วิธีค้นหาที่อยู่ MAC ด้วย WireShark
ในฐานะเครื่องมือวิเคราะห์แพ็กเก็ตแบบโอเพ่นซอร์สฟรี Wireshark นำเสนอคุณสมบัติที่สะดวกมากมาย หนึ่งในนั้นคือการค้นหาที่อยู่ Media Access Control (MAC) ซึ่งสามารถบอกข้อมูลเพิ่มเติมเกี่ยวกับแพ็กเก็ตต่างๆ บนเครือข่าย
หากคุณเพิ่งเริ่มใช้ Wireshark และไม่ทราบวิธีค้นหาที่อยู่ MAC คุณมาถูกที่แล้ว ที่นี่ เราจะบอกคุณเพิ่มเติมเกี่ยวกับที่อยู่ MAC อธิบายว่าเหตุใดจึงมีประโยชน์ และให้ขั้นตอนในการค้นหาที่อยู่เหล่านี้
ที่อยู่ MAC คืออะไร
ที่อยู่ MAC คือ ตัวระบุเฉพาะที่กำหนดให้กับอุปกรณ์เครือข่าย เช่น คอมพิวเตอร์ สวิตช์ และเราเตอร์ ที่อยู่เหล่านี้มักจะกำหนดโดยผู้ผลิตและแสดงเป็นหกกลุ่มของเลขฐานสิบหกสองหลัก
ที่อยู่ MAC ใช้สำหรับอะไรใน Wireshark
หน้าที่หลักของที่อยู่ MAC คือการทำเครื่องหมายต้นทางและปลายทางของแพ็คเก็ต คุณยังสามารถใช้เพื่อติดตามเส้นทางของแพ็กเก็ตเฉพาะเจาะจงผ่านเครือข่าย ตรวจสอบปริมาณการใช้งานเว็บ ระบุกิจกรรมที่เป็นอันตราย และวิเคราะห์โปรโตคอลเครือข่าย
Wireshark วิธีค้นหาที่อยู่ MAC
การค้นหา ที่อยู่ MAC ใน Wireshark นั้นค่อนข้างง่าย ที่นี่ เราจะแสดงวิธีค้นหาที่อยู่ MAC ต้นทางและที่อยู่ MAC ปลายทางใน Wireshark
วิธีค้นหาที่อยู่ MAC ต้นทางใน Wireshark
ที่อยู่ MAC ต้นทางคือ ที่อยู่ของอุปกรณ์ที่ส่งแพ็กเก็ต และโดยปกติแล้วคุณจะเห็นได้ในส่วนหัวของอีเทอร์เน็ตของแพ็กเก็ต ด้วยที่อยู่ MAC ต้นทาง คุณสามารถติดตามเส้นทางของแพ็กเก็ตผ่านเครือข่ายและระบุแหล่งที่มาของแพ็กเก็ตแต่ละรายการได้
คุณสามารถค้นหาที่อยู่ MAC ต้นทางของแพ็กเก็ตได้ในแท็บอีเทอร์เน็ต วิธีเข้าถึงมีดังนี้
เปิด Wireshark และจับแพ็กเก็ต
เลือกแพ็คเก็ตที่คุณสนใจและแสดงรายละเอียด
เลือกและขยาย”กรอบ”เพื่อรับข้อมูลเพิ่มเติมเกี่ยวกับแพ็คเก็ต
ไปที่ส่วนหัว “Ethernet”เพื่อดูรายละเอียด Ethernet
เลือกฟิลด์”แหล่งที่มา”ที่นี่ คุณจะเห็นที่อยู่ MAC ต้นทาง 
วิธีค้นหาที่อยู่ MAC ปลายทางใน Wireshark
ที่อยู่ MAC ปลายทางแสดงถึงที่อยู่ของอุปกรณ์ รับแพ็คเก็ต เช่นเดียวกับที่อยู่ต้นทาง ที่อยู่ MAC ปลายทางจะอยู่ในส่วนหัวของอีเทอร์เน็ต ทำตามขั้นตอนด้านล่างเพื่อค้นหาที่อยู่ MAC ปลายทางใน Wireshark:
เปิด Wireshark และเริ่มจับแพ็กเก็ต
ค้นหาแพ็คเก็ตที่คุณต้องการวิเคราะห์ และสังเกตรายละเอียดในช่องรายละเอียดเลือก”Frame”เพื่อรับข้อมูลเพิ่มเติมไปที่”อีเธอร์เน็ต”คุณจะเห็น”แหล่งที่มา””ปลายทาง”และ”ประเภท”
เลือกช่อง”ปลายทาง”และดูที่อยู่ MAC ปลายทาง
วิธียืนยันที่อยู่ MAC ในการรับส่งข้อมูลอีเทอร์เน็ต
หากคุณกำลังแก้ไขปัญหาเครือข่ายหรือต้องการระบุการรับส่งข้อมูลที่เป็นอันตราย คุณอาจต้องการตรวจสอบว่ามีการส่งแพ็กเก็ตเฉพาะจากต้นทางที่ถูกต้องและกำหนดเส้นทางไปยังปลายทางที่ถูกต้องหรือไม่ ทำตามคำแนะนำด้านล่างเพื่อยืนยันที่อยู่ MAC ในการรับส่งอีเทอร์เน็ต:
