Jak znaleźć adres MAC za pomocą WireShark
Jako darmowy analizator pakietów typu open source, Wireshark oferuje wiele wygodnych funkcji. Jednym z nich jest znajdowanie adresów kontroli dostępu do mediów (MAC), które mogą dostarczyć więcej informacji o różnych pakietach w sieci.
Jeśli dopiero zaczynasz korzystać z Wireshark i nie wiesz, jak znaleźć adresy MAC , jesteś we właściwym miejscu. W tym miejscu powiemy Ci więcej o adresach MAC, wyjaśnimy, dlaczego są one przydatne, i podamy instrukcje, jak je znaleźć.
Co to jest adres MAC?
Adres MAC to unikalny identyfikator przypisany do urządzeń sieciowych, takich jak komputery, przełączniki i routery. Adresy te są zwykle przypisywane przez producenta i są reprezentowane jako sześć grup po dwie cyfry szesnastkowe.
Do czego służy adres MAC w programie Wireshark?
Podstawową rolą adresu MAC jest oznaczenie źródła i miejsca docelowego pakietu. Można ich również używać do śledzenia ścieżki określonego pakietu w sieci, monitorowania ruchu w sieci, identyfikowania złośliwej aktywności i analizowania protokołów sieciowych.
Wireshark Jak znaleźć adres MAC
Znajdowanie adresu MAC Adres MAC w Wireshark jest stosunkowo łatwy. Tutaj pokażemy, jak znaleźć źródłowy adres MAC i docelowy adres MAC w programie Wireshark.
Jak znaleźć źródłowy adres MAC w programie Wireshark
Źródłowy adres MAC to adres adres urządzenia wysyłającego pakiet i zwykle można go zobaczyć w nagłówku Ethernet pakietu. Dzięki źródłowemu adresowi MAC możesz śledzić ścieżkę pakietu w sieci i identyfikować źródło każdego pakietu.
Możesz znaleźć źródłowy adres MAC pakietu na karcie Ethernet. Oto jak się do niego dostać:
Otwórz Wireshark i przechwytuj pakiety.
Wybierz pakiet, który Cię interesuje i wyświetl jego szczegóły.
Wybierz i rozwiń „Ramka”, aby uzyskać więcej informacji o pakiecie.
Przejdź do nagłówka „Ethernet”, aby wyświetlić szczegóły sieci Ethernet.
Wybierz pole „Źródło”. Tutaj zobaczysz źródłowy adres MAC. 
Jak znaleźć docelowy adres MAC w programie Wireshark
Docelowy adres MAC reprezentuje adres urządzenia odbieranie paczki. Podobnie jak adres źródłowy, docelowy adres MAC znajduje się w nagłówku Ethernet. Wykonaj poniższe czynności, aby znaleźć docelowy adres MAC w programie Wireshark:
Otwórz program Wireshark i rozpocznij przechwytywanie pakietów.Znajdź pakiet, który chcesz przeanalizować i obserwuj jego szczegóły w okienku szczegółów.Wybierz „Ramka”, aby uzyskać więcej danych na jej temat.Przejdź do „Ethernet”. Zobaczysz „Źródło”, „Miejsce docelowe” i „Typ”.
Wybierz pole „Miejsce docelowe” i wyświetl docelowy adres MAC.
Jak potwierdzić adres MAC w ruchu Ethernet
Jeśli rozwiązujesz problemy z siecią lub chcesz zidentyfikować złośliwy ruch , możesz chcieć sprawdzić, czy dany pakiet jest wysyłany z właściwego źródła i kierowany do właściwego miejsca docelowego. Postępuj zgodnie z poniższymi instrukcjami, aby potwierdzić adres MAC w ruchu Ethernet:
Wyświetl adres fizyczny komputera za pomocą ipconfig/all lub Getmac.
Wyświetl pola Źródło i Miejsce docelowe w przechwyconym ruchu i porównaj z nimi fizyczny adres komputera. Użyj tych danych, aby sprawdzić, które ramki zostały wysłane lub odebrane przez Twój komputer, w zależności od tego, co Cię interesuje.
Użyj arp-a, aby zobaczyć Pamięć podręczna protokołu rozpoznawania adresów (ARP).
