sur une machine linux, j'utilise netfilter comme firewall. Celui-ci est
configuré pour laisser dans les logs la trace de certains paquets réseau
(par utilisation de "-j LOG" dans la syntaxe de iptables).
Par exemple, on trouve dans les logs la ligne suivante (dont j'ai
anonymisé les données sensibles):
Le champ "MAC=" est une succession de chiffres hexadécimaux, mais je ne
trouve aucune information sur l'interprétation de ce champ dans la
documentation de netfilter.
D'après ce qu'on trouve facilement sur le web:
- xx:xx:xx:xx:xx:xx est l'adresse MAC du destinataire,
- yy:yy:yy:yy:yy:yy est l'adresse MAC de la source,
- 08:00 est le type de datagramme (ici, IPv4).
Mais quelle est l'interprétation du reste, "45:zz:zz:zz:zz:zz:zz:zz" ?
Mais quelle est l'interprétation du reste, "45:zz:zz:zz:zz:zz:zz:zz" ?
Ca ressemble furieusement au début du datagramme IPv4 en hexadécimal.
Zooe
Le lundi 03 mai 2021, Marc SCHAEFER a écrit:
Mais quelle est l'interprétation du reste, "45:zz:zz:zz:zz:zz:zz:zz" ?
Ca ressemble furieusement au début du datagramme IPv4 en hexadécimal.
Bingo! ça a tout l'air d'être ça: j'ai vérifié que les champs "LEN=", "ID=" et "DF" indiqués dans les lignes de log concordent avec les données en hexadécimal. Du coup, ces informations sont indiquées de façon redondante. C'est assez trompeur de regrouper ces informations sous le nom "MAC", je me demande quelle est la logique.
Le lundi 03 mai 2021, Marc SCHAEFER a écrit:
Mais quelle est l'interprétation du reste, "45:zz:zz:zz:zz:zz:zz:zz" ?
Ca ressemble furieusement au début du datagramme IPv4 en hexadécimal.
Bingo! ça a tout l'air d'être ça: j'ai vérifié que les champs "LEN=",
"ID=" et "DF" indiqués dans les lignes de log concordent avec les
données en hexadécimal.
Du coup, ces informations sont indiquées de façon redondante.
C'est assez trompeur de regrouper ces informations sous le nom "MAC", je
me demande quelle est la logique.
Mais quelle est l'interprétation du reste, "45:zz:zz:zz:zz:zz:zz:zz" ?
Ca ressemble furieusement au début du datagramme IPv4 en hexadécimal.
Bingo! ça a tout l'air d'être ça: j'ai vérifié que les champs "LEN=", "ID=" et "DF" indiqués dans les lignes de log concordent avec les données en hexadécimal. Du coup, ces informations sont indiquées de façon redondante. C'est assez trompeur de regrouper ces informations sous le nom "MAC", je me demande quelle est la logique.
Marc SCHAEFER
Zooe wrote:
C'est assez trompeur de regrouper ces informations sous le nom "MAC", je me demande quelle est la logique.
A voir c'est un dump du début d'une trame Ethernet (MAC): DA | SA | TYPE | entête IP
Zooe <zooe@127.0.0.1> wrote:
C'est assez trompeur de regrouper ces informations sous le nom "MAC", je
me demande quelle est la logique.
A voir c'est un dump du début d'une trame Ethernet (MAC):