Packet sniffing을 하여 중요 정보를 출력할 때 매번 다른 패킷들이 수신되어 디버깅하기가 힘들다. 똑같은 패턴의 패킷이 특정 인터페이스에서 수신할 수 있도록 하는 팁을 소개한다.


pcap file 생성

Wireshark를 이용하여 File - Export Specified Packets 명령을 통해 특정 패킷을 pcap file로 저장한다.
tcp-port-80-test.gilgil.net.pcap
udp-port-80-test.gilgil.net.pcap
arp.pcap


dummy interface 추가

다음과 같은 명령어로 dummy interface를 추가한다.

sudo ip link add dum0 type dummy
sudo ifconfig dum0 up

추가된 interface는 추후 다음과 같은 명령어로 삭제할 수 있다.

sudo ip link del dum0


패킷 스니핑 테스트

이후 패킷을 잡을 때 해당 dum0 인터페이스에서 패킷을 수신한다.

sudo ./pcap-test dum0


패킷 전송

tcpreplay 명령어를 이용하여 해당 interface에 패킷을 전송한다.

sudo tcpreplay -i dum0 test.gilgil.net.pcap


Youtube

https://youtu.be/mN-_tGIh934