Znajdź adres IP bramy domyślnej używany w wierszu polecenia i wyświetl jego adres fizyczny. Sprawdź, czy adres fizyczny bramy jest zgodny z niektórymi polami „Źródło” i „Miejsce docelowe” w przechwyconym ruchu.
Dokończ ćwiczenie, zamykając program Wireshark. Jeśli chcesz odrzucić przechwycony ruch, naciśnij „Zamknij bez zapisywania”.
Jak filtrować adres MAC w programie Wireshark
Wireshark umożliwia korzystanie z filtrów i szybkie przeglądanie dużych ilości informacji. Jest to szczególnie przydatne w przypadku problemów z określonym urządzeniem. W programie Wireshark można filtrować według źródłowego adresu MAC lub docelowego adresu MAC.
Jak filtrować według źródłowego adresu MAC w Wireshark
Jeśli chcesz filtrować według źródłowego adresu MAC w Wireshark, oto co musisz zrobić:
Przejdź do Wireshark i znajdź filtr pole znajdujące się na górze.
Wprowadź następującą składnię: „ether.src==macaddress”. Zastąp „macaddress” żądanym adresem źródłowym. Pamiętaj, aby nie używać cudzysłowów podczas stosowania filtra.
Jak filtrować według docelowego adresu MAC w programie Wireshark
Wireshark umożliwia filtrowanie według docelowego adresu MAC. Oto jak to zrobić:
Uruchom program Wireshark i znajdź pole Filtr u góry okna.Wprowadź następującą składnię: „ether.dst==macaddress”. Pamiętaj, aby zastąpić „macaddress” adresem docelowym i pamiętaj, aby nie używać cudzysłowów podczas stosowania filtra.
Inne ważne filtry w programie Wireshark
Zamiast marnować godziny na przeglądanie dużej ilości informacji, Wireshark pozwala skorzystać ze skrótu za pomocą filtrów.
ip.addr==x.x.x.x
To jeden z najczęściej używane filtry w Wireshark. Dzięki temu filtrowi wyświetlasz tylko przechwycone pakiety zawierające wybrany adres IP.
Filtr jest szczególnie wygodny dla tych, którzy chcą skupić się na jednym rodzaju ruchu.
Możesz filtrować według źródłowego lub docelowego adresu IP.
Jeśli chcesz filtrować według źródłowego adresu IP, użyj tej składni: „ip.src==x.x.x.x”. Zamień „x.x.x.x” na żądany adres IP i usuń cudzysłowy podczas wprowadzania składni w polu.
Osoby, które chcą filtrować według źródłowego adresu IP, powinny wpisać następującą składnię w polu Filtr: „ip.dst==x.x.x.x”. Użyj żądanego adresu IP zamiast „x.x.x.x” i usuń cudzysłowy.
Jeśli chcesz filtrować wiele adresów IP, użyj tej składni: „ip.addr==x.x.x.x i ip.addr==y.y.y.y”.
ip.addr==x.x.x.x && ip.addr==x.x.x.x
Jeśli chcesz zidentyfikować i przeanalizować dane między dwoma określonymi hostami lub sieciami, ten filtr może być niezwykle pomocny. Usunie niepotrzebne dane i wyświetli pożądane wyniki w zaledwie kilka sekund.
http
Jeśli chcesz analizować tylko ruch HTTP, wpisz „http” w polu Filtr. Pamiętaj aby nie używać cudzysłowów podczas stosowania filtra.
dns
Wireshark umożliwia filtrowanie przechwyconych pakietów według DNS. Wszystko, co musisz zrobić, aby zobaczyć tylko ruch DNS, to wpisać „dns” w polu Filtr.
Jeśli chcesz uzyskać bardziej szczegółowe wyniki i wyświetlić tylko zapytania DNS, użyj następującej składni: „dns.flags.response==0″. Pamiętaj, aby nie używać cudzysłowów podczas wprowadzania filtra.
