Как да намерите MAC адрес с WireShark

Като безплатен анализатор на пакети с отворен код, Wireshark предлага много удобни функции. Един от тях е намирането на адреси за контрол на достъпа до медия (MAC), които могат да ви кажат повече информация за различните пакети в мрежата.

Ако не сте запознати с Wireshark и не знаете как да намерите MAC адреси, попаднали сте на правилното място. Тук ще ви разкажем повече за MAC адресите, ще обясним защо са полезни и ще предоставим стъпки за намирането им.

Какво е MAC адрес?

MAC адресът е уникален идентификатор, присвоен на мрежови устройства като компютри, комутатори и рутери. Тези адреси обикновено се задават от производителя и се представят като шест групи от две шестнадесетични цифри.

За какво се използва MAC адрес в Wireshark?

Основната роля на MAC адреса е да маркира източника и дестинацията на пакета. Можете също така да ги използвате, за да проследите пътя на конкретен пакет през мрежата, да наблюдавате уеб трафика, да идентифицирате злонамерена дейност и да анализирате мрежовите протоколи.

Wireshark Как да намерите MAC адрес

Намирането на MAC адреса в Wireshark е сравнително лесно. Тук ще ви покажем как да намерите MAC адрес на източник и MAC адрес на местоназначение в Wireshark.

Как да намерите изходен MAC адрес в Wireshark

MAC адресът на източника е адресът на устройството, изпращащо пакета, и обикновено можете да го видите в Ethernet заглавката на пакета. С MAC адреса на източника можете да проследите пътя на пакета през мрежата и да идентифицирате източника на всеки пакет.

Можете да намерите MAC адреса на източника на пакет в раздела Ethernet. Ето как да стигнете до него:

1. Отворете Wireshark и заснемете пакети.
   
2. Изберете пакета, който ви интересува, и покажете неговите подробности.
   
3. Изберете и разгънете „Рамка“, за да получите повече информация за пакета.
   
4. Отидете до заглавката „Ethernet“, за да видите подробности за Ethernet.
   
5. Изберете полето „Източник“. Тук ще видите MAC адреса на източника.
   

Как да намерите MAC адрес на дестинация в Wireshark

MAC адресът на местоназначение представлява адреса на устройството, получаващо пакет. Подобно на адреса на източника, MAC адресът на местоназначението се намира в Ethernet заглавката. Следвайте стъпките по-долу, за да намерите целеви MAC адрес в Wireshark:

1. Отворете Wireshark и започнете да улавяте пакети.
   
2. Намерете пакета, който искате да анализирате, и наблюдавайте подробностите му в панела с подробности.
   
3. Изберете „Рамка“, за да получите повече информация за нея.
   
4. Отидете на „Ethernet“. Ще видите „Източник“, „Дестинация“ и „Тип“.
   
5. Изберете полето „Дестинация“ и вижте целевия MAC адрес.
   

Как да потвърдите MAC адрес в Ethernet трафик

Ако отстранявате мрежови проблеми или искате да идентифицирате злонамерен трафик, може да искате да проверите дали определен пакет се изпраща от правилния източник и се насочва към правилната дестинация. Следвайте инструкциите по-долу, за да потвърдите MAC адрес в Ethernet трафик:

1. Покажете физическия адрес на вашия компютър, като използвате ipconfig/all или Getmac.
   
2. Прегледайте полетата Source и Destination в трафика, който сте уловили, и сравнете физическия адрес на вашия компютър с тях. Използвайте тези данни, за да проверите кои кадри са изпратени или получени от вашия компютър, в зависимост от това, което ви интересува.
   
3. Използвайте arp-a, за да видите кеша на протокола за разрешаване на адреси (ARP).
   
4. Намерете IP адреса на шлюза по подразбиране, използван в командния ред, и вижте неговия физически адрес. Проверете дали физическият адрес на шлюза съвпада с някои от полетата „Източник“ и „Дестинация“ в уловения трафик.
   
5. Завършете дейността, като затворите Wireshark. Ако искате да отхвърлите уловения трафик, натиснете „Изход без запазване“.
   

Как да филтрирате MAC адрес в Wireshark

Wireshark ви позволява да използвате филтри и бързо да преглеждате големи количества информация. Това е особено полезно, ако има проблем с определено устройство. В Wireshark можете да филтрирате по MAC адреса на източника или MAC адреса на местоназначението.

Как да филтрирате по MAC адрес на източник в Wireshark

Ако искате да филтрирате по MAC адрес на източника в Wireshark, ето какво трябва да направите:

1. Отидете на Wireshark и намерете полето Филтър, разположено в горната част.
   
2. Въведете този синтаксис: „ether.src == macaddress“. Заменете „macaddress“ с желания адрес на източника. Не забравяйте да не използвате кавички, когато прилагате филтъра.
   

Как да филтрирате по MAC адрес на дестинация в Wireshark

Wireshark ви позволява да филтрирате по MAC адрес на дестинация. Ето как да го направите:

1. Стартирайте Wireshark и намерете полето Филтър в горната част на прозореца.
   
2. Въведете този синтаксис: „ether.dst == macaddress“. Уверете се, че сте заменили „macaddress“ с адреса на местоназначението и не забравяйте да не използвате кавички, когато прилагате филтъра.
   

