Как получить весь MAC-адрес из захваченного пакета?

Question

Как получить весь MAC-адрес из захваченного пакета?

tcpdump -i любой -w all.cap
Теперь, как получить все MAC-адреса из захваченного пакета?
Тот же Mac-адрес, что и один адрес.

1

tcpdump

Источник

it_is_a_literature 09 июн '16 в 10:12

1 ответ

Решение

Другие вопросы по тегам tcpdump

2707974 09 июн '16 в 11:51 2016-06-09 11:51 · Accepted Answer · 2016-06-09 11:51

Первая установка tshark

sudo apt-get install tshark

Теперь у нас есть инструмент для чтения содержимого .cap файл

С командой

tshark -r all.cap -i eth0 -nn -e eth.src -Tfields

вы получите что-то вроде этого

00:17:31:91:0c:8c
00:17:31:91:0c:8c
00:17:31:91:0c:8c
00:e0:1e:b4:12:42
00:17:31:91:0c:8c
00:17:31:91:0c:8c
54:a0:50:64:cc:39
00:e0:1e:b4:12:42
54:a0:50:64:cc:39
00:e0:1e:b4:12:42
54:a0:50:64:cc:39
00:e0:1e:b4:12:42
54:a0:50:64:cc:39
00:17:31:91:0c:8c
00:17:31:91:0c:8c
54:a0:50:64:cc:39

или вы можете изменить командир

tshark -r aalmac.pcap -i eth0 -nn -e ip.src -e eth.src -Tfield

и получить вывод

xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.205 00:17:31:91:0c:8c
    00:e0:1e:b4:12:42
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.5   54:a0:50:64:cc:39
xxx.xxx.xxx.40  00:e0:1e:b4:12:42
xxx.xxx.xxx.5   54:a0:50:64:cc:39
xxx.xxx.xxx.247 00:e0:1e:b4:12:42
xxx.xxx.xxx.5   54:a0:50:64:cc:39
xxx.xxx.xxx.189 00:e0:1e:b4:12:42
xxx.xxx.xxx.5   54:a0:50:64:cc:39
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.5   54:a0:50:64:cc:39
xxx.xxx.xxx.143 00:e0:1e:b4:12:42
xxx.xxx.xxx.5   54:a0:50:64:cc:39
xxx.xxx.xxx.143 00:e0:1e:b4:12:42
xxx.xxx.xxx.5   54:a0:50:64:cc:39
xxx.xxx.xxx.155 00:e0:1e:b4:12:42
xxx.xxx.xxx.5   54:a0:50:64:cc:39
    00:e0:1e:b4:12:42
xxx.xxx.xxx.154 00:e0:1e:b4:12:42
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.5   54:a0:50:64:cc:39

Вы можете видеть, что на некоторых IP у меня есть два или более MAC-адреса. Это означает, что ip приходит ко мне с того же порта на маршрутизаторе.

Далее вы можете изменить команду, чтобы она выглядела так

 tshark -r all.cap -i eth0 -nn -e eth.src -Tfields | sort | uniq

и вы получите отсортированную и уникальную пару mac <-> ip

xxx.xxx.xxx.154 00:e0:1e:b4:12:42
xxx.xxx.xxx.69  00:e0:1e:b4:12:42
xxx.xxx.xxx.69  00:e0:1e:b4:12:42
xxx.xxx.xxx.143 00:e0:1e:b4:12:42
xxx.xxx.xxx.155 00:e0:1e:b4:12:42
xxx.xxx.xxx.23  00:e0:1e:b4:12:42
xxx.xxx.xxx.13  00:e0:1e:b4:12:42
xxx.xxx.xxx.247 00:e0:1e:b4:12:42
xxx.xxx.xxx.77  00:e0:1e:b4:12:42
xxx.xxx.xxx.138 00:e0:1e:b4:12:42
xxx.xxx.xxx.18  00:1e:8c:a8:3a:9b
xxx.xxx.xxx.205 00:17:31:91:0c:8c

...