Cum să găsești adresa MAC cu WireShark

Ca analizor de pachete gratuit și open-source, Wireshark oferă multe funcții convenabile. Una dintre ele este găsirea adreselor de control al accesului la media (MAC), care vă pot oferi mai multe informații despre diferite pachete dintr-o rețea.

Dacă sunteți nou la Wireshark și nu știți cum să găsiți adrese MAC, ați ajuns la locul potrivit. Aici, vă vom spune mai multe despre adresele MAC, vă vom explica de ce sunt utile și vă vom oferi pașii pentru a le găsi.

Ce este o adresă MAC?

O adresă MAC este un identificator unic atribuit dispozitivelor de rețea, cum ar fi computere, switch-uri și routere. Aceste adrese sunt de obicei atribuite de producător și sunt reprezentate ca șase grupuri de două cifre hexazecimale.

Pentru ce este folosită o adresă MAC în Wireshark?

Rolul principal al unei adrese MAC este de a marca sursa și destinația unui pachet. De asemenea, le puteți utiliza pentru a urmări traseul unui anumit pachet printr-o rețea, pentru a monitoriza traficul web, pentru a identifica activitățile rău intenționate și pentru a analiza protocoalele de rețea.

Wireshark Cum să găsiți adresa MAC

Găsirea adresei MAC în Wireshark este relativ ușoară. Aici, vă vom arăta cum să găsiți o adresă MAC sursă și o adresă MAC de destinație în Wireshark.

Cum să găsiți o adresă MAC sursă în Wireshark

O adresă MAC sursă este adresa dispozitivului care trimite pachetul și, de obicei, o puteți vedea în antetul Ethernet al pachetului. Cu adresa MAC sursă, puteți urmări calea unui pachet prin rețea și puteți identifica sursa fiecărui pachet.

Puteți găsi adresa MAC sursă a unui pachet în fila Ethernet. Iată cum să ajungi la el:

1. Deschideți Wireshark și capturați pachete.
   
2. Selectați pachetul care vă interesează și afișați detaliile acestuia.
   
3. Selectați și extindeți „Cadru” pentru a obține mai multe informații despre pachet.
   
4. Accesați antetul „Ethernet” pentru a vedea detaliile Ethernet.
   
5. Selectați câmpul „Sursă”. Aici veți vedea adresa MAC sursă.
   

Cum să găsiți o adresă MAC de destinație în Wireshark

O adresă MAC de destinație reprezintă adresa dispozitivului care primește un pachet. La fel ca adresa sursă, adresa MAC de destinație se află în antetul Ethernet. Urmați pașii de mai jos pentru a găsi o adresă MAC de destinație în Wireshark:

1. Deschideți Wireshark și începeți să capturați pachete.
   
2. Găsiți pachetul pe care doriți să îl analizați și observați detaliile acestuia în panoul de detalii.
   
3. Alegeți „Cadru” pentru a obține mai multe date despre acesta.
   
4. Accesați „Ethernet”. Veți vedea „Sursă”, „Destinație” și „Tip”.
   
5. Selectați câmpul „Destinație” și vizualizați adresa MAC de destinație.
   

Cum să confirmați o adresă MAC în traficul Ethernet

Dacă remediați probleme de rețea sau doriți să identificați traficul rău intenționat, vă recomandăm să verificați dacă un anumit pachet este trimis de la sursa corectă și direcționat către destinația potrivită. Urmați instrucțiunile de mai jos pentru a confirma o adresă MAC în traficul Ethernet:

1. Afișați adresa fizică a computerului dvs. utilizând ipconfig/all sau Getmac.
   
2. Vizualizați câmpurile Sursă și Destinație din traficul pe care l-ați capturat și comparați adresa fizică a computerului cu acestea. Utilizați aceste date pentru a verifica ce cadre au fost trimise sau primite de computerul dvs., în funcție de ceea ce vă interesează.
   
