Los primeros 16 bits de un encabezado tcp (rfc793) son para el puerto de origen, ¿verdad? Los siguientes 16 son para el puerto de destino. Cuando ejecuto tcpdump -xxpuedo reconocer las direcciones MAC de las casillas de mi sistema. ¿Significa esto que los "puertos" son direcciones MAC?
Respuesta1
No, no lo son.
Independientemente de su nombre, tcpdump captura paquetes en el nivel más bajo posible; no se limita solo a TCP.
Cuando usa -xx, tcpdump genera elcapa de enlaceencabezado de todos los paquetes, por lo que los primeros 4 bytes de la salida no son TCP, sino que forman parte de la trama Ethernet.
Incluso con Plain -x, tcpdump imprimiría el encabezado IP antes que TCP/UDP.
Si desea ver la estructura del paquete, utilice Wireshark en su lugar: mostrará cada paquete como un árbol y resaltará los bytes específicos de cada valor.