systemadmin.es > Redes > Cómo ver las direcciones MAC con tcpdump

Cómo ver las direcciones MAC con tcpdump

Mediante tcpdump podemos obtener una gran cantidad de información, incluida la capa de enlace que muchas veces se obvia. Vamos a ver como ver con tcpdump la información contenida en las tramas Ethernet, incluyendo la dirección MAC de origen y destino.

La opción de tcpdump para ver la información de la capa de enlace es el -e, obteniendo una información como la siguiente:

# tcpdump -enni eth0
07:29:42.968885 00:d0:88:ff:de:ad > 00:12:a0:85:de:ad, ethertype 802.1Q (0x8100), length 64: vlan 69, p 0, ethertype IPv4, 10.20.2.3.2000 > 10.2.8.26.49977: Flags [.], ack 1879936024, win 16384, length 0
07:29:43.300748 00:13:1a:de:ad:dd > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.20.0.60 tell 10.20.0.1, length 46
07:29:47.797683 00:31:1a:de:ad:dd > 00:d1:09:d5:de:ad, ethertype IPv4 (0x0800), length 1414: 10.92.52.88.80 > 10.20.0.100.43162: Flags [.], seq 4044:5392, ack 1, win 1716, options [nop,nop,TS val 1790881713 ecr 1816288650], length 1348

Los campos añadidos de la capa de enlace que veremos son los siguientes:

  • Dirección MAC del equipo que emite la trama
  • Dirección MAC del equipo que recibe la trama
  • Ethertype: Dos bytes encargados de indicar que protocolo esta encapsulado en la trama Ethernet. Tenemos el listado del IEEE de Ethertypes, en los ejemplos anteriores aparecen los siguientes:
    • 0x0800: IPv4
    • 0x0806: ARP: En este caso la dirección destino es a broadcast (ff:ff:ff:ff:ff:ff) ya que esta preguntando por la dirección MAC dada una IP
    • 0x8100: 802.1q: Paquetes etiquetados con la VLAN. En este caso obtendremos también el número de VLAN y el EtherType del paquete que encapsula este protocolo
  • Length: Finalmente obtendremos el tamaño del payload

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>