Как найти MAC-адрес с помощью WireShark

Как бесплатный анализатор пакетов с открытым исходным кодом, Wireshark предлагает множество удобных функций. Одним из них является поиск адресов управления доступом к среде (MAC), которые могут предоставить вам больше информации о различных пакетах в сети.

Если вы новичок в Wireshark и не знаете, как найти MAC-адреса, вы попали по адресу. Здесь мы расскажем вам больше о MAC-адресах, объясним, почему они полезны, и предложим шаги для их поиска.

Что такое MAC-адрес?

MAC-адрес — это уникальный идентификатор, назначаемый сетевым устройствам, таким как компьютеры, коммутаторы и маршрутизаторы. Эти адреса обычно назначаются производителем и представляются в виде шести групп из двух шестнадцатеричных цифр.

Для чего используется MAC-адрес в Wireshark?

Основная роль MAC-адреса состоит в том, чтобы пометить источник и место назначения пакета. Вы также можете использовать их для отслеживания пути определенного пакета в сети, мониторинга веб-трафика, выявления вредоносной активности и анализа сетевых протоколов.

Wireshark Как найти MAC-адрес

Найти MAC-адрес в Wireshark относительно просто. Здесь мы покажем вам, как найти MAC-адрес источника и MAC-адрес назначения в Wireshark.

Как найти исходный MAC-адрес в Wireshark

MAC-адрес источника — это адрес устройства, отправляющего пакет, и обычно его можно увидеть в заголовке Ethernet пакета. С MAC-адресом источника вы можете отслеживать путь пакета по сети и идентифицировать источник каждого пакета.

Вы можете найти исходный MAC-адрес пакета на вкладке Ethernet. Вот как к нему добраться:

1. Откройте Wireshark и перехватите пакеты.
   
2. Выберите интересующий вас пакет и отобразите его детали.
   
3. Выберите и разверните «Frame», чтобы получить дополнительную информацию о пакете.
   
4. Перейдите к заголовку «Ethernet», чтобы просмотреть сведения об Ethernet.
   
5. Выберите поле «Источник». Здесь вы увидите MAC-адрес источника.
   

Как найти MAC-адрес назначения в Wireshark

MAC-адрес назначения представляет собой адрес устройства, получающего пакет. Как и адрес источника, MAC-адрес назначения находится в заголовке Ethernet. Выполните следующие действия, чтобы найти MAC-адрес назначения в Wireshark:

1. Откройте Wireshark и начните захват пакетов.
   
2. Найдите пакет, который вы хотите проанализировать, и просмотрите его детали в области сведений.
   
3. Выберите «Кадр», чтобы получить больше данных о нем.
   
4. Перейдите в «Ethernet». Вы увидите «Источник», «Назначение» и «Тип».
   
5. Выберите поле «Destination» и просмотрите MAC-адрес назначения.
   

Как подтвердить MAC-адрес в трафике Ethernet

Если вы устраняете проблемы с сетью или хотите идентифицировать вредоносный трафик, вы можете проверить, отправляется ли конкретный пакет из правильного источника и направляется ли он в правильное место назначения. Следуйте приведенным ниже инструкциям, чтобы подтвердить MAC-адрес в трафике Ethernet:

1. Отобразите физический адрес вашего компьютера с помощью ipconfig/all или Getmac.
   
2. Просмотрите поля Source и Destination в захваченном трафике и сравните с ними физический адрес вашего компьютера. Используйте эти данные, чтобы проверить, какие кадры были отправлены или получены вашим компьютером, в зависимости от того, что вас интересует.
   
3. Используйте arp-a для просмотра кеша протокола разрешения адресов (ARP).
   
4. Найдите IP-адрес шлюза по умолчанию, используемый в командной строке, и просмотрите его физический адрес. Проверьте, совпадает ли физический адрес шлюза с некоторыми из полей «Источник» и «Назначение» в захваченном трафике.
   
5. Завершите действие, закрыв Wireshark. Если вы хотите отказаться от захваченного трафика, нажмите «Выйти без сохранения».
   

Как отфильтровать MAC-адрес в Wireshark

Wireshark позволяет использовать фильтры и быстро просматривать большие объемы информации. Это особенно полезно, если есть проблема с определенным устройством. В Wireshark вы можете фильтровать по MAC-адресу источника или MAC-адресу назначения.

Как фильтровать по MAC-адресу источника в Wireshark

Если вы хотите отфильтровать исходный MAC-адрес в Wireshark, вот что вам нужно сделать:

1. Перейдите в Wireshark и найдите поле «Фильтр», р��сположенное вверху.
   
2. Введите этот синтаксис: «ether.src == macaddress». Замените «macaddress» на желаемый исходный адрес. Не забудьте не использовать кавычки при применении фильтра.
   

Как фильтровать по MAC-адресу назначения в Wireshark

Wireshark позволяет фильтровать по MAC-адресу назначения. Вот как это сделать:

1. Запустите Wireshark и найдите поле «Фильтр» в верхней части окна.
   
2. Введите этот синтаксис: «ether.dst == macaddress». Обязательно замените «macaddress» адресом назначения и не используйте кавычки при применении фильтра.
   

