Que mais informações posso obter da filtragem por endereço MAC em vez de IP?

Eu quero fazer uma análise de tráfego muito simples para um único dispositivo. Estou usando o tcpdump para coletar esses dados. Existe uma vantagem em usar um filtro de captura de endereço MAC sobre um endereço IP (estático) para o host? Se sim, o que?

1

3 Respostas

Existe uma vantagem em usar um filtro de captura de endereço MAC sobre um endereço IP (estático) para o host?

Dependendo do propósito da captura, certamente.

Se sim, o que?

A vantagem de capturar com base no endereço MAC é garantir que você receba todo o tráfego enviado ou destinado ao host.

Se você capturar apenas com base no endereço IP, não obterá nenhum tráfego não baseado em IP, como o ARP. Isso também incluiria qualquer tráfego IPv6 se você estiver capturando com base em um endereço IPv4.

Se você estiver usando um endereço IPv6 para seu filtro, não obterá nenhum tráfego IPv4 e a captura baseada em IPv6 poderá ser um pouco mais complicada, pois geralmente há um endereço local vinculado, um endereço global e vários endereços multicast IPv6 que seriam aplicam-se ao dispositivo.

4
adicionado
@PeterGreen também é possível para um host ter vários endereços IP. Claramente, se você capturar por IP ou por endereço MAC, você precisaria contabilizar vários endereços se eles estiverem em uso.
adicionado o autor John, fonte
Bem, pelo menos, todo o tráfego enviado ou destinado ao endereço MAC principal do host. É certamente possível que um host tenha múltiplos endereços MAC.
adicionado o autor Peter Green, fonte
Yup e vários IPs são mais prováveis ​​do que múltiplos MACs, portanto a filtragem por MAC é a melhor opção, apenas apontando que não é absolutamente garantido que você capture tudo.
adicionado o autor Peter Green, fonte

Se o seu 'dispositivo' for um host IP simples e de comportamento simples, a captura especificada pelo endereço IP é boa.

Se, no entanto, for um roteador, talvez você queira filtrar por endereço de ethernet, conforme indicado na primeira resposta. Esteja avisado, no entanto, se o endereço Ethernet está mudando: como para o HSRP (Hot Standby Router Protocol), no qual os roteadores podem usar endereços Ethernet diferentes.

Na verdade, alguns computadores alteram o endereço Ethernet se estiverem fazendo vários tipos de mascaramento ou tiverem várias interfaces.

Além disso, lembre-se de pacotes não-IP! Você pode se surpreender com o quanto está por aí.

Por fim, não esqueça o IPv6. Se o seu dispositivo estiver fazendo o IPv6, você pode perder alguma coisa.

3
adicionado

Se você estiver usando addreses IP estático não há não uma única vantagem de filtragem por MAC, porque existe um relacionamento um-para-um entre eles , exceto se o dispositivo tiver uma única interface e mais de um endereço IP. Nesse caso, estamos falando de um relacionamento "um-para-muitos" .

Em ambientes DHCP, pode acontecer que um endereço IP seja usado por um dispositivo agora e por outro mais tarde. Nesse caso, é útil filtrar por MAC para que você possa seguir o comportamento do mesmo dispositivo apesar do comportamento de mudança do endereço IP.

Tenha em mente que os endereços MAC são locais . Pacotes IP vindos de outras LANs através de um roteador, terão a fonte original MAC substituída pelo endereço MAC do roteador.

1
adicionado
Sim, você está certo. Um servidor pode ter mais de um endereço IP relacionado ao mesmo endereço MAC. Eu modifiquei a resposta para explicar isso.
adicionado o autor Tyler, fonte
Endereços IP estáticos não são necessariamente um-para-um: por exemplo, um servidor pode ter vários endereços IP por muitos motivos.
adicionado o autor jonathanjo, fonte