TCPDUMP es una herramienta absolutamente necesaria dentro del arsenal del ingeniero en redes. Poco a poco iré publicando algunos de los filtros más comunes que uso en esta aplicación, pero ahora dejaré el comando para capturar tráfico basándose únicamente en la dirección MAC, ya sea de destino o de origen. Esto es súmamente útil para diagnosticar problemas en protocolos de capa 2 como STP, CDP o ARP o incluso para ver los procesos de protocolos superiores como DHCP.
Para capturar el tráfico de una MAC específica el comando es:
tcpdump ether host 00:ea:bb:c1:10:fa
Para visualizar el tráfico broadcast:
tcpdump ether host ff:ff:ff:ff:ff:ff
Una que es muy útil para tener limpia la pantalla de tráfico Multicast o Broadcast y visualizar solamente el tráfico Unicast:
tcpdump 'ether[0] & 1 = 0'