Другие важные фильтры в Wireshark

Вместо того, чтобы тратить часы на просмотр больших объемов информации, Wireshark позволяет сократить путь с помощью фильтров.

ip.адрес == хххх

Это один из наиболее часто используемых фильтров в Wireshark. С помощью этого фильтра вы отображаете только захваченные пакеты, содержащие выбранный IP-адрес.

Фильтр особенно удобен для тех, кто хочет сосредоточиться на одном виде трафика.

Вы можете фильтровать по исходному или целевому IP-адресу.

Если вы хотите фильтровать по исходному IP-адресу, используйте этот синтаксис: «ip.src == xxxx». Замените «xxxx» на желаемый IP-адрес и удалите кавычки при вводе синтаксиса в поле.

Тем, кто хочет фильтровать по исходному IP-адресу, следует ввести следующий синтаксис в поле «Фильтр»: «ip.dst == xxxx». Используйте желаемый IP-адрес вместо «xxxx» и удалите кавычки.

Если вы хотите отфильтровать несколько IP-адресов, используйте следующий синтаксис: «ip.addr == xxxx и ip.addr == yyyy».

ip.addr == xxxx && ip.addr == xxxx

Если вы хотите идентифицировать и анализировать данные между двумя конкретными хостами или сетями, этот фильтр может быть невероятно полезен. Он удалит ненужные данные и отобразит желаемые результаты всего за несколько секунд.

http

Если вы хотите анализировать только HTTP-трафик, введите «http» в поле «Фильтр». Не забудьте не использовать кавычки при применении фильтра.

DNS

Wireshark позволяет фильтровать захваченные пакеты по DNS. Все, что вам нужно сделать, чтобы просмотреть только DNS-трафик, — это ввести «dns» в поле «Фильтр».

Если вы хотите получить более конкретные результаты и отображать только DNS-запросы, используйте следующий синтаксис: «dns.flags.response == 0». Не используйте кавычки при вводе фильтра.

Если вы хотите фильтровать ответы DNS, используйте этот синтаксис: «dns.flags.response == 1».

кадр содержит трафик

Этот удобный фильтр позволяет фильтровать пакеты, содержащие слово «трафик». Это особенно ценно для тех, кто хочет найти определенный идентификатор пользователя или строку.

tcp.порт == ХХХ

Вы можете использовать этот фильтр, если хотите проанализировать входящий или исходящий трафик определенного порта.

ip.addr >= xxxx и ip.addr <= yyyy

Этот фильтр Wireshark позволяет отображать только пакеты с определенным диапазоном IP-адресов. Он читается как «фильтровать IP-адреса, большие или равные xxxx и меньше или равные yyyy». Замените «xxxx» и «yyyy» на нужные IP-адреса. Вы также можете использовать «&&» вместо «и».

frame.time >= 12 августа 2017 г. 09:53:18 и frame.time <= 12 августа 2017 г. 17:53:18

Если вы хотите проанализировать входящий трафик с определенным временем прибытия, вы можете использовать этот фильтр для получения соответствующей информации. Имейте в виду, что это только примерные даты. Вы должны заменить их на желаемые даты, в зависимости от того, что вы хотите проанализировать.

!(синтаксис фильтра)

Если вы поместите восклицательный знак перед синтаксисом любого фильтра, вы исключите его из результатов. Например, если вы наберете «!(ip.addr == 10.1.1.1)», вы увидите все пакеты, не содержащие этот IP-адрес. Имейте в виду, что вы не должны использовать кавычки при применении фильтра.

Как сохранить фильтры Wireshark

Если вы не используете определенный фильтр в Wireshark часто, вы, вероятно, со временем забудете о нем. Попытка запомнить правильный синтаксис и трата времени на его поиск в Интернете могут быть очень неприятными. К счастью, Wireshark может помочь вам предотвратить такие сценарии с помощью двух ценных опций.

Первый вариант — автодополнение, и он может быть полезен тем, кто помнит начало фильтра. Например, вы можете ввести «tcp», и Wireshark отобразит список фильтров, начинающихся с этой последовательности.

Второй вариант — фильтры закладок. Это бесценная опция для тех, кто часто использует сложные фильтры с длинным синтаксисом. Вот как добавить фильтр в закладки:

1. Откройте Wireshark и нажмите значок закладки. Вы можете найти его в левой части поля «Фильтр».
2. Выберите «Управление фильтрами отображения».
3. Найдите нужный фильтр в списке и нажмите плюсик, чтобы добавить его.

В следующий раз, когда вам понадобится этот фильтр, нажмите значок закладки и найдите свой фильтр в списке.

Часто задаваемые вопросы

Могу ли я запустить Wireshark в общедоступной сети?

Если вам интересно, законно ли запускать Wireshark в общедоступной сети, ответ — да. Но это не значит, что вы должны запускать Wireshark в любой сети. Обязательно ознакомьтесь с условиями сети, которую вы хотите использовать. Если сеть запрещает использование Wireshark, а вы все еще используете его, вас могут забанить в сети или даже подать в суд.

Wireshark не кусается

Wireshark имеет множество применений, от устранения неполадок в сетях до отслеживания подключений и анализа трафика. С помощью этой платформы вы можете найти конкретный MAC-адрес всего за несколько кликов. Поскольку платформа бесплатна и доступна в нескольких операционных системах, миллионы людей по всему миру пользуются ее удобными функциями.

Для чего вы используете Wireshark? Какой ваш любимый вариант? Расскажите нам в разделе комментариев ниже.