Cuando estamos analizando cierto tráfico de nuestra red a veces es necesario o muy útil tener información a nivel de capa de enlace de las tramas que fluyen por la red, con tcpdump podemos obtener la dirección MAC de los equipos de la red, el etiquetado 802.1q de VLAN de cada trama o el protocolo encapsulado en la trama que pertenece al nivel superior mediante la información del campo Ethertype.El flag -e y el filtro ether de tcpdump son los que nos dan toda esa información.

Para capturar esa información en nuestra red podemos lanzar el comando:

openredes@vyatta:~$ sudo tcpdump -e -ni eth0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 11:00:54.413559 00:23:f8:a1:b1:b8 00:1b:21:86:6d:24, ethertype IPv4 (0x0800), length 159: aa.aa.aa.aa.1900 xx.xx.xx.xx.1901: UDP, len gth 117 11:00:54.342603 00:23:f8:a1:b1:b8 00:1b:21:86:6d:24, ethertype IPv4 (0x0800), length 1514: bb.bb.bb.bb.80 xx.xx.xx.xx.49513: . 110303:1 11763(1460) ack 1032 win 65535 11:00:57.236712 00:23:f8:a1:b1:c4 00:1b:21:86:6d:24, ethertype 802.1Q (0x8100), length 162: vlan 12, p 0, ethertype IPv4, Más >