Die ersten 16 Bits in einem TCP-Header (rfc793) sind für den Quellport, richtig? Die nächsten 16 sind für den Zielport. Beim Ausführen tcpdump -xxkann ich die MAC-Adressen der Boxen auf meinem System erkennen. Bedeutet das, dass die „Ports“ MAC-Adressen sind?
Antwort1
Nein, sind sie nicht.
Ungeachtet seines Namens erfasst tcpdump Pakete auf der niedrigstmöglichen Ebene – es beschränkt sich nicht nur auf TCP.
Wenn Sie verwenden -xx, gibt tcpdump dieVerbindungsschichtHeader aller Pakete, daher sind die ersten 4 Bytes der Ausgabe nicht TCP – sie sind Teil des Ethernet-Frames.
Sogar mit plain -xwürde tcpdump den IP-Header vor TCP/UDP drucken.
Wenn Sie die Paketstruktur sehen möchten, verwenden Sie stattdessen Wireshark – es zeigt jedes Paket als Baum an und hebt die spezifischen Bytes für jeden Wert hervor.