แสดงที่อยู่จริงของคอมพิวเตอร์ของคุณโดยใช้ ipconfig/all หรือ Getmac
ดู ช่องต้นทางและปลายทางในการรับส่งข้อมูลที่คุณบันทึกและเปรียบเทียบที่อยู่จริงของคอมพิวเตอร์ของคุณกับที่อยู่จริง ใช้ข้อมูลนี้เพื่อตรวจสอบว่าคอมพิวเตอร์ของคุณส่งหรือรับเฟรมใด ขึ้นอยู่กับสิ่งที่คุณสนใจ
ใช้ arp-a เพื่อดู แคช Address Resolution Protocol (ARP)
ค้นหาที่อยู่ IP ของเกตเวย์เริ่มต้นที่ใช้ในพรอมต์คำสั่งและดูที่อยู่จริง ตรวจสอบว่าที่อยู่จริงของเกตเวย์ตรงกับช่อง”ต้นทาง”และ”ปลายทาง”บางส่วนในการรับส่งข้อมูลหรือไม่
ทำกิจกรรมให้เสร็จสิ้นโดยปิด Wireshark หากคุณต้องการยกเลิกการรับส่งข้อมูล ให้กด “ออกโดยไม่บันทึก”
วิธีกรองที่อยู่ MAC ใน Wireshark
Wireshark ช่วยให้คุณใช้ตัวกรองและดูข้อมูลจำนวนมากได้อย่างรวดเร็ว ซึ่งมีประโยชน์อย่างยิ่งหากมีปัญหากับอุปกรณ์บางอย่าง ใน Wireshark คุณสามารถกรองตามที่อยู่ MAC ต้นทางหรือที่อยู่ MAC ปลายทางได้
วิธีกรองตามที่อยู่ MAC ต้นทางใน Wireshark
หากคุณต้องการกรองตามที่อยู่ MAC ต้นทางใน Wireshark คุณต้องทำดังนี้:
ไปที่ Wireshark แล้วค้นหาตัวกรอง ช่องที่อยู่ด้านบนสุด
ป้อนไวยากรณ์นี้: “ether.src==macaddress”แทนที่ “macaddress” ด้วยที่อยู่ต้นทางที่ต้องการ อย่าลืมใช้เครื่องหมายคำพูดเมื่อใช้ตัวกรอง
วิธีกรองตามที่อยู่ MAC ปลายทาง ใน Wireshark
Wireshark อนุญาตให้คุณกรองตามที่อยู่ MAC ปลายทาง วิธีการดำเนินการมีดังนี้:
เปิดใช้ Wireshark และค้นหาช่องตัวกรองที่ด้านบนของหน้าต่างป้อนไวยากรณ์นี้: “ether.dst==macaddress”ตรวจสอบให้แน่ใจว่าได้แทนที่ “macaddress” ด้วยที่อยู่ปลายทางแล้ว และอย่าลืมว่าอย่าใช้เครื่องหมายคำพูดเมื่อใช้ตัวกรอง
ตัวกรองสำคัญอื่นๆ ใน Wireshark
แทนที่จะเสียเวลาไปกับข้อมูลจำนวนมาก Wireshark ให้คุณใช้ทางลัดพร้อมตัวกรอง
ip.addr==x.x.x.x
นี่เป็นหนึ่งใน ตัวกรองที่ใช้บ่อยที่สุดใน Wireshark ด้วยตัวกรองนี้ คุณจะแสดงเฉพาะแพ็คเกจที่จับได้ซึ่งมีที่อยู่ IP ที่เลือก
ตัวกรองนี้สะดวกอย่างยิ่งสำหรับผู้ที่ต้องการมุ่งเน้นไปที่การรับส่งข้อมูลประเภทเดียว
คุณสามารถกรองตามที่อยู่ IP ต้นทางหรือปลายทาง
หากคุณต้องการกรองตามที่อยู่ IP ต้นทาง ให้ใช้ไวยากรณ์นี้: “ip.src==x.x.x.x”แทนที่ “x.x.x.x”ด้วยที่อยู่ IP ที่ต้องการและนำเครื่องหมายอัญประกาศออกเมื่อป้อนไวยากรณ์ลงในฟิลด์
ผู้ที่ต้องการกรองตามที่อยู่ IP ต้นทางควรป้อนไวยากรณ์นี้ลงในฟิลด์ตัวกรอง: “ip.dst==x.x.x.x”. ใช้ที่อยู่ IP ที่ต้องการแทน”x.x.x.x”และนำเครื่องหมายคำพูดออก
หากคุณต้องการกรองที่อยู่ IP หลายรายการ ให้ใช้ไวยากรณ์นี้:”ip.addr==x.x.x.x และ ip.addr==y.y.y.y”.