3. Utilizați arp-a pentru a vedea cache-ul ARP (Address Resolution Protocol).
   
4. Găsiți adresa IP a gateway-ului implicit utilizată în promptul de comandă și vizualizați adresa fizică a acesteia. Verificați dacă adresa fizică a gateway-ului se potrivește cu unele dintre câmpurile „Sursă” și „Destinație” din traficul capturat.
   
5. Finalizați activitatea închizând Wireshark. Dacă doriți să renunțați la traficul capturat, apăsați „Ieșire fără salvare”.
   

Cum se filtrează o adresă MAC în Wireshark

Wireshark vă permite să utilizați filtre și să treceți rapid prin cantități mari de informații. Acest lucru este util mai ales dacă există o problemă cu un anumit dispozitiv. În Wireshark, puteți filtra după adresa MAC sursă sau adresa MAC destinație.

Cum se filtrează după adresa MAC sursă în Wireshark

Dacă doriți să filtrați după adresa MAC sursă în Wireshark, iată ce trebuie să faceți:

1. Accesați Wireshark și găsiți câmpul Filtru situat în partea de sus.
   
2. Introduceți această sintaxă: „ether.src == macaddress”. Înlocuiți „macaddress” cu adresa sursă dorită. Nu uitați să nu folosiți ghilimele atunci când aplicați filtrul.
   

Cum se filtrează după adresa MAC de destinație în Wireshark

Wireshark vă permite să filtrați după adresa MAC de destinație. Iată cum să o faci:

1. Lansați Wireshark și localizați câmpul Filtru din partea de sus a ferestrei.
   
2. Introduceți această sintaxă: „ether.dst == macaddress”. Asigurați-vă că înlocuiți „macaddress” cu adresa de destinație și nu uitați să nu folosiți ghilimele atunci când aplicați filtrul.
   

Alte filtre importante în Wireshark

În loc să pierzi ore întregi trecând prin cantități mari de informații, Wireshark vă permite să luați o comandă rapidă cu filtre.

ip.addr == xxxx

Acesta este unul dintre cele mai frecvent utilizate filtre în Wireshark. Cu acest filtru, afișați numai pachetele capturate care conțin adresa IP aleasă.

Filtrul este deosebit de convenabil pentru cei care doresc să se concentreze pe un singur tip de trafic.

Puteți filtra după adresa IP sursă sau destinație.

Dacă doriți să filtrați după adresa IP sursă, utilizați această sintaxă: „ip.src == xxxx”. Înlocuiți „xxxx” cu adresa IP dorită și eliminați ghilimele atunci când introduceți sintaxa în câmp.

Cei care doresc să filtreze după adresa IP sursă ar trebui să introducă această sintaxă în câmpul Filtru: „ip.dst == xxxx”. Utilizați adresa IP dorită în loc de „xxxx” și eliminați ghilimele.

Dacă doriți să filtrați mai multe adrese IP, utilizați această sintaxă: „ip.addr == xxxx și ip.addr == yyyy”.

ip.addr == xxxx && ip.addr == xxxx

Dacă doriți să identificați și să analizați datele între două gazde sau rețele specifice, acest filtru poate fi incredibil de util. Acesta va elimina datele inutile și va afișa rezultatele dorite în doar câteva secunde.

http

Dacă doriți să analizați numai traficul HTTP, introduceți „http” în caseta Filtru. Nu uitați să nu folosiți ghilimele atunci când aplicați filtrul.

dns

Wireshark vă permite să filtrați pachetele capturate după DNS. Tot ce trebuie să faceți pentru a vizualiza numai traficul DNS este să introduceți „dns” în câmpul Filtru.

Dacă doriți rezultate mai specifice și să afișați numai interogări DNS, utilizați această sintaxă: „dns.flags.response == 0”. Asigurați-vă că nu folosiți ghilimele atunci când introduceți filtrul.

