와이어 샤크와 Tcpdump의 차이

tcpdump 명령어를 사용하면 네트워크 인터페이스로 오가는 모든 패킷을 캡처할 수 있다.

• tcpdump



 
tcpdump는 주로 리눅스 환경에서 사용하지만, 리눅스 커널 기반의 네트워크에서도 많이 사용되는 패킷을 캡처할 수 있는 명령어다.
 
tcpdump를 사용하면 네트워크 인터페이스로 오가는 모든 패킷을 캡처할 수 있다고 한다.
네트워크 트래픽을 실시간으로 모니터링하고, 패킷을 캡처해 장애가 난 부분을 파악하는데 주로 사용되는데, 특정 Protocol이나 IP 주소, 포트 등을 필터링하여 사용할 수 있다.
 
예를들면 이런식이다.

// -i는 패킷을 캡처할 인터페이스를 의미한다.

// HTTP 서비스 패킷 캡처
tcpdump -i interface_name tcp port 80
// 172.16.10.10이 출발지 또는 목적지면서 HTTP 패킷 캡처
tcpdump -i interface_name tcp port 80 and host 172.16.10.10
// ssh(22번 포트)를 제외한 전체 패킷 캡처
tcpdump -i interface_name not tcp port 22

 

• 와이어 샤크(Wireshark)



 
Wireshark는 네트워크 패킷 분석 도구로, 네트워크 트래픽을 실시간으로 캡처하고 분석하는 데 사용되며, 강력한 네트워크 프로토콜 분석을 제공해준다.
 
간단하게 어떤 기능을 지원하는지 살펴보면,
• 패킷 캡처 기능
• 패킷 분석을 위한 GUI 제공
• 캡처된 패킷 저장 기능 제공
• 크로스 플랫폼(Window, Linux 등) 지원…..
 
등이 있는데 위에서 설명한 것과는 별개로 다양한 기능을 지원하고 있다.
 
와이어 샤크는 네트워크 인터페이스를 통해 전송되는 모든 패킷을 캡처할 수 있을 뿐만 아니라 필터링 기능도 지원하며, 바이너리 트래픽을 사람이 볼 수 있는 형식으로 변환하는 등 강력한 네트워크 추적 기능을 제공한다.
 
암호화된 LTS 트래픽을 가로채 분석할 수도 있으며, 악의적 트래픽을 분석할 수도 있고 패킷을 시각화하여 트래픽의 흐름이나 추세를 쉽게 파악시켜줄 수도 있다.
 
Window에서 메인으로 사용하는 유선 이더넷의 패킷을 캡처하면 다음과 같이 나온다.



시간 / 출발지 IP / 목적지 IP / Protocol / length / info 등…
 
와이어 샤크를 사용하면 내 Window PC나 리눅스 상에서 동작하는 EC2같은 서버의 패킷을 캡처하여 네트워크 트래픽을 분석하고, 디버깅할 수 있다.
 

1. tcpdump는 명령어를 사용하여 동작하는 반면, Wireshark는 그래픽 사용자 인터페이스(GUI)를 통해 동작한다.

2. tcpdump는 주로 패킷 캡처와 저장에 중점을 두며 필터링 기능을 지원하지만, 패킷을 디코딩하거나 시각적으로 이해하기 쉬운 형태로 표시하지는 않는다.