dns netstat route arp tcpdump

cat/etc/resolv.conf#dns 정보
nameserver 192.168.100.2
netstat -r -n # 라우팅 테이블, 게이트웨이 정보
or
route -n
ifconfig #ip 정보, 적용, package 보내기
arp# IP와 맥 주소를 연결하여 arp의 사기를 방지하고 교환기에서 제어하는 것이 가장 좋다
tcpdump
cpdump와wireshark
Wireshark (이전에는 ethereal) 는 Windows에서 매우 간단하고 쉽게 사용할 수 있는 패키지 도구이다.그러나 리눅스에서 사용하기 좋은 도형화 패키지 도구를 찾기는 매우 어렵다.Tcpdump가 있어서 다행이다.우리는 Tcpdump + Wireshark의 완벽한 조합으로 리눅스에서 가방을 잡고 Windows에서 가방을 분석할 수 있다.

tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1) tcp: ip icmp arp rarp와 tcp,udp,icmp 등 옵션은 모두 첫 번째 파라미터의 위치에 두어야 한다. 데이터 보고서를 필터하는 유형(2)-i eth1: 인터페이스를 통과한 eth1의 가방만 잡기(3)-t: 시간 스탬프를 표시하지 않음(4)-s0: 데이터 패키지를 캡처할 때 기본 캡처 길이는 68바이트이다.-S 0을 더하면 완전한 패킷을 잡을 수 있습니다(5)-c 100: 패킷 100개만 잡습니다(6)dst port!22: 캡처되지 않은 대상 포트가 22인 패킷(7)srcnet 192.168.1.0/24: 패킷의 소스 네트워크 주소는 192.168.1.0/24(8)-w./target.cap:cap 파일로 저장하여 ethereal (즉wireshark) 분석을 편리하게 합니다
 
tcpdump를 사용하여 HTTP 패키지 캡처

tcpdump  -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854

0x4745는 "GET"앞의 두 글자 "GE", 0x4854는 "HTTP"앞의 두 글자 "HT"입니다.
 
tcpdump는 캡처된 데이터에 대해 철저한 디코딩을 하지 않았고 패키지 내의 대부분 내용은 16진법의 형식으로 출력된 것이다.분명히 이것은 네트워크 고장을 분석하는 데 불리하다. 일반적인 해결 방법은 먼저 - w 파라미터가 있는 tcpdump를 사용하여 데이터를 캡처하여 파일에 저장한 다음에 다른 프로그램 (예:Wireshark) 을 사용하여 디코딩 분석을 하는 것이다.물론 포획된 패키지가 하드디스크 전체를 채우지 않도록 필터 규칙도 정의해야 한다.