tcpdump и фильтрация по части MAC адреса
Есть несколько устройств с похожими MAC-адресами (40:b9:3c:9c:хх:хх), надо отследить их трафик.
tcpdump -n -i eth0 '( ether[0:4] & 0xffffffff = 0x40b93c9c ) or ( ether[6:4] & 0xffffffff = 0x40b93c9c )'
ether[0:4]
– часть пакета с нулевого байта 4 байта длиной (старшие байты SRC MAC). Длина вырезаемого блока может быть 1,2 или 4 байта.ether[6:4]
– аналогично для DST MAC0xffffffff
– битовая маска; в данном случае можно было обойтись без неё, но для общей картины…