Eu estava jogando com tcpdump
, e notei que, no OS X, a opção -xx
faz algo diferente do que a página do manual descreve.
Veja o que a página man
diz:
-x When parsing and printing, in addition to printing the headers of each packet, print the data of each packet (minus its link level header) in hex.
The smaller of the entire packet or snaplen bytes will be printed. Note that this is the entire link-layer packet, so for link layers that pad
(e.g. Ethernet), the padding bytes will also be printed when the higher layer packet is shorter than the required padding.
-xx When parsing and printing, in addition to printing the headers of each packet, print the data of each packet, including its link level header, in
hex.
Então, se eu entendi corretamente, -xx
me mostraria o cabeçalho ethernet enquanto -x
não. Isso é verdade no Linux. No entanto, no OS X, -x
mostra o cabeçalho Ethernet enquanto -xx
coloca algum lixo extra na frente dele. Como você pode ver, o cabeçalho ethernet 0886 3b60 1d3c 28cf e919 a36d 0800
aparece em -x
e -xx
, e em -xx
ele aparece na linha marcada por 0x0060
e não tenho ideia do que os dados vêm antes disso significa .
Aqui está um exemplo de saída de tcpdump -xx
no OS X:
$ sudo tcpdump -Sxx -e -n port 33407
tcpdump: data link type PKTAP
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pktap, link-type PKTAP (Packet Tap), capture size 65535 bytes
11:10:11.177881 28:cf:e9:19:a3:6d > 08:86:3b:60:1d:3c, ethertype IPv4 (0x0800), length 78: 192.168.2.8.49923 > 23.239.3.247.33407: Flags [S], seq 1859065803, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 461417464 ecr 0,sackOK,eol], length 0
0x0000: 6c00 0000 0100 0000 0100 0000 656e 3000
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000
0x0020: 0000 0000 0200 0000 0200 0000 0e00 0000
0x0030: 0000 0000 4f10 0100 7373 6800 0000 0000
0x0040: 0000 0000 0000 0000 0000 0000 0000 0000
0x0050: 0600 0000 ffff ffff 0000 0000 0000 0000
0x0060: 0000 0000 0000 0000 0000 0000 0886 3b60
0x0070: 1d3c 28cf e919 a36d 0800 4500 0040 66af
0x0080: 4000 4006 f572 c0a8 0208 17ef 03f7 c303
0x0090: 827f 6ecf 17cb 0000 0000 b002 ffff c4d1
0x00a0: 0000 0204 05b4 0103 0304 0101 080a 1b80
0x00b0: abf8 0000 0000 0402 0000
E aqui está uma amostra de saída de tcpdump -x
:
$ sudo tcpdump -Sxvv -e -n port 33407
tcpdump: data link type PKTAP
tcpdump: listening on pktap, link-type PKTAP (Packet Tap), capture size 65535 bytes
11:10:48.727138 28:cf:e9:19:a3:6d > 08:86:3b:60:1d:3c, ethertype IPv4 (0x0800), length 102: (tos 0x10, ttl 64, id 25163, offset 0, flags [DF], proto TCP (6), length 88)
192.168.2.8.49923 > 23.239.3.247.33407: Flags [P.], cksum 0x1126 (correct), seq 1859067461:1859067497, ack 2295673726, win 8192, options [nop,nop,TS val 461454802 ecr 120336925], length 36
0x0000: 0886 3b60 1d3c 28cf e919 a36d 0800 4510
0x0010: 0058 624b 4000 4006 f9ae c0a8 0208 17ef
0x0020: 03f7 c303 827f 6ecf 1e45 88d5 337e 8018
0x0030: 2000 1126 0000 0101 080a 1b81 3dd2 072c
0x0040: 321d cdac 025c 44d7 8043 f45e da96 1c0d
0x0050: fbf3 de02 c17e 03ef 1014 d6da 506f c0c3
0x0060: a405 8cbd fcdc