Первые 16 бит в заголовке tcp (rfc793) предназначены для порта источника, верно? Следующие 16 предназначены для порта назначения. Когда я запускаю, tcpdump -xxя могу узнать MAC-адреса ящиков в моей системе. Означает ли это, что «порты» являются MAC-адресами?
4
-xxделает ?, я вижу только-xи-Xна странице человека для ТСРйитра. Единственные выключатели , я вижу , что поддерживает несколько копийv,t,nиdtcpdumpвы используете? 4.3.0 имеет-xx.Ответы:
Нет, это не так.
Независимо от его имени, tcpdump перехватывает пакеты на самом низком уровне - он не ограничивается только TCP.
Когда вы используете
-xx, tcpdump выводит заголовок канального уровня всех пакетов, поэтому первые 4 байта вывода не являются TCP - они являются частью кадра Ethernet.Даже при обычном
-xtcpdump будет печатать заголовок IP перед TCP / UDP.Если вы хотите увидеть структуру пакета, используйте вместо этого Wireshark - он отобразит каждый пакет в виде дерева и выделит конкретные байты для каждого значения.
источник