Как получить все mac-адреса из захваченного пакета? [закрыто]
tcpdump -i any -w all.cap
Как теперь получить все mac адреса из захваченного пакета?
Один и тот же mac-адрес.
1
задан it_is_a_literature
9 June 2016 в 13:12
поделиться
1 ответ
Первая установка tshark
sudo apt-get install tshark
Теперь у нас есть инструмент для чтения содержания .cap файл
С командой
tshark -r all.cap -i eth0 -nn -e eth.src -Tfields
Вы будете произведены что-то как это
00:17:31:91:0c:8c
00:17:31:91:0c:8c
00:17:31:91:0c:8c
00:e0:1e:b4:12:42
00:17:31:91:0c:8c
00:17:31:91:0c:8c
54:a0:50:64:cc:39
00:e0:1e:b4:12:42
54:a0:50:64:cc:39
00:e0:1e:b4:12:42
54:a0:50:64:cc:39
00:e0:1e:b4:12:42
54:a0:50:64:cc:39
00:17:31:91:0c:8c
00:17:31:91:0c:8c
54:a0:50:64:cc:39
или можно изменить commanad
tshark -r aalmac.pcap -i eth0 -nn -e ip.src -e eth.src -Tfield
и будьте произведены
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.205 00:17:31:91:0c:8c
00:e0:1e:b4:12:42
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.5 54:a0:50:64:cc:39
xxx.xxx.xxx.40 00:e0:1e:b4:12:42
xxx.xxx.xxx.5 54:a0:50:64:cc:39
xxx.xxx.xxx.247 00:e0:1e:b4:12:42
xxx.xxx.xxx.5 54:a0:50:64:cc:39
xxx.xxx.xxx.189 00:e0:1e:b4:12:42
xxx.xxx.xxx.5 54:a0:50:64:cc:39
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.5 54:a0:50:64:cc:39
xxx.xxx.xxx.143 00:e0:1e:b4:12:42
xxx.xxx.xxx.5 54:a0:50:64:cc:39
xxx.xxx.xxx.143 00:e0:1e:b4:12:42
xxx.xxx.xxx.5 54:a0:50:64:cc:39
xxx.xxx.xxx.155 00:e0:1e:b4:12:42
xxx.xxx.xxx.5 54:a0:50:64:cc:39
00:e0:1e:b4:12:42
xxx.xxx.xxx.154 00:e0:1e:b4:12:42
xxx.xxx.xxx.205 00:17:31:91:0c:8c
xxx.xxx.xxx.5 54:a0:50:64:cc:39
Вы видите, что на некотором IP у меня есть два или больше MAC-адреса. Это означает, что IP прибывает ко мне от того же порта на маршрутизаторе.
Затем можно изменить команду для сходства с этим
tshark -r all.cap -i eth0 -nn -e eth.src -Tfields | sort | uniq
и Вы получите отсортированный и уникальный Mac <-> IP пара
xxx.xxx.xxx.154 00:e0:1e:b4:12:42
xxx.xxx.xxx.69 00:e0:1e:b4:12:42
xxx.xxx.xxx.69 00:e0:1e:b4:12:42
xxx.xxx.xxx.143 00:e0:1e:b4:12:42
xxx.xxx.xxx.155 00:e0:1e:b4:12:42
xxx.xxx.xxx.23 00:e0:1e:b4:12:42
xxx.xxx.xxx.13 00:e0:1e:b4:12:42
xxx.xxx.xxx.247 00:e0:1e:b4:12:42
xxx.xxx.xxx.77 00:e0:1e:b4:12:42
xxx.xxx.xxx.138 00:e0:1e:b4:12:42
xxx.xxx.xxx.18 00:1e:8c:a8:3a:9b
xxx.xxx.xxx.205 00:17:31:91:0c:8c
...
1
ответ дан 2707974
7 December 2019 в 15:54
поделиться