Есть несколько устройств с похожими MAC-адресами (40:b9:3c:9c:хх:хх), надо отследить их трафик.

tcpdump -n -i eth0 '( ether[0:4] & 0xffffffff = 0x40b93c9c ) or ( ether[6:4] & 0xffffffff = 0x40b93c9c )'

• ether[0:4] – часть пакета с нулевого байта 4 байта длиной (старшие байты SRC MAC). Длина вырезаемого блока может быть 1,2 или 4 байта.
• ether[6:4] – аналогично для DST MAC
• 0xffffffff – битовая маска; в данном случае можно было обойтись без неё, но для общей картины…