Los primeros 16 bits en un encabezado tcp, (rfc793), son para el puerto de origen, ¿verdad? Los siguientes 16 son para el puerto de destino. Cuando ejecuto tcpdump -xxpuedo reconocer las direcciones MAC de los cuadros en mi sistema. ¿Esto significa que los "puertos" son direcciones MAC?
4
-xxhaciendo el interruptor ?, solo veo-xy-Xen la página de manual de tcpdump Los únicos interruptores que veo que soportan múltiples copias sonv,t,n, ydtcpdumpestás usando? 4.3.0 has-xx.Respuestas:
No, no lo son.
Independientemente de su nombre, tcpdump captura paquetes en el nivel más bajo posible, no se limita solo a TCP.
Cuando lo usa
-xx, tcpdump genera el encabezado de la capa de enlace de todos los paquetes, por lo que los primeros 4 bytes de la salida no son TCP, son parte de la trama de Ethernet.Incluso con plain
-x, tcpdump imprimiría el encabezado IP antes de TCP / UDP.Si desea ver la estructura del paquete, use Wireshark en su lugar; mostrará cada paquete como un árbol y resaltará los bytes específicos para cada valor.
fuente