TCPDump-MAC 주소로 필터링


25

특정 MAC 주소에 대한 모든 트래픽을 표시하고 싶습니다. 내가 시도한

sudo tcpdump host aa:bb:cc:11:22:33

작동하지 않고 오류를 반환합니다.

tcpdump: pktap_filter_packet: pcap_add_if_info(en0, 1) failed: pcap_add_if_info: pcap_compile_nopcap() failed

이 오류 메시지를 해석하는 방법을 모르고 문제를 해결하는 방법을 모르겠습니다.

어떤 도움?


올바른 MAC 주소 형식인지 확인하십시오. MAC 주소는 표준 형식이 아닙니다. 다른 장치와 코드에 다른 형식이 필요한 문제가 발생했습니다. 일부는 콜론, 일부 대시, 일부는 2 자리, 일부는 3, 일부는 4, 한 번은 절반으로 잘라야합니다.
Ron Maupin

예, 확실합니다. 작동 할 때 응답에 사용되는 형식입니다. 예를 들어이 명령은 다음과 같이 작동합니다.> sudo tcpdump -e -nni all ether src aa : bb : cc : 11 : 22 : 33 편집 : 기본적으로 원하는 것을 반환합니다. (방금
알았습니다

Mavericks 이전의 OS X에서 또는 Mavericks 이상에서 "모든"장치를 캡처하지 않거나 다른 OS에서 "tcpdump : 비이 더 식으로 사용되는 이더넷 주소"라고보고 하면 정말 끔찍한 오류 메시지이며 tcpdump입니다. . 이를 위해 Apple 버그 리포터에 버그 21698116을 제출했습니다.

답변:


41

패킷 필터로 다음을 사용했습니다. host aa:bb:cc:11:22:33

그대로 IP 또는 호스트 이름을 찾고 있지만 MAC 주소를 제공하고 있습니다.

MAC 주소를 사용하려면 ether패킷 필터 프리미티브 를 포함해야합니다 .

귀하의 경우 다음이 작동합니다.

sudo tcpdump ether host aa:bb:cc:11:22:33

또는 인터페이스를 지정해야하는 경우 다음과 같습니다.

sudo tcpdump -i eth0 ether host aa:bb:cc:11:22:33

감사합니다.이 설명은 "ether"매개 변수를 명확하게 이해하고 있습니다. 한 가지 질문은 웹을 서핑 할 때 왜 HTTP 패킷 헤더를 볼 수없는 것입니까? (iPhone을 테스트 장치로 사용하고 있으며 MAC 주소를 스니핑하고 있습니다. 핑하면 트래픽을 볼 수 있습니다. 깨우거나 잠자기 만하면 트래픽을 볼 수 있지만 Safari를 서핑 할 때는 아무 것도 볼 수 없습니다)
phenetas

우리가 환경을 알지 못하거나 해당 환경의 데이터를 어디에서보고 있는지 아무도 말할 수 없습니다. 그 질문에 대답하기 전에 더 많은 것을 알아야합니다.
YLearn

좋아, 나는 마지막 Os 10 Yosemite를 실행하는 Mac에서 개발하고 내 테스트 장치는 iOs 7이 설치된 iPhone 5S입니다. 네트워크는 기본, 하나의 wifi 액세스 포인트, 하나의 mac, 하나의 iPhone입니다. 문제는 내가 sudo tcpdump네트워크에서 모든 트래픽을 가져오고 Mac에서 웹을 서핑하면과 같은 줄을 볼 수 11:54:20.887984 IP 10.11.204.50.56049 > 886entdc11.enterprise.886ventures.com.domain: 46247+ A? programmers.stackexchange.com. (47)있지만, 그렇게하면 sudo tcpdump host IPOfIphone인터넷 트래픽에서 아무것도 볼 수 없습니다. 전화기.
phenetas

"액세스 포인트"가 실제로 일종의 게이트웨이 장치이고 인터넷에 대한 액세스를 제공하고 Mac에서 tcpdump를 수행한다고 가정합니다. 어떤 방식으로 구성하지 않으면 iPhone의 인터넷 트래픽은 그렇지 않습니다. Mac이 보이지 않도록 Mac을 살펴보십시오.
YLearn

그렇습니다. 어쩌면 네트워킹의 기초 (전기적 배경)가 누락되었을 수 있습니다. 따라서 이해하는 경우 내 Mac을 오가는 트래픽 만 볼 수 있다는 것입니다. 그러나 그 경우 전화가 Wi-Fi에 연결될 때 왜 트래픽을 볼 수 있습니까? 이 경우 11:45:52.852928 IP 10.11.204.15.mdns > 224.0.0.251.mdns: 0*- [0q] 1/0/1 TXT "model=N51AP" (98)전화 (10.11.204.15)와 224.0.0.251 사이의 통신 인 a 를 얻습니다. 이는 내 Mac이 아닙니다 (이것은 액세스 포인트라고 가정합니다).
phenetas
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.