TCP 헤더의 처음 16비트(rfc793)는 소스 포트용입니다. 그렇죠? 다음 16개는 대상 포트용입니다. 실행하면 tcpdump -xx시스템에 있는 상자의 MAC 주소를 인식할 수 있습니다. 이것은 "포트"가 MAC 주소라는 것을 의미합니까?
답변1
아니요, 그렇지 않습니다.
이름에 관계없이 tcpdump는 가능한 가장 낮은 수준에서 패킷을 캡처합니다. 이는 TCP에만 국한되지 않습니다.
를 사용하면 -xxtcpdump는 다음을 출력합니다.링크 레이어모든 패킷의 헤더이므로 출력의 처음 4바이트는 TCP가 아니며 이더넷 프레임의 일부입니다.
plain을 사용하더라도 -xtcpdump는 TCP/UDP보다 먼저 IP 헤더를 인쇄합니다.
패킷 구조를 보려면 대신 Wireshark를 사용하십시오. 그러면 모든 패킷이 트리로 표시되고 모든 값에 대한 특정 바이트가 강조 표시됩니다.