TCP 標頭 (rfc793) 中的前 16 位元用於來源端口,對吧?接下來的 16 個是目的地連接埠。當我運行時,tcpdump -xx我可以識別系統上盒子的 MAC 位址。這是否意味著“連接埠”是 MAC 位址?
答案1
不,他們不是。
不管它的名字如何,tcpdump 都會在盡可能低的層級捕獲封包 - 它不僅限於 TCP。
當您使用時-xx, tcpdump 輸出連結層所有封包的標頭,因此輸出的前 4 個位元組不是 TCP – 它們是乙太網路幀的一部分。
即使使用 plain -x, tcpdump 也會在 TCP/UDP 之前列印 IP 標頭。
如果您想查看資料包結構,請使用 Wireshark - 它將每個資料包顯示為樹,並突出顯示每個值的特定位元組。