Os primeiros 16 bits em um cabeçalho TCP (rfc793) são para a porta de origem, certo? Os próximos 16 são para o porto de destino. Quando executo, tcpdump -xxconsigo reconhecer endereços MAC de caixas no meu sistema. Isso significa que as “portas” são endereços MAC?
Responder1
Não, eles não são.
Independentemente do nome, o tcpdump captura pacotes no nível mais baixo possível – ele não se limita apenas ao TCP.
Quando você usa -xx, o tcpdump gera ocamada de linkcabeçalho de todos os pacotes, portanto os primeiros 4 bytes da saída não são TCP – eles fazem parte do quadro Ethernet.
Mesmo com plain -x, o tcpdump imprimiria o cabeçalho IP antes do TCP/UDP.
Se você quiser ver a estrutura do pacote, use o Wireshark – ele exibirá cada pacote como uma árvore e destacará os bytes específicos para cada valor.