TCPDump-MACアドレスによるフィルター

特定のMACアドレスのすべてのトラフィックを表示したいと思います。そのために私が試した

sudo tcpdump host aa:bb:cc:11:22:33

動作せず、エラーが返されます

tcpdump: pktap_filter_packet: pcap_add_if_info(en0, 1) failed: pcap_add_if_info: pcap_compile_nopcap() failed

このエラーメッセージの解釈方法がわからず、問題の解決方法もわかりません。

何か助け？

mac-address ip tcpdump

— フェネタ
ソース

正しいMACアドレス形式ですか？MACアドレスには標準形式がありません。さまざまなフォーマットを必要とするさまざまなデバイスとコードで問題が発生しました。コロン、ダッシュ、2桁の数字、3桁の数字、4桁の数字、そして一度は半分にカットする必要のあるものが必要です。

— ロンモーピン

こんにちは、そうですね。これは、動作時に応答に使用される形式です。たとえば、このコマンドは機能します：> sudo tcpdump -e -nni all ether src aa：bb：cc：11：22：33 （私はちょうどそれを発見した）

— フェネタ

これは本当に恐ろしいエラーメッセージであり、Mavericksより前のOS Xでのtcpdump、またはMavericks以降の「任意の」デバイスでキャプチャしない場合、または他の OSで「tcpdump：非エーテル表現で使用されるイーサネットアドレス」を報告します。このために、Appleバグレポーターにバグ21698116を提出しました。

パケットフィルタとして次を使用しました。 host aa:bb:cc:11:22:33

現状では、これはIPまたはホスト名を探していますが、MACアドレスを与えています。

MACアドレスを使用するには、etherパケットフィルタープリミティブを含める必要があります。

あなたの場合、以下が機能するはずです：

sudo tcpdump ether host aa:bb:cc:11:22:33

または、インターフェイスを指定する必要がある場合、次のようになります。

sudo tcpdump -i eth0 ether host aa:bb:cc:11:22:33

— YLearn
ソース

ありがとう、これは本当によく説明されています、私は今「エーテル」パラメータを明確に理解しています。1つの質問は、WebサーフィンをするときにHTTPパケットヘッダーが表示されない理由です。（私はそれをping場合、私はちょうどそれを覚ますか、それは私がトラフィックを見ることができます眠る作る場合、私は、TRAFICを見ることはできませんが、何もサファリサーフィン、私はテスト用デバイスとしてiPhoneを持っていると私は、そのMACアドレスのためにスニッフィングています）

— フェネタ

私たちはあなたの環境やその環境のデータをどこで見ているのかわからないので、誰も本当に言うことができません。その質問に答える前に、もっと多くを知る必要があります。

— YLearn

わかりました。最後のOs 10 Yosemiteを実行しているMacで開発し、テストデバイスはiOs 7を搭載したiPhone 5Sです。ネットワークは基本的なもので、1つのwifiアクセスポイント、1つのMac、1つのiPhoneです。私がしなければ事は、あるsudo tcpdumpI意志SEネットワーク上の、すべてのTRAFIC私のような行が表示されます私のMac IにWebサーフィン場合は

11:54:20.887984 IP 10.11.204.50.56049 > 886entdc11.enterprise.886ventures.com.domain: 46247+ A? programmers.stackexchange.com. (47)

、私がしなければsudo tcpdump host IPOfIphone、私はインターネットTRAFICからは何も表示されませんIサーフィンであれば電話。

— フェネタ

「アクセスポイント」が実際にはある種のゲートウェイデバイスであり、インターネットへのアクセスを提供し、Macでtcpdumpを実行していると仮定します。何らかの方法でそうするように設定しない限り、iPhoneのインターネットトラフィックはMacが表示されないようにMacを通過します。

— YLearn

はい、それは理にかなっています、たぶん私はネットワークの基礎が欠けています（電気的背景）。だからあなたが理解しているなら、私は私のMacから/へのトラフィックしか見ることができない、またはブロードキャストされていると言っている。しかし、その場合、電話がwifiに接続しているときにトラフィックを見ることができるのはなぜですか？その場合11:45:52.852928 IP 10.11.204.15.mdns > 224.0.0.251.mdns: 0*- [0q] 1/0/1 TXT "model=N51AP" (98)、電話（10.11.204.15）と224.0.0.251の間の通信であり、これは明らかに私のMacではありません（これがアクセスポイントであると想定します）。

— フェネタ