Cómo ver las direcciones MAC con tcpdump

Mediante tcpdump podemos obtener una gran cantidad de información, incluida la capa de enlace que muchas veces se obvia. Vamos a ver como ver con tcpdump la información contenida en las tramas Ethernet, incluyendo la dirección MAC de origen y destino.

La opción de tcpdump para ver la información de la capa de enlace es el -e, obteniendo una información como la siguiente:

# tcpdump -enni eth0
07:29:42.968885 00:d0:88:ff:de:ad > 00:12:a0:85:de:ad, ethertype 802.1Q (0x8100), length 64: vlan 69, p 0, ethertype IPv4, 10.20.2.3.2000 > 10.2.8.26.49977: Flags [.], ack 1879936024, win 16384, length 0
07:29:43.300748 00:13:1a:de:ad:dd > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.20.0.60 tell 10.20.0.1, length 46
07:29:47.797683 00:31:1a:de:ad:dd > 00:d1:09:d5:de:ad, ethertype IPv4 (0x0800), length 1414: 10.92.52.88.80 > 10.20.0.100.43162: Flags [.], seq 4044:5392, ack 1, win 1716, options [nop,nop,TS val 1790881713 ecr 1816288650], length 1348

Los campos añadidos de la capa de enlace que veremos son los siguientes:

• Dirección MAC del equipo que emite la trama
• Dirección MAC del equipo que recibe la trama
• Ethertype: Dos bytes encargados de indicar que protocolo esta encapsulado en la trama Ethernet. Tenemos el listado del IEEE de Ethertypes, en los ejemplos anteriores aparecen los siguientes:
  • 0x0800: IPv4
  • 0x0806: ARP: En este caso la dirección destino es a broadcast (ff:ff:ff:ff:ff:ff) ya que esta preguntando por la dirección MAC dada una IP
  • 0x8100: 802.1q: Paquetes etiquetados con la VLAN. En este caso obtendremos también el número de VLAN y el EtherType del paquete que encapsula este protocolo
• Length: Finalmente obtendremos el tamaño del payload