Como obter todo o endereço MAC do pacote capturado? [fechadas]

Question

Como obter todo o endereço MAC do pacote capturado? [fechadas]

#1 resposta do 2707974 (1 votos)

1

tcpdump -i any -w all.cap
Agora como obter todo o endereço mac do pacote capturado?
O mesmo endereço mac de um endereço.

por it_is_a_literature 09.06.2016 / 12:12

1 resposta

Pacotes de destino (principal / binary-amd64 / Packages) é configurado várias vezes com o Ubuntu 16.04 [duplicate] Instalando o GATE no meu computador

score 1 · Accepted Answer

Primeiro, instale tshark

sudo apt-get install tshark

Agora temos uma ferramenta para ler o conntent do arquivo .cap

com o comando

tshark -r all.cap -i eth0 -nn -e eth.src -Tfields

você obterá uma saída assim como esta

00:17:31:91:0c:8c
00:17:31:91:0c:8c
00:17:31:91:0c:8c
00:e0:1e:b4:12:42
00:17:31:91:0c:8c
00:17:31:91:0c:8c
54:a0:50:64:cc:39
00:e0:1e:b4:12:42
54:a0:50:64:cc:39
00:e0:1e:b4:12:42
54:a0:50:64:cc:39
00:e0:1e:b4:12:42
54:a0:50:64:cc:39
00:17:31:91:0c:8c
00:17:31:91:0c:8c
54:a0:50:64:cc:39

ou você pode modificar a commanad

tshark -r aalmac.pcap -i eth0 -nn -e ip.src -e eth.src -Tfield

e obtenha o resultado

xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.205 00:17:31:91:0c:8c
    00:e0:1e:b4:12:42
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.5   54:a0:50:64:cc:39
xxx.xxx.xxx.40  00:e0:1e:b4:12:42
xxx.xxx.xxx.5   54:a0:50:64:cc:39
xxx.xxx.xxx.247 00:e0:1e:b4:12:42
xxx.xxx.xxx.5   54:a0:50:64:cc:39
xxx.xxx.xxx.189 00:e0:1e:b4:12:42
xxx.xxx.xxx.5   54:a0:50:64:cc:39
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.5   54:a0:50:64:cc:39
xxx.xxx.xxx.143 00:e0:1e:b4:12:42
xxx.xxx.xxx.5   54:a0:50:64:cc:39
xxx.xxx.xxx.143 00:e0:1e:b4:12:42
xxx.xxx.xxx.5   54:a0:50:64:cc:39
xxx.xxx.xxx.155 00:e0:1e:b4:12:42
xxx.xxx.xxx.5   54:a0:50:64:cc:39
    00:e0:1e:b4:12:42
xxx.xxx.xxx.154 00:e0:1e:b4:12:42
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.5   54:a0:50:64:cc:39

Você pode ver que em algum ip eu tenho dois ou mais endereços mac. Isso significa que o ip me vem da mesma porta no roteador.

Em seguida, você pode modificar o comando para ficar assim

 tshark -r all.cap -i eth0 -nn -e eth.src -Tfields | sort | uniq

e você receberá um mac único e classificado < - > par de ip

xxx.xxx.xxx.154 00:e0:1e:b4:12:42
xxx.xxx.xxx.69  00:e0:1e:b4:12:42
xxx.xxx.xxx.69  00:e0:1e:b4:12:42
xxx.xxx.xxx.143 00:e0:1e:b4:12:42
xxx.xxx.xxx.155 00:e0:1e:b4:12:42
xxx.xxx.xxx.23  00:e0:1e:b4:12:42
xxx.xxx.xxx.13  00:e0:1e:b4:12:42
xxx.xxx.xxx.247 00:e0:1e:b4:12:42
xxx.xxx.xxx.77  00:e0:1e:b4:12:42
xxx.xxx.xxx.138 00:e0:1e:b4:12:42
xxx.xxx.xxx.18  00:1e:8c:a8:3a:9b
xxx.xxx.xxx.205 00:17:31:91:0c:8c

...