Kā atrast MAC adresi, izmantojot WireShark

Kā bezmaksas atvērtā koda pakešu analizators Wireshark piedāvā daudzas ērtas funkcijas. Viens no tiem ir multivides piekļuves kontroles (MAC) adrešu atrašana, kas var sniegt vairāk informācijas par dažādām tīkla paketēm.

Ja esat iesācējs Wireshark un nezināt, kā atrast MAC adreses, esat nonācis īstajā vietā. Šeit mēs jums pastāstīsim vairāk par MAC adresēm, paskaidrosim, kāpēc tās ir noderīgas, un sniegsim darbības to atrašanai.

Kas ir MAC adrese?

MAC adrese ir unikāls identifikators, kas piešķirts tīkla ierīcēm, piemēram, datoriem, slēdžiem un maršrutētājiem. Šīs adreses parasti piešķir ražotājs, un tās ir attēlotas kā sešas divu heksadecimālo ciparu grupas.

Kam programmā Wireshark tiek izmantota MAC adrese?

MAC adreses galvenā loma ir atzīmēt paketes avotu un galamērķi. Varat arī tos izmantot, lai izsekotu konkrētas paketes ceļu tīklā, pārraudzītu tīmekļa trafiku, identificētu ļaunprātīgas darbības un analizētu tīkla protokolus.

Wireshark Kā atrast MAC adresi

MAC adreses atrašana programmā Wireshark ir salīdzinoši vienkārša. Šeit mēs parādīsim, kā Wireshark atrast avota MAC adresi un galamērķa MAC adresi.

Kā atrast avota MAC adresi programmā Wireshark

Avota MAC adrese ir tās ierīces adrese, kas nosūta paketi, un parasti to var redzēt paketes Ethernet galvenē. Izmantojot avota MAC adresi, varat izsekot paketes ceļam tīklā un identificēt katras paketes avotu.

Paketes avota MAC adresi varat atrast cilnē Ethernet. Lūk, kā to sasniegt:

1. Atveriet Wireshark un tveriet paketes.
   
2. Atlasiet jūs interesējošo paketi un parādiet tās informāciju.
   
3. Atlasiet un izvērsiet “Rāmis”, lai iegūtu vairāk informācijas par paketi.
   
4. Lai skatītu Ethernet informāciju, dodieties uz galveni “Ethernet”.
   
5. Atlasiet lauku “Avots”. Šeit jūs redzēsit avota MAC adresi.
   

Kā atrast galamērķa MAC adresi Wireshark

Mērķa MAC adrese ir tās ierīces adrese, kas saņem paketi. Tāpat kā avota adrese, galamērķa MAC adrese atrodas Ethernet galvenē. Veiciet tālāk norādītās darbības, lai atrastu galamērķa MAC adresi programmā Wireshark:

1. Atveriet Wireshark un sāciet pakešu tveršanu.
   
2. Detalizētās informācijas rūtī atrodiet paketi, kuru vēlaties analizēt, un apskatiet tās detaļas.
   
3. Izvēlieties “Rāmis”, lai iegūtu vairāk datu par to.
   
4. Dodieties uz 'Ethernet'. Jūs redzēsit “Avots”, “Galamērķis” un “Veids”.
   
5. Atlasiet lauku “Galamērķis” un skatiet mērķa MAC adresi.
   

Kā apstiprināt MAC adresi Ethernet trafikā

Ja veicat tīkla problēmu novēršanu vai vēlaties identificēt ļaunprātīgu trafiku, iespējams, vēlēsities pārbaudīt, vai konkrēta pakete tiek sūtīta no pareizā avota un maršrutēta uz pareizo galamērķi. Izpildiet tālāk sniegtos norādījumus, lai apstiprinātu MAC adresi Ethernet trafikā:

kā formatēt rakstīt aizsargātu usb

1. Parādiet sava datora fizisko adresi, izmantojot ipconfig/all vai Getmac.
   
2. Apskatiet tvertās trafika laukus Avots un Galamērķis un salīdziniet ar tiem sava datora fizisko adresi. Izmantojiet šos datus, lai pārbaudītu, kuri kadri ir nosūtīti vai saņemti no jūsu datora, atkarībā no tā, kas jūs interesē.
   