ip.addr==x.x.x.x && ip.addr==x.x.x.x
หากคุณต้องการระบุและวิเคราะห์ข้อมูลระหว่างโฮสต์หรือเครือข่ายเฉพาะสองรายการ ตัวกรองนี้จะมีประโยชน์อย่างมาก โดยจะลบข้อมูลที่ไม่จำเป็นออกและแสดงผลลัพธ์ที่ต้องการในเวลาเพียงไม่กี่วินาที
http
หากคุณต้องการวิเคราะห์เฉพาะการรับส่งข้อมูล HTTP ให้ป้อน”http”ในช่องตัวกรอง อย่าลืม ไม่ใช้เครื่องหมายอัญประกาศเมื่อใช้ตัวกรอง
dns
Wireshark ช่วยให้คุณกรองแพ็กเก็ตที่จับได้ด้วย DNS สิ่งที่คุณต้องทำเพื่อดูเฉพาะการรับส่งข้อมูล DNS คือป้อน “dns”ในช่องตัวกรอง
หากคุณต้องการผลลัพธ์ที่เจาะจงมากขึ้นและแสดงเฉพาะการค้นหา DNS ให้ใช้ไวยากรณ์นี้: “dns.flags.response==0″ตรวจสอบให้แน่ใจว่าไม่ได้ใช้เครื่องหมายอัญประกาศเมื่อป้อนตัวกรอง
หากคุณต้องการกรองการตอบกลับ DNS ให้ใช้ไวยากรณ์นี้: “dns.flags.response==1″
frame ประกอบด้วยการรับส่งข้อมูล
ตัวกรองที่สะดวกนี้ ให้คุณกรองแพ็กเก็ตที่มีคำว่า”traffic”ซึ่งมีประโยชน์อย่างยิ่งสำหรับผู้ที่ต้องการค้นหา ID ผู้ใช้หรือสตริงเฉพาะ
tcp.port==XXX
คุณสามารถ ใช้ตัวกรองนี้หากคุณต้องการวิเคราะห์การรับส่งข้อมูลที่เข้าหรือออกจากพอร์ตใดพอร์ตหนึ่ง
ip.addr >=x.x.x.x และ ip.addr <=y.y.y.y
ตัวกรอง Wireshark นี้ อนุญาตให้คุณแสดงเฉพาะแพ็กเก็ตที่มีช่วง IP เฉพาะ อ่านว่า”กรองที่อยู่ IP ที่มากกว่าหรือเท่ากับ x.x.x.x และน้อยกว่าหรือเท่ากับ y.y.y.y”แทนที่”x.x.x.x”และ”y.y.y.y”ด้วยที่อยู่ IP ที่ต้องการ คุณสามารถใช้”&&”แทน”และ”
frame.time >=12 สิงหาคม 2017 09:53:18 น. และ frame.time <=12 สิงหาคม 2017 17:53:18 น.
