Jak znaleźć adres MAC z Wireshark

Jak znaleźć adres MAC z Wireshark

Jako bezpłatny i otwarty analizator pakietów, Wireshark oferuje wiele wygodnych funkcji. Jednym z nich jest znalezienie adresów Media Access Control (MAC), które mogą powiedzieć więcej informacji o różnych pakietach w sieci.

Jeśli jesteś nowy w Wireshark i nie wiesz, jak znaleźć adresy MAC, trafiłeś we właściwe miejsce. Tutaj powiemy Ci więcej o adresach MAC, wyjaśnij, dlaczego są przydatne, i zapewnimy kroki w ich znalezieniu.

Co to jest adres MAC?

Adres MAC to unikalny identyfikator przypisany do urządzeń sieciowych, takich jak komputery, przełączniki i routery. Te adresy są zwykle przypisywane przez producenta i są reprezentowane jako sześć grup dwóch cyfr szesnastkowych.

Czym jest adres MAC używany w Wireshark?

Podstawową rolą adresu MAC jest zaznaczenie źródła i miejsca docelowego pakietu. Możesz również użyć ich do śledzenia określonej ścieżki pakietu przez sieć, monitorowanie ruchu internetowego, identyfikacji złośliwej aktywności i analizy protokołów sieciowych.

Wireshark Jak znaleźć adres MAC

Znalezienie adresu MAC w Wireshark jest stosunkowo łatwe. Tutaj pokażemy, jak znaleźć źródło adresu MAC i adresu MAC docelowego w Wireshark.

Jak znaleźć źródło adresu MAC w Wireshark

Źródłowy adres MAC to adres urządzenia wysyłający pakiet i zwykle można go zobaczyć w nagłówku Ethernet pakietu. Za pomocą źródłowego adresu MAC możesz śledzić ścieżkę pakietu przez sieć i zidentyfikować źródło każdego pakietu.

Można znaleźć źródłowy adres MAC pakietu na karcie Ethernet. Oto jak się do tego dotrzeć:

  1. Otwórz pakiety Wireshark i przechwytywania.
  2. Wybierz zainteresowany pakiet i wyświetl jego szczegóły.
  3. Wybierz i rozwinąć „ramkę”, aby uzyskać więcej informacji o pakiecie.
  4. Przejdź do nagłówka „Ethernet”, aby wyświetlić szczegóły Ethernet.
  5. Wybierz pole „źródło”. Tutaj zobaczysz adres MAC źródłowego.

Jak znaleźć docelowy adres MAC w Wireshark

Docelowy adres MAC reprezentuje adres urządzenia odbierającego pakiet. Podobnie jak adres źródłowy, docelowy adres MAC znajduje się w nagłówku Ethernet. Wykonaj poniższe czynności, aby znaleźć docelowy adres MAC w Wireshark:

  1. Otwórz Wireshark i rozpocznij przechwytywanie pakietów.
  2. Znajdź pakiet, który chcesz przeanalizować i obserwować jego szczegóły w okienku.
  3. Wybierz „ramkę”, aby uzyskać więcej danych.
  4. Przejdź do „Ethernet.„Zobaczysz„ źródło ”,„ miejsce docelowe ”i„ wpisz."
  5. Wybierz pole „docelowe” i wyświetl adres MAC docelowy.

Jak potwierdzić adres MAC w ruchu Ethernet

Jeśli rozwiązywasz problemy z problemami sieciowymi lub chcesz zidentyfikować złośliwy ruch, możesz sprawdzić, czy dany pakiet jest wysyłany z odpowiedniego źródła i kierowany do właściwego miejsca docelowego. Postępuj zgodnie z poniższymi instrukcjami, aby potwierdzić adres MAC w ruchu Ethernet:

  1. Wyświetl fizyczny adres komputera za pomocą IPConfig/ All lub GetMac.
  2. Wyświetl pola źródła i docelowego w ruchu, którego przechwytyłeś, i porównaj fizyczny adres komputera do nich. Użyj tych danych, aby sprawdzić, które ramki zostały wysłane lub odebrane przez komputer, w zależności od tego, co jesteś zainteresowany.
  3. Użyj ARP-A, aby zobaczyć pamięć podręczną protokołu rozdzielczości adresu (ARP).
  4. Znajdź adres IP Domyślnego Gateway użyty w wierszu polecenia i wyświetl jego adres fizyczny. Sprawdź, czy fizyczny adres bramy pasuje do niektórych pól „źródła” i „docelowych” w schwytanym ruchu.
  5. Wypełnij aktywność, zamykając Wireshark. Jeśli chcesz odrzucić schwytany ruch, naciśnij „Zakończ bez oszczędzania."