3. Izmantojiet arp-a, lai skatītu Address Resolution Protocol (ARP) kešatmiņu.
   
4. Atrodiet komandrindā izmantoto noklusējuma vārtejas IP adresi un skatiet tās fizisko adresi. Pārbaudiet, vai vārtejas fiziskā adrese atbilst dažiem laukiem “Avots” un “Galamērķis” uzņemtajā trafikā.
   
5. Pabeidziet darbību, aizverot Wireshark. Ja vēlaties atmest uzņemto trafiku, nospiediet “Iziet bez saglabāšanas”.
   

Kā filtrēt MAC adresi programmā Wireshark

Wireshark ļauj izmantot filtrus un ātri piekļūt lielam informācijas apjomam. Tas ir īpaši noderīgi, ja ir problēmas ar noteiktu ierīci. Programmā Wireshark varat filtrēt pēc avota MAC adreses vai mērķa MAC adreses.

Kā filtrēt pēc avota MAC adreses programmā Wireshark

Ja vēlaties filtrēt pēc avota MAC adreses programmā Wireshark, veiciet tālāk norādītās darbības.

1. Dodieties uz Wireshark un atrodiet augšpusē esošo filtru lauku.
   
2. Ievadiet šo sintaksi: 'ether.src == macaddress'. Aizstājiet “macaddress” ar vēlamo avota adresi. Atcerieties, ka, lietojot filtru, neizmantojiet pēdiņas.
   

Kā filtrēt pēc galamērķa MAC adreses programmā Wireshark

Wireshark ļauj filtrēt pēc mērķa MAC adreses. Lūk, kā to izdarīt:

1. Palaidiet programmu Wireshark un loga augšdaļā atrodiet lauku Filtrs.
   
2. Ievadiet šo sintaksi: 'ether.dst == macaddress'. Noteikti aizstājiet “macaddress” ar galamērķa adresi un atcerieties, ka, lietojot filtru, neizmantojiet pēdiņas.
   

Citi svarīgi filtri programmā Wireshark

Tā vietā, lai tērētu stundas, apgūstot lielu informācijas daudzumu, Wireshark ļauj izmantot filtru saīsnes.

ip.addr == x.x.x.x

Šis ir viens no Wireshark visbiežāk izmantotajiem filtriem. Izmantojot šo filtru, tiek rādītas tikai tvertās pakotnes, kas satur izvēlēto IP adresi.

Filtrs ir īpaši ērts tiem, kas vēlas koncentrēties uz viena veida satiksmi.

Varat filtrēt pēc avota vai galamērķa IP adreses.

Ja vēlaties filtrēt pēc avota IP adreses, izmantojiet šo sintaksi: “ip.src == x.x.x.x”. Aizstājiet “x.x.x.x” ar vēlamo IP adresi un noņemiet pēdiņas, ievadot laukā sintaksi.

Tiem, kuri vēlas filtrēt pēc avota IP adreses, laukā Filtrs jāievada šī sintakse: “ip.dst == x.x.x.x”. Izmantojiet vēlamo IP adresi, nevis “x.x.x.x”, un noņemiet pēdiņas.

Ja vēlaties filtrēt vairākas IP adreses, izmantojiet šo sintaksi: “ip.addr == x.x.x.x un ip.addr == y.y.y.y”.

ip.addr == x.x.x.x && ip.addr == x.x.x.x

Ja vēlaties identificēt un analizēt datus starp diviem konkrētiem resursdatoriem vai tīkliem, šis filtrs var būt neticami noderīgs. Tas noņems nevajadzīgos datus un parādīs vēlamos rezultātus tikai dažu sekunžu laikā.

http

Ja vēlaties analizēt tikai HTTP trafiku, lodziņā Filtrs ievadiet “http”. Atcerieties, ka, lietojot filtru, neizmantojiet pēdiņas.

dns

Wireshark ļauj filtrēt uzņemtās paketes pēc DNS. Viss, kas jums jādara, lai skatītu tikai DNS trafiku, ir laukā Filtrs ievadīt “dns”.

Ja vēlaties iegūt konkrētākus rezultātus un rādīt tikai DNS vaicājumus, izmantojiet šo sintaksi: “dns.flags.response == 0”. Ievadot filtru, nelietojiet pēdiņas.

