Первые 16 бит в заголовке tcp (rfc793) предназначены для порта источника, верно? Следующие 16 предназначены для порта назначения. Когда я запускаю tcpdump -xx я могу узнать MAC-адреса ящиков в моей системе. Означает ли это, что "порты" являются MAC-адресами?
4
1 ответ
3
Нет, это не так.
Независимо от его имени, tcpdump перехватывает пакеты на самом низком уровне - он не ограничивается только TCP.
Когда вы используете -xx , tcpdump выводит заголовок канального уровня всех пакетов, поэтому первые 4 байта вывода не являются TCP - они являются частью кадра Ethernet.
Даже с обычным -x , tcpdump будет печатать заголовок IP до TCP/UDP.
Если вы хотите увидеть структуру пакета, используйте вместо этого Wireshark - он отобразит каждый пакет в виде дерева и выделит конкретные байты для каждого значения.