entender el encabezado tcp

4

Los primeros 16 bits en un encabezado tcp, (rfc793), son para el puerto de origen, ¿verdad? Los siguientes 16 son para el puerto de destino. Cuando ejecuto tcpdump -xxpuedo reconocer las direcciones MAC de los cuadros en mi sistema. ¿Esto significa que los "puertos" son direcciones MAC?

tcpdump 
jayeola
fuente
¿Qué está -xxhaciendo el interruptor ?, solo veo -xy -Xen la página de manual de tcpdump Los únicos interruptores que veo que soportan múltiples copias son v, t, n, yd
de Scott Chamberlain
@ScottChamberlain: ¿Qué versión de tcpdumpestás usando? 4.3.0 has -xx.
Grawity
@grawity No tengo mi caja cerca de mí ahora, así que simplemente busqué en Google y llegué aquí
Scott Chamberlain
@ScottChamberlain: Esa es de 2002. La última versión está en el sitio web oficial .
Grawity

Respuestas:

3

No, no lo son.

Independientemente de su nombre, tcpdump captura paquetes en el nivel más bajo posible, no se limita solo a TCP.

Cuando lo usa -xx, tcpdump genera el encabezado de la capa de enlace de todos los paquetes, por lo que los primeros 4 bytes de la salida no son TCP, son parte de la trama de Ethernet.

Incluso con plain -x, tcpdump imprimiría el encabezado IP antes de TCP / UDP.

Si desea ver la estructura del paquete, use Wireshark en su lugar; mostrará cada paquete como un árbol y resaltará los bytes específicos para cada valor.

Gravedad
fuente
¡Excelente! Parece que estaba usando las opciones incorrectas y que estaba incluyendo la capa de enlace.
jayeola
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.