Ja vēlaties filtrēt DNS atbildes, izmantojiet šo sintaksi: “dns.flags.response == 1”.

rāmis satur satiksmi

Šis ērtais filtrs ļauj filtrēt paketes, kurās ir vārds “traffic”. Tas ir īpaši vērtīgs tiem, kuri vēlas meklēt noteiktu lietotāja ID vai virkni.

tcp.port == XXX

Varat izmantot šo filtru, ja vēlaties analizēt datplūsmu, kas ienāk vai iziet no noteikta porta.

ip.addr >= x.x.x.x un ip.addr <= y.y.y.y

Šis Wireshark filtrs ļauj parādīt tikai paketes ar noteiktu IP diapazonu. Tas skan kā 'filtrēt IP adreses, kas ir lielākas vai vienādas ar x.x.x.x un mazākas vai vienādas ar y.y.y.y.' Aizstājiet “x.x.x.x” un “y.y.y.y” ar vēlamajām IP adresēm. Varat arī izmantot “&&”, nevis “un”.

frame.time >= 2017. gada 12. augusts 09:53:18 un frame.time <= 2017. gada 12. augusts 17:53:18

Ja vēlaties analizēt ienākošo trafiku ar noteiktu ierašanās laiku, varat izmantot šo filtru, lai iegūtu attiecīgo informāciju. Ņemiet vērā, ka šie ir tikai datumu piemēri. Atkarībā no tā, ko vēlaties analizēt, tie jāaizstāj ar vajadzīgajiem datumiem.

!(filtra sintakse)

Ja pirms jebkura filtra sintakse ievietosiet izsaukuma zīmi, tā tiks izslēgta no rezultātiem. Piemēram, ja ierakstāt “!(ip.addr == 10.1.1.1),”, jūs redzēsit visas paketes, kurās nav šīs IP adreses. Ņemiet vērā, ka, lietojot filtru, nevajadzētu izmantot pēdiņas.

Kā saglabāt Wireshark filtrus

Ja Wireshark neizmantojat noteiktu filtru bieži, iespējams, ar laiku par to aizmirsīsit. Mēģinājums atcerēties pareizo sintaksi un tērēt laiku, meklējot to tiešsaistē, var būt ļoti nomākta. Par laimi, Wireshark var palīdzēt novērst šādus scenārijus, izmantojot divas vērtīgas iespējas.

Pirmā iespēja ir automātiskā pabeigšana, un tā var būt noderīga tiem, kas atceras filtra sākumu. Piemēram, varat ierakstīt “tcp”, un Wireshark parādīs filtru sarakstu, kas sākas ar šo secību.

Otrā iespēja ir grāmatzīmju filtri. Šī ir nenovērtējama iespēja tiem, kas bieži izmanto sarežģītus filtrus ar garu sintaksi. Tālāk ir norādīts, kā filtram pievienot grāmatzīmi.

1. Atveriet Wireshark un nospiediet grāmatzīmes ikonu. To var atrast lauka Filtrs kreisajā pusē.
2. Atlasiet “Pārvaldīt displeja filtrus”.
3. Sarakstā atrodiet vajadzīgo filtru un nospiediet plus zīmi, lai to pievienotu.

Nākamreiz, kad jums būs nepieciešams šis filtrs, nospiediet grāmatzīmes ikonu un atrodiet savu filtru sarakstā.

FAQ

Vai es varu palaist Wireshark publiskā tīklā?

Ja vēlaties uzzināt, vai Wireshark palaišana publiskajā tīklā ir likumīga, atbilde ir jā. Bet tas nenozīmē, ka jums vajadzētu palaist Wireshark jebkurā tīklā. Noteikti izlasiet tā tīkla noteikumus un nosacījumus, kurus vēlaties izmantot. Ja tīkls aizliedz izmantot Wireshark un jūs joprojām to izmantojat, jums var tikt aizliegts izmantot tīklu vai pat iesūdzēt tiesā.

Wireshark nekož

No tīklu problēmu novēršanas līdz savienojumu izsekošanai un trafika analīzei, Wireshark ir daudz pielietojumu. Izmantojot šo platformu, jūs varat atrast konkrētu MAC adresi tikai ar dažiem klikšķiem. Tā kā platforma ir bezmaksas un pieejama vairākās operētājsistēmās, miljoniem cilvēku visā pasaulē bauda tās ērtās iespējas.

Kam jūs izmantojat Wireshark? Kāds ir jūsu iecienītākais variants? Pastāstiet mums komentāru sadaļā zemāk.