หากคุณต้องการวิเคราะห์ทราฟฟิกขาเข้าด้วย เวลาที่มาถึงที่เฉพาะเจาะจง คุณสามารถใช้ตัวกรองนี้เพื่อรับข้อมูลที่เกี่ยวข้อง โปรดทราบว่านี่เป็นเพียงวันที่ตัวอย่างเท่านั้น คุณควรแทนที่ด้วยวันที่ที่ต้องการ ขึ้นอยู่กับว่าคุณต้องการวิเคราะห์อะไร
! (ไวยากรณ์ของตัวกรอง)
หากคุณใส่เครื่องหมายอัศเจรีย์หน้าไวยากรณ์ของตัวกรองใด ๆ คุณจะแยกเครื่องหมายนั้นออกจากผลลัพธ์ ตัวอย่างเช่น หากคุณพิมพ์ “!(ip.addr==10.1.1.1) ,”คุณจะเห็นแพ็กเก็ตทั้งหมดที่ไม่มีที่อยู่ IP นี้ โปรดทราบว่าคุณไม่ควรใช้เครื่องหมายคำพูดเมื่อใช้ตัวกรอง
วิธีบันทึกตัวกรอง Wireshark
หากคุณไม่ได้ใช้ตัวกรองเฉพาะใน Wireshark บ่อยๆ คุณจะ คงจะลืมได้ทันท่วงที การพยายามจำไวยากรณ์ที่ถูกต้องและการเสียเวลาค้นหาทางออนไลน์อาจทำให้คุณหงุดหงิดได้ โชคดีที่ Wireshark สามารถช่วยคุณป้องกันสถานการณ์ดังกล่าวได้ด้วยสองตัวเลือกที่มีค่า
ตัวเลือกแรกคือการเติมข้อความอัตโนมัติ และจะมีประโยชน์สำหรับผู้ที่จำจุดเริ่มต้นของตัวกรองได้ ตัวอย่างเช่น คุณสามารถพิมพ์ “tcp”และ Wireshark จะแสดงรายการตัวกรองที่ขึ้นต้นด้วยลำดับนั้น
ตัวเลือกที่สองคือตัวกรองบุ๊กมาร์ก นี่เป็นตัวเลือกที่ทรงคุณค่าสำหรับผู้ที่มักใช้ตัวกรองที่ซับซ้อนกับ ไวยากรณ์แบบยาว วิธีบุ๊กมาร์กตัวกรองของคุณมีดังนี้
เปิด Wireshark แล้วกดไอคอนบุ๊กมาร์ก คุณจะพบไอคอนนี้ทางด้านซ้ายของช่องตัวกรอง เลือก “จัดการตัวกรองการแสดงผล” ค้นหาตัวกรองที่ต้องการในรายการและ กดเครื่องหมายบวกเพื่อเพิ่ม
ครั้งต่อไปที่คุณต้องการตัวกรอง ให้กดไอคอนบุ๊กมาร์ก แล้วค้นหาตัวกรองของคุณในรายการ
คำถามที่พบบ่อย
ฉันเรียกใช้ได้ไหม Wireshark บนเครือข่ายสาธารณะหรือไม่
หากคุณสงสัยว่าการใช้งาน Wireshark บนเครือข่ายสาธารณะนั้นถูกกฎหมายหรือไม่ คำตอบคือใช่ แต่นั่นไม่ได้หมายความว่าคุณควรเรียกใช้ Wireshark บนเครือข่ายใดก็ได้ อย่าลืมอ่านข้อกำหนดและเงื่อนไขของเครือข่ายที่คุณต้องการใช้ หากเครือข่ายห้ามการใช้ Wireshark และคุณยังคงเรียกใช้ คุณอาจถูกแบนจากเครือข่ายหรือถูกฟ้องได้
Wireshark ไม่กัด
ตั้งแต่การแก้ปัญหาเครือข่ายไปจนถึงการติดตามการเชื่อมต่อ และวิเคราะห์การรับส่งข้อมูล Wireshark มีประโยชน์มากมาย ด้วยแพลตฟอร์มนี้ คุณสามารถค้นหาที่อยู่ MAC ที่ต้องการได้ด้วยการคลิกเพียงไม่กี่ครั้ง เนื่องจากแพลตฟอร์มนี้ให้บริการฟรีและใช้งานได้บนระบบปฏิบัติการหลายระบบ ผู้คนหลายล้านคนทั่วโลกจึงเพลิดเพลินกับตัวเลือกที่สะดวกสบาย
คุณใช้ Wireshark เพื่ออะไร ตัวเลือกที่คุณชื่นชอบคืออะไร? บอกเราในส่วนความคิดเห็นด้านล่าง
ข้อจำกัดความรับผิดชอบ: บางหน้าในไซต์นี้อาจมีลิงก์พันธมิตร การดำเนินการนี้ไม่ส่งผลต่อบทบรรณาธิการของเราแต่อย่างใด
