- MAC: Media Access Control; la struttura logica che informa il protocollo ethernet è composta da molti sottostrati (sublayer): PHY, MAC, LCC; l'indirizzo Ethernet è considerato parte del MAC sublayer

- quale è l'indirizzo MAC della mia scheda di rete?
win 9x: eseguite il programma <winipcfg.exe>
win NT:eseguite il programma <ipconfig /all>
Linux: eseguite il programma <ifconfig>

- qual'e' l'indirizzo MAC delle NIC (schede di rete) con cui sono in comunicazione?
win NT e Linux: eseguite il comando <arp -a>
oppure eseguite il comando: <netstat -na>

- gli ultimi due bit del MAC address:
un bit indica se l'indirizzo e' multicast/broadcast,
l'altro indica se l'indirizzo e' stato riassegnato come 'indirizzo gestito localmente (locally administered address)':
il MAC address assumerebbe la forma 02-xx-xx-xx-xx-xx (primo byte:00000010) se l'indirizzo fosse anche gestito localmente oppure 01-xx-xx-xx-xx-xx (primo byte:00000001) se l'indirizzo MAC fosse multicast/broadcast oppure 03-xx-xx-xx-xx-xx (primo byte:00000011) se l'indirizzo MAC corrispondesse ad entrambe le caratteristiche.

- pattern:
in generale va individuata una classe di traffico, (es. il traffico da A verso B e viceversa di una certa applicazione, supponiamo 'talk') poi bisogna ricondurre il traffico a dei pattern ad es. un pattern plausibile
P={ IP_SRC=A|B, IP_DST=B|A, TCP_DST=talk} [dove SRC indica l'indirizzo sorgente, DST l'indirizzo del destinatario, TCP_DST indica che l'applicazione è 'talk' su protocollo TCP] e infine istruire lo sniffer a raccogliere solo il traffico che soddisfa P.
E' da notare che i pattern possono essere molto più sofisticati e dettagliati, ma ancora più importante è notare che tutta la traffic analisys è possibile solo se gli header sono in chiaro, ovvero se non sono stati cifrati.

- CRC:
Ciclical Redundancy Check: risultato di una funzione (hash o 'checksum') che ci permette di sapere se i dati non siano stati corrotti nel trasferimento per problemi, ad esempio, di connessione - lunghezza 4 bit.

- Router:
dispositivo che inoltra e instrada il traffico tra reti. Le decisioni sull'instradamento sono fatte sulla base dei network layer e su tabelle d'instradamento (routing tables), spesso predefinite dai protocolli d'instradamento.

- Loose Source Routing:
viene aggiunto il parametro loose source all'header IP del pacchetto ping. Con questo metodo il router principale instraderà il pacchetto non piu' direttamente all'indirizzo di destinazione ma attraverso una ulteriore macchina indicata nell'opzione source route.
Questo significa inviare un pacchetto dicendo: <invia il pacchetto alla macchina sospetta 'A' ma instradalo prima attraverso l'interfaccia 'B', grazie>

In questo scenario 'A' e 'B' sono sullo stesso segmento e 'B' non deve essere in grado instradare il pacchetto ad 'A'. Se 'A' riceve comunque il pacchetto è in promiscuous mode.

- Il TTL è un campo che indica la 'vita' del pacchetto, ovvero quanti salti (hop), quanti instradamenti può subire prima di essere scartato; è un valore 'k' che viene degradato di una unità ad ogni salto fino a k=0. Se la risposta al nostro ping ha TTL=k-1 il ping è stato sniffato (ci è arrivato senza l'instradamento richiesto, cioè con un solo salto), se TTL=k-(n. di hop richiesti dal parametro loose source) allora il ping era stato instradato correttamente (e si dovrà riprovare).