TCP 标头(rfc793)中的前 16 位用于源端口,对吗?接下来的 16 位用于目标端口。运行时,tcpdump -xx我可以识别系统上盒子的 MAC 地址。这是否意味着“端口”是 MAC 地址?
答案1
不,不是。
无论其名称如何,tcpdump 都会在最低可能的级别捕获数据包 – 它并不局限于 TCP。
当您使用时-xx,tcpdump 输出链路层所有数据包的标头,因此输出的前 4 个字节不是 TCP – 它们是以太网帧的一部分。
即使使用普通的-x,tcpdump 也会在 TCP/UDP 之前打印 IP 头。
如果您想查看数据包结构,请使用 Wireshark – 它会将每个数据包显示为一棵树,并突出显示每个值的特定字节。