Dacă doriți să filtrați răspunsurile DNS, utilizați această sintaxă: „dns.flags.response == 1”.

cadrul conține trafic

Acest filtru convenabil vă permite să filtrați pachetele care conțin cuvântul „trafic”. Este deosebit de valoros pentru cei care doresc să caute un anumit ID de utilizator sau șir.

tcp.port == XXX

Puteți utiliza acest filtru dacă doriți să analizați traficul care intră sau iese dintr-un anumit port.

ip.addr >= xxxx și ip.addr <= aaaa

Acest filtru Wireshark vă permite să afișați numai pachete cu un interval IP specific. Se citește ca „filtrează adrese IP mai mari sau egale cu xxxx și mai mici sau egale cu aaaa” Înlocuiți „xxxx” și „aaaa” cu adresele IP dorite. De asemenea, puteți folosi „&&” în loc de „și”.

frame.time >= 12 august 2017 09:53:18 și frame.time <= 12 august 2017 17:53:18

Dacă doriți să analizați traficul de intrare cu o anumită oră de sosire, puteți utiliza acest filtru pentru a obține informațiile relevante. Rețineți că acestea sunt doar date de exemplu. Ar trebui să le înlocuiți cu datele dorite, în funcție de ceea ce doriți să analizați.

!(sintaxa filtrului)

Dacă plasați un semn de exclamare în fața oricărei sintaxe de filtru, îl veți exclude din rezultate. De exemplu, dacă tastați „!(ip.addr == 10.1.1.1),” veți vedea toate pachetele care nu conțin această adresă IP. Rețineți că nu ar trebui să utilizați ghilimele atunci când aplicați filtrul.

Cum să salvați filtrele Wireshark

Dacă nu folosiți un anumit filtru în Wireshark des, probabil că veți uita de el în timp. Încercarea de a-ți aminti sintaxa corectă și pierderea timpului căutând-o online poate fi foarte frustrant. Din fericire, Wireshark vă poate ajuta să preveniți astfel de scenarii cu două opțiuni valoroase.

Prima opțiune este completarea automată și poate fi utilă celor care își amintesc începutul filtrului. De exemplu, puteți tasta „tcp”, iar Wireshark va afișa o listă de filtre care încep cu acea secvență.

A doua opțiune este filtrele de marcare. Aceasta este o opțiune de neprețuit pentru cei care folosesc adesea filtre complexe cu sintaxă lungă. Iată cum să marcați filtrul dvs.:

1. Deschideți Wireshark și apăsați pictograma marcaj. Îl puteți găsi în partea stângă a câmpului Filtru.
2. Selectați „Gestionați filtrele de afișare”.
3. Găsiți filtrul dorit în listă și apăsați pe semnul plus pentru a-l adăuga.

Data viitoare când aveți nevoie de acel filtru, apăsați pictograma marcaj și găsiți filtrul dvs. în listă.

FAQ

Pot rula Wireshark într-o rețea publică?

Dacă vă întrebați dacă rularea Wireshark într-o rețea publică este legală, răspunsul este da. Dar asta nu înseamnă că ar trebui să rulezi Wireshark pe orice rețea. Asigurați-vă că citiți termenii și condițiile rețelei pe care doriți să o utilizați. Dacă rețeaua interzice utilizarea Wireshark și tot îl rulați, puteți fi interzis din rețea sau chiar dat în judecată.

Wireshark nu mușcă

De la depanarea rețelelor până la urmărirea conexiunilor și analiza traficului, Wireshark are multe utilizări. Cu această platformă, puteți găsi o anumită adresă MAC în doar câteva clicuri. Deoarece platforma este gratuită și disponibilă pe mai multe sisteme de operare, milioane de oameni din întreaga lume se bucură de opțiunile sale convenabile.

La ce folosești Wireshark? Care este varianta ta preferata? Spune-ne în secțiunea de comentarii de mai jos.