Jak odfiltrować adres MAC w Wireshark

Wireshark umożliwia korzystanie z filtrów i szybkie przeglądanie dużych informacji. Jest to szczególnie przydatne, jeśli występuje problem z określonym urządzeniem. W Wireshark możesz filtrować według źródłowego adresu MAC lub docelowego adresu MAC.

Jak filtrować adres MAC źródłowego w Wireshark

Jeśli chcesz filtrować według źródłowego adresu MAC w Wireshark, oto, co musisz zrobić:

  1. Przejdź do Wireshark i znajdź pole filtra znajdujące się u góry.
  2. Wprowadź tę składnię: „Eter.src == Macaddress ”. Wymień „Macaddress” na pożądany adres źródłowy. Pamiętaj, aby nie używać znaków cytatowych podczas stosowania filtra.

Jak filtrować według docelowego adresu MAC w Wireshark

Wireshark umożliwia filtrowanie według docelowego adresu MAC. Oto jak to zrobić:

  1. Uruchom Wireshark i zlokalizuj pole filtra u góry okna.
  2. Wprowadź tę składnię: „Eter.DST == Macaddress ”. Upewnij się, aby zastąpić „makaddress” adresem docelowym i pamiętaj, aby nie używać znaków cytatowych podczas stosowania filtra.

Inne ważne filtry w Wireshark

Zamiast marnować godziny na przechodzenie przez duże ilości informacji, Wireshark pozwala skrócić z filtrami.

ip.addr == x.X.X.X

Jest to jeden z najczęściej używanych filtrów w Wireshark. Dzięki temu filtrowi wyświetlasz tylko przechwycone pakiety zawierające wybrany adres IP.

Filtr jest szczególnie wygodny dla tych, którzy chcą skupić się na jednym rodzaju ruchu.

Możesz filtrować według źródła lub docelowego adresu IP.

Jeśli chcesz filtrować według źródła adresu IP, użyj tej składni: „IP.src == x.X.X.X". Wymień „x.X.X.x ”z pożądanym adresem IP i usuń znaki cytatu podczas wprowadzania składni do pola.

Ci, którzy chcą filtrować według źródłowego adresu IP, powinni wprowadzić tę składnię w polu filtra: „IP.dst == x.X.X.X". Użyj pożądanego adresu IP zamiast „x.X.X.x ”i usuń znaki cytatowe.

Jeśli chcesz filtrować wiele adresów IP, użyj tej składni: „IP.addr == x.X.X.X i IP.addr == y.y.y.y ”.

ip.addr == x.X.X.x && ip.addr == x.X.X.X

Jeśli chcesz zidentyfikować i przeanalizować dane między dwoma konkretnymi hostami lub sieciami, ten filtr może być niezwykle pomocny. Usunie niepotrzebne dane i wyświetli pożądane wyniki w zaledwie kilka sekund.

http

Jeśli chcesz przeanalizować tylko ruch HTTP, wprowadź „HTTP” w polu filtra. Pamiętaj, aby nie używać znaków cytatowych podczas stosowania filtra.

DNS

Wireshark pozwala filtrować przechwycone pakiety według DNS. Wszystko, co musisz zrobić, aby zobaczyć tylko ruch DNS, to wprowadzenie „DNS” w polu filtra.

Jeśli chcesz bardziej szczegółowych wyników i wyświetlaj tylko zapytania DNS, użyj tej składni: „DNS.flagi.Odpowiedź == 0 ”. Upewnij się, że nie używaj znaków cytatowych podczas wchodzenia do filtra.

