146215 IP 185.11.61.225.44794 > 112.169.89.88.38956: Flags [R], seq 163297979, win 1200, length 0
16:55:38.865833 IP 140.99.191.218.57246 > 112.169.89.88.19331: Flags [S], seq 523253283, win 1024, length 0
SSH 특정 세션(또는 새 세션) 확인
현재 사용하고 있는 터미널의 SSH 세션 트래픽을 제외하고 새로운 SSH 세션 트래픽만 모니터링하고 싶다면 아래와 같이 Filter 옵션을 사용한다.
## 기존에 이미 연결되어 있는 SSH 세션을 찾는다.
$ ss | grep ssh
tcp ESTAB 0 52 172.31.11.16:ssh 182.168.67.13:58608
tcp ESTAB 0 52 172.31.11.16:ssh 182.168.67.13:35312
## 위 2개 SSH 세션을 제외하고, 새로 연결될 SSH 세션의 트래픽만 모니터링하려면 아래와 같이
## tcpdump 필터 옵션을 추가한다.
$ tcpdump -i eth2 -n 'dst port 22 and not (src port 58608 or src port 35312)'
'Network' 카테고리의 다른 글
| VPN/IPsec, Netfilter Packet Flow 스터디 자료 모음 (0) | 2023.09.06 |
|---|---|
| TCP/IP Network (0) | 2023.08.01 |
| 10G L3 Switch 장비 추천 (NEXTU 3424GL3-10G) (3) | 2023.04.13 |
| Linux Networking Control with C language, Golang (Netfilter, Netlink) (0) | 2023.03.03 |
| CISCO ACI(Application Centric Infra), APIC and Kubernetes (0) | 2022.07.19 |