Други важни филтри в Wireshark

Вместо да губите часове в разглеждане на големи количества информация, Wireshark ви позволява да използвате пряк път с филтри.

ip.addr == xxxx

Това е един от най-често използваните филтри в Wireshark. С този филтър показвате само заснети пакети, съдържащи избрания IP адрес.

Филтърът е особено удобен за тези, които искат да се фокусират върху един вид трафик.

Можете да филтрирате по IP адрес на източник или местоназначение.

Ако искате да филтрирате по IP адрес на източник, използвайте този синтаксис: „ip.src == xxxx“. Заменете „xxxx“ с желания IP адрес и премахнете кавичките, когато въвеждате синтаксиса в полето.

Тези, които искат да филтрират по IP адрес на източника, трябва да въведат този синтаксис в полето Филтър: “ip.dst == xxxx”. Използвайте желания IP адрес вместо “xxxx” и премахнете кавичките.

Ако искате да филтрирате множество IP адреси, използвайте този синтаксис: „ip.addr == xxxx и ip.addr == yyyy“.

ip.addr == xxxx && ip.addr == xxxx

Ако искате да идентифицирате и анализирате данни между два конкретни хоста или мрежи, този филтър може да бъде изключително полезен. Той ще премахне ненужните данни и ще покаже желаните резултати само за няколко секунди.

http

Ако искате да анализирате само HTTP трафик, въведете „http“ в полето Филтър. Не забравяйте да не използвате кавички, когато прилагате филтъра.

dns

Wireshark ви позволява да филтрирате уловените пакети по DNS. Всичко, което трябва да направите, за да видите само DNS трафик, е да въведете „dns“ в полето Филтър.

Ако искате по-конкретни резултати и показвате само DNS заявки, използвайте този синтаксис: “dns.flags.response == 0”. Уверете се, че не използвате кавички, когато влизате във филтъра.

Ако искате да филтрирате DNS отговорите, използвайте този синтаксис: “dns.flags.response == 1”.

рамката съдържа трафик

Този удобен филтър ви позволява да филтрирате пакети, съдържащи думата „трафик“. Това е особено ценно за тези, които искат да търсят конкретен потребителски идентификатор или низ.

tcp.port == XXX

Можете да използвате този филтър, ако искате да анализирате трафика, който влиза или излиза от определен порт.

ip.addr >= xxxx и ip.addr

Този филтър на Wireshark ви позволява да показвате само пакети с определен IP диапазон. Той се чете като „филтриране на IP адреси, по-големи или равни на xxxx и по-малки или равни на yyyy“ Заменете „xxxx“ и „yyyy“ с желаните IP адреси. Можете също да използвате „&&“ вместо „и“.

frame.time >= 12 август 2017 г. 09:53:18 и frame.time

Ако искате да анализирате входящия трафик с конкретен час на пристигане, можете да използвате този филтър, за да получите съответната информация. Имайте предвид, че това са само примерни дати. Трябва да ги замените с желаните дати, в зависимост от това какво искате да анализирате.

!(синтаксис на филтъра)

Ако поставите удивителен знак пред който и да е синтаксис на филтъра, ще го изключите от резултатите. Например, ако напишете “!(ip.addr == 10.1.1.1)”, ще видите всички пакети, които не съдържат този IP адрес. Имайте предвид, че не трябва да използвате кавички, когато прилагате филтъра.

Как да запазите филтрите на Wireshark

Ако не използвате често определен филтър в Wireshark, вероятно ще забравите за него след време. Да се ​​опитвате да запомните правилния синтаксис и да губите време в търсене онлайн може да бъде много разочароващо. За щастие, Wireshark може да ви помогне да предотвратите подобни сценарии с две ценни опции.

Първата опция е автоматично довършване и може да бъде полезна за тези, които помнят началото на филтъра. Например, можете да въведете „tcp“ и Wireshark ще покаже списък с филтри, започващи с тази последователност.

Втората опция е филтрите за отметки. Това е безценна опция за тези, които често използват сложни филтри с дълъг синтаксис. Ето как да маркирате вашия филтър:

1. Отворете Wireshark и натиснете иконата на отметка. Можете да го намерите от лявата страна на полето Филтър.
2. Изберете „Управление на филтри за показване“.
3. Намерете желания филтър в списъка и натиснете знака плюс, за да го добавите.

Следващият път, когато имате нужда от този филтър, натиснете иконата на отметка и намерете филтъра си в списъка.

ЧЗВ

Мога ли да стартирам Wireshark в обществена мрежа?

Ако се чудите дали работата на Wireshark в публична мрежа е законна, отговорът е да. Но това не означава, че трябва да стартирате Wireshark във всяка мрежа. Не забравяйте да прочетете правилата и условията на мрежата, която искате да използвате. Ако мрежата забранява използването на Wireshark и все още го използвате, може да бъдете забранени от мрежата или дори съдени.

Wireshark не хапе

От отстраняване на неизправности в мрежи до проследяване на връзки и анализиране на трафика, Wireshark има много приложения. С тази платформа можете да намерите конкретен MAC адрес само с няколко кликвания. Тъй като платформата е безплатна и се предлага на множество операционни системи, милиони хора по света се радват на нейните удобни опции.

За какво използвате Wireshark? Кой е вашият любим вариант? Кажете ни в секцията за коментари по-долу.