tcpdump

tcpdump 콘솔 출력
개발자	Tcpdump 팀
발표일	1988년(38년 전)(1988)
안정화 버전	4.99.6[1]  / 2025년 12월 30일(5개월 전)(2025년 12월 30일)
저장소	github.com/the-tcpdump-group/tcpdump
운영 체제	리눅스, 솔라리스, FreeBSD, NetBSD, OpenBSD, 맥 OS X, 기타 *NIX 운영 체제, 윈도우
종류	패킷 가로채기
라이선스	BSD 라이선스
웹사이트	www.tcpdump.org

tcpdump는 명령 줄에서 실행하는 일반적인 패킷 가로채기 소프트웨어이다. 사용자가 TCP/IP뿐 아니라, 컴퓨터에 부착된 네트워크를 통해 송수신되는 기타 패킷을 가로채고 표시할 수 있게 도와 준다. BSD 허가서를 통해 배포되는^[2] tcpdump는 자유 소프트웨어이다.

tcpdump는 리눅스, 솔라리스, BSD, 맥 OS X, HP-UX, AIX 따위의 대부분의 유닉스 계열 운영 체제에서 동작하며 여기서 libpcap 라이브러리를 사용하여 패킷을 포획한다. 윈도우용 tcpdump 이식판으로는 WinDump가 있으며, 이는 libpcap의 윈도 이식판인 WinPcap을 이용한다.

tcpdump [ -AdDefIKlLnNOpqRStuUvxX ][ -B buffer_size ][ -c count ][ -C file_size ][ -G rotate_seconds ][ -F file ][ -i interface ][ -m module ][ -M secret ][ -r file ][ -s snaplen ][ -T type ][ -w file ][ -W filecount ][ -E spi@ipaddr algo:secret,... ][ -y datalinktype ][ -z postrotate-command ][ -Z user ]

-A

패킷의 내용을 화면에 ASCII로 보여준다

-B

운영 체제가 캡처하는 버퍼 크기를 buffer_size로 바꾼다.

-c

주어진 수의 패킷을 받은 후 종료한다.

-C

방금 받은 패킷을 저장파일로 만들기 전에 파일이 file_size보다 큰지 체크한다. 만약 그렇다면, 현재 저장파일을 닫고 새로 하나를 연다. 저장된 파일의 이름은 -w 기호를 이용해 1부터 시작해 하나씩 늘어난다.(1,048,576 바이트가 아니라 1,000,000바이트이다)

-d

컴파일된 packet-matching code를 사람이 읽을 수 있는 표준형으로 바꾼후 멈춘다.

-dd

packet-matching 코드를 C 프로그램의 일부로 표현한다.

-ddd

packet-matching 코드를 십진수로 표현한다.

-D

tcpdump가 패킷을 잡을 수 있는 시스템 상에 가능한 네트워크 인터페이스 목록을 출력한다. 각각의 네트워크 인터페이스에는 번호와 인터페이스 이름이 매겨져 있어야 하고 그에 해당하는 설명이 덧붙여져 있어야 한다. 이 기능은 tcpdump가 오래된 버전일 경우에 지원되지 않을 수 있다.

-e

링크 레벨 헤더를 각각 덤프라인에 출력한다.

-f

외부 IPv4 주소를 되도록 심볼(상징적)이 아닌 숫자로서 표현한다.

-F

파일을 필터식(filter expression)으로 입력한다. 추가적으로 명령창에 입력된 식은 무시된다.

-G

이 옵션을 지정하면 덤프 파일을 -w 옵션으로 매 초마다 회전해 회전된 덤프파일을 저장한다. 저장된 파일은 -w 옵션으로 strftime으로 시간 정보가 정의 되어 이름에 포함되어야 한다. 만약 시간 형식이 저장되지 않으면 매번 새로운 파일은 원래 있던 파일에 덮어 씌워 진다. 만약 -C 옵션과 함께 쓰인다면 이름은 'file<count>'형식으로 저장된다.

-i

인터페이스를 정한다. 정해지지 않았으면 tcpdump는 시스템 인터페이스 목록에서 가장 낮은 숫자를 고른다.

-I

인터페이스를 "monitor mode"로 놓는다. 이는 IEEE 802.11 와이파이 인터페이스에서만 작동되고 몇몇 운영 체제에서만 지원된다.

• pcap (libpcap)

• tcpdump - 공식 웹사이트 (libpcap 포함)
• WinDump - 공식 웹사이트