Jeśli chcesz filtrować odpowiedzi DNS, użyj tej składni: „DNS.flagi.Odpowiedź == 1 ”.

Rama zawiera ruch

Ten wygodny filtr pozwala filtrować pakiety zawierające słowo „ruch ruch.„Jest to szczególnie cenne dla tych, którzy chcą wyszukać określony identyfikator użytkownika lub ciąg.

TCP.port == xxx

Możesz użyć tego filtra, jeśli chcesz przeanalizować ruch, który wchodzi lub z określonego portu.

ip.addr> = x.X.X.X i IP.addr <= y.y.y.y

Ten filtr Wireshark umożliwia wyświetlanie tylko pakietów z określonym zakresem adresów IP. Odczytuje się jako „Filtruj adresy IP większe lub równe x.X.X.X i mniejsze lub równe Y.y.y.y.”Wymień„ x.X.X.x ”i„ y.y.y.y ”z pożądanymi adresami IP. Możesz także użyć „&&” zamiast „i."

rama.czas> = 12 sierpnia 2017 09:53:18 i ramka.czas <= August 12, 2017 17:53:18

Jeśli chcesz przeanalizować przychodzący ruch z określonym czasem przyjazdu, możesz użyć tego filtra, aby uzyskać odpowiednie informacje. Pamiętaj, że są to tylko przykładowe daty. Powinieneś je zastąpić żądanymi datami, w zależności od tego, co chcesz przeanalizować.

!(Składnia filtru)

Jeśli umieścisz okrzyk przed dowolną składnią filtra, wykluczysz go z wyników. Na przykład, jeśli wpiszesz „!(IP.addr == 10.1.1.1), zobaczysz wszystkie pakiety, które nie zawierają tego adresu IP. Pamiętaj, że nie powinieneś używać znaków cytatowych podczas stosowania filtra.

Jak zapisać filtry Wireshark

Jeśli nie używasz często konkretnego filtra w Wireshark, prawdopodobnie zapomnisz o tym na czas. Próba zapamiętania prawidłowej składni i marnowania czasu na poszukiwanie jej online może być bardzo frustrujące. Na szczęście Wireshark może pomóc w zapobieganiu takich scenariuszy z dwoma cennymi opcjami.

Pierwszą opcją jest automatyczne uzupełnienie i może być przydatne dla tych, którzy pamiętają początek filtra. Na przykład możesz wpisać „TCP”, a Wireshark wyświetli listę filtrów zaczynających się od tej sekwencji.

Drugą opcją jest filtry zakładek. Jest to nieoceniona opcja dla tych, którzy często używają złożonych filtrów z długą składnią. Oto jak dodać do zakładek swój filtr:

  1. Otwórz Wireshark i naciśnij ikonę zakładki. Można go znaleźć po lewej stronie pola filtra.
  2. Wybierz „Zarządzaj filtrami wyświetlania."
  3. Znajdź żądany filtr na liście i naciśnij znak plus, aby go dodać.

Następnym razem, gdy potrzebujesz tego filtra, naciśnij ikonę zakładki i znajdź filtr na liście.

FAQ

Czy mogę uruchomić Wireshark w sieci publicznej?

Jeśli zastanawiasz się, czy uruchomienie Wireshark w sieci publicznej jest legalne, odpowiedź brzmi tak. Ale to nie znaczy, że powinieneś uruchomić Wireshark w dowolnej sieci. Upewnij się, aby odczytać warunki sieci, których chcesz użyć. Jeśli sieć zabrania korzystania z Wireshark i nadal ją uruchamiasz, możesz zostać zakazany w sieci, a nawet pozwóc.

Wireshark nie gryzie

Od rozwiązywania problemów z sieciami po śledzenie połączeń i analizę ruchu, Wireshark ma wiele zastosowań. Dzięki tej platformie możesz znaleźć określony adres MAC za pomocą tylko kilku kliknięć. Ponieważ platforma jest bezpłatna i dostępna w wielu systemach operacyjnych, miliony ludzi na całym świecie cieszą się wygodnymi opcjami.

Do czego używasz Wireshark? Jaka jest twoja ulubiona opcja? Powiedz nam w sekcji komentarzy poniżej.