最近、tcpdump ファイル形式、つまり pcap のペイロード バイトを詳しく調べることにしましたが、意味がないことに気付きました。これらは OS/X で収集されます。
それらは絶対に常に 00 00 で始まります。
ペイロードの長さは、多くの場合、約 39 バイト、310 バイト、1500 バイトです。
バイトを見ると、多くの場合、00 00 19 00 6f 08 00 00、または 00 00 24 00 0b 00 0c 00 で始まります。
それらは、イーサネット フレーム、IP プリアンブル、UDP ヘッダー、TCP ヘッダー、またはその他の予想されるデータで始まっているようには見えません。データ内で IPv4 MAC アドレスを検索すると、よく見つかりますが、常にではありません。IPv6 アドレスと同じです。データ内で自分の IP アドレスを検索すると、同じ取引が行われます。
パケットの多くは、他の Wi-Fi ネットワークに関する情報を検索または取得することを伴うようです。
その多くは、私の周りにある (多数の) Wifi ルーターを特定するための操作のようですが、そのデータの形式は私にはわかりません。
ペイロード バイトの技術的な説明を教えてもらえますか? ありがとう。
また、OS/X で生成されたこれらの pcap ファイルを tcpdump 自体が読み取る際に問題があることも付け加えておく必要があります。それらを生成するコマンドは
/usr/sbin/tcpdump -s 0 -w output.pcap -vv -In -i en1
また、他の人が推奨する次のコマンドは、それらを適切にダンプしません。
tcpdump -qns 0 -X -r output.pcap | less
実際には、「tsft 1.0 Mb/s 2452 MHz 11g -78dB signal -91dB Noise Antenna 0 Beacon」に言及する行を生成します。