Jeśli chcesz filtrować odpowiedzi DNS, użyj następującej składni: „dns.flags.response==1″.
ramka zawiera ruch
Ten wygodny filtr pozwala filtrować pakiety zawierające słowo „ruch”. Jest to szczególnie przydatne dla tych, którzy chcą wyszukać określony identyfikator użytkownika lub ciąg znaków.
tcp.port==XXX
Możesz użyj tego filtra, jeśli chcesz przeanalizować ruch przychodzący lub wychodzący z określonego portu.
ip.addr >=x.x.x.x i ip.addr <=y.y.y.y
Ten filtr Wireshark pozwala wyświetlić tylko pakiety z określonym zakresem IP. Odczytuje to jako „filtruj adresy IP większe niż lub równe x.x.x.x i mniejsze niż lub równe y.y.y.y”. Zastąp „x.x.x.x” i „y.y.y.y” żądanymi adresami IP. Możesz także użyć „&&” zamiast „i”.
frame.time >=12 sierpnia 2017 09:53:18 i frame.time <=12 sierpnia 2017 17:53:18
Jeśli chcesz analizować ruch przychodzący z określony czas przyjazdu, możesz użyć tego filtra, aby uzyskać odpowiednie informacje. Pamiętaj, że są to tylko przykładowe daty. Powinieneś zastąpić je żądanymi datami, w zależności od tego, co chcesz przeanalizować.
! (składnia filtra)
Jeśli umieścisz wykrzyknik przed dowolną składnią filtra, wykluczysz ją z wyników. Na przykład jeśli wpiszesz „!(ip.addr==10.1.1.1) “, zobaczysz wszystkie pakiety, które nie zawierają tego adresu IP. Pamiętaj, że nie powinieneś używać cudzysłowów podczas stosowania filtra.
Jak zapisać filtry Wireshark
Jeśli nie używasz często określonego filtra w Wireshark, pewnie z czasem o tym zapomne Próba zapamiętania poprawnej składni i marnowanie czasu na jej wyszukiwanie w Internecie może być bardzo frustrujące. Na szczęście Wireshark może pomóc w zapobieganiu takim scenariuszom dzięki dwóm cennym opcjom.
Pierwsza opcja to automatyczne uzupełnianie i może być przydatna dla tych, którzy pamiętają początek filtra. Na przykład możesz wpisać „tcp”, a Wireshark wyświetli listę filtrów zaczynających się od tej sekwencji.
Drugą opcją są filtry zakładek. Jest to nieoceniona opcja dla tych, którzy często używają złożonych filtrów z długa składnia. Oto jak dodać filtr do zakładek:
Otwórz Wireshark i naciśnij ikonę zakładki. Znajdziesz ją po lewej stronie pola Filtr. Wybierz „Zarządzaj filtrami wyświetlania”. Znajdź żądany filtr na liście i naciśnij znak plus, aby go dodać.
Następnym razem, gdy będziesz potrzebować tego filtra, naciśnij ikonę zakładki i znajdź swój filtr na liście.
FAQ
Czy mogę biec Wireshark w sieci publicznej?
Jeśli zastanawiasz się, czy korzystanie z Wireshark w sieci publicznej jest legalne, odpowiedź brzmi: tak. Ale to nie znaczy, że powinieneś uruchamiać Wireshark w dowolnej sieci. Upewnij się, że przeczytałeś regulamin sieci, z której chcesz korzystać. Jeśli sieć zabrania korzystania z programu Wireshark, a mimo to go uruchomisz, możesz zostać zablokowany w sieci lub nawet pozwany.
Wireshark nie gryzie
Od rozwiązywania problemów z sieciami po śledzenie połączeń i analizy ruchu, Wireshark ma wiele zastosowań. Dzięki tej platformie możesz znaleźć określony adres MAC za pomocą zaledwie kilku kliknięć. Ponieważ platforma jest bezpłatna i dostępna w wielu systemach operacyjnych, miliony ludzi na całym świecie korzystają z jej wygodnych opcji.
Do czego używasz Wireshark? Jaka jest twoja ulubiona opcja? Powiedz nam o tym w sekcji komentarzy poniżej.
Zastrzeżenie: Niektóre strony w tej witrynie mogą zawierać link partnerski. Nie wpływa to w żaden sposób na nasz artykuł redakcyjny.
