Как найти MAC-адрес с помощью WireShark

Wireshark, бесплатный анализатор пакетов с открытым исходным кодом, предлагает множество удобных функций. Один из них — поиск адресов управления доступом к среде передачи (MAC), которые могут предоставить вам дополнительную информацию о различных пакетах в сети.

Если вы новичок в Wireshark и не знаете, как найти MAC-адреса, вы попали по адресу. Здесь мы расскажем вам больше о MAC-адресах, объясним, почему они полезны, и предоставим инструкции по их поиску.

Что такое MAC-адрес?

MAC-адрес — это уникальный идентификатор, назначаемый сетевым устройствам, таким как компьютеры, коммутаторы и маршрутизаторы. Эти адреса обычно назначаются производителем и представляются в виде шести групп по две шестнадцатеричные цифры.

Для чего используется MAC-адрес в Wireshark?

Основная роль MAC-адреса — обозначить источник и пункт назначения пакета. Вы также можете использовать их для отслеживания пути определенного пакета в сети, мониторинга веб-трафика, выявления вредоносной активности и анализа сетевых протоколов.

Wireshark Как найти MAC-адрес

Найти MAC-адрес в Wireshark относительно легко. Здесь мы покажем вам, как найти MAC-адрес источника и MAC-адрес назначения в Wireshark.

Как найти исходный MAC-адрес в Wireshark

MAC-адрес источника — это адрес устройства, отправляющего пакет, и его обычно можно увидеть в заголовке Ethernet пакета. Зная MAC-адрес источника, вы можете отслеживать путь пакета по сети и идентифицировать источник каждого пакета.

Вы можете найти исходный MAC-адрес пакета на вкладке Ethernet. Вот как добраться до него:

1. Откройте Wireshark и перехватите пакеты.
   
2. Выберите интересующий вас пакет и отобразите его сведения.
   
3. Выберите и разверните «Кадр», чтобы получить дополнительную информацию о пакете.
   
4. Перейдите к заголовку «Ethernet», чтобы просмотреть подробную информацию об Ethernet.
   
5. Выберите поле «Источник». Здесь вы увидите исходный MAC-адрес.
   

Как найти MAC-адрес назначения в Wireshark

MAC-адрес назначения представляет собой адрес устройства, получающего пакет. Как и адрес источника, MAC-адрес назначения находится в заголовке Ethernet. Выполните следующие действия, чтобы найти MAC-адрес назначения в Wireshark:

1. Откройте Wireshark и начните перехват пакетов.
   
2. Найдите пакет, который хотите проанализировать, и просмотрите его сведения на панели сведений.
   
3. Выберите «Кадр», чтобы получить больше данных о нем.
   
4. Перейдите в «Ethernet». Вы увидите «Источник», «Назначение» и «Тип».
   
5. Выберите поле «Назначение» и просмотрите MAC-адрес назначения.
   

Как подтвердить MAC-адрес в трафике Ethernet

Если вы устраняете неполадки в сети или хотите идентифицировать вредоносный трафик, вы можете проверить, отправляется ли конкретный пакет из правильного источника и направляется ли он в правильный пункт назначения. Следуйте инструкциям ниже, чтобы подтвердить MAC-адрес в трафике Ethernet:

1. Отобразите физический адрес вашего компьютера с помощью ipconfig/all или Getmac.
   
2. Просмотрите поля «Источник» и «Назначение» в захваченном вами трафике и сравните с ними физический адрес вашего компьютера. Используйте эти данные, чтобы проверить, какие кадры были отправлены или получены вашим компьютером, в зависимости от того, что вас интересует.
   
3. Используйте arp-a, чтобы просмотреть кеш протокола разрешения адресов (ARP).
   
4. Найдите IP-адрес шлюза по умолчанию, используемый в командной строке, и просмотрите его физический адрес. Проверьте, соответствует ли физический адрес шлюза некоторым полям «Источник» и «Назначение» в перехваченном трафике.
   
5. Завершите действие, закрыв Wireshark. Если вы хотите сбросить захваченный трафик, нажмите «Выйти без сохранения».
   

Как отфильтровать MAC-адрес в Wireshark

Wireshark позволяет использовать фильтры и быстро обрабатывать большие объемы информации. Это особенно полезно, если возникла проблема с определенным устройством. В Wireshark вы можете фильтровать по MAC-адресу источника или MAC-адресу назначения.

Как фильтровать по исходному MAC-адресу в Wireshark

Если вы хотите фильтровать по исходному MAC-адресу в Wireshark, вот что вам нужно сделать:

1. Перейдите в Wireshark и найдите поле «Фильтр», расположенное вверху.
   
2. Введите следующий синтаксис: «ether.src == macaddress». Замените «macaddress» на желаемый исходный адрес. Не забудьте не использовать кавычки при применении фильтра.
   

Как фильтровать по MAC-адресу назначения в Wireshark

Wireshark позволяет фильтровать по MAC-адресу назначения. Вот как это сделать:

1. Запустите Wireshark и найдите поле «Фильтр» в верхней части окна.
   
2. Введите следующий синтаксис: «ether.dst == macaddress». Обязательно замените «macaddress» адресом назначения и не используйте кавычки при применении фильтра.
   

Другие важные фильтры в Wireshark

Вместо того, чтобы тратить часы на просмотр больших объемов информации, Wireshark позволяет вам использовать ярлыки с помощью фильтров.

ip.addr == хххх

Это один из наиболее часто используемых фильтров в Wireshark. С помощью этого фильтра вы отображаете только захваченные пакеты, содержащие выбранный IP-адрес.

Фильтр особенно удобен для тех, кто хочет сосредоточиться на одном виде трафика.

Вы можете фильтровать по IP-адресу источника или назначения.

Если вы хотите фильтровать по исходному IP-адресу, используйте следующий синтаксис: «ip.src == xxxx». Замените «xxxx» на желаемый IP-адрес и удалите кавычки при вводе синтаксиса в поле.

Те, кто хочет фильтровать по IP-адресу источника, должны ввести следующий синтаксис в поле «Фильтр»: «ip.dst == xxxx». Используйте желаемый IP-адрес вместо «xxxx» и удалите кавычки.

Если вы хотите отфильтровать несколько IP-адресов, используйте следующий синтаксис: «ip.addr == xxxx и ip.addr == yyyy».

ip.addr == xxxx && ip.addr == xxxx

Если вы хотите идентифицировать и анализировать данные между двумя конкретными хостами или сетями, этот фильтр может оказаться невероятно полезным. Он удалит ненужные данные и отобразит желаемые результаты всего за несколько секунд.

http

Если вы хотите анализировать только HTTP-трафик, введите «http» в поле «Фильтр». Не забудьте не использовать кавычки при применении фильтра.

DNS

Wireshark позволяет фильтровать перехваченные пакеты по DNS. Все, что вам нужно сделать, чтобы просмотреть только DNS-трафик, — это ввести «dns» в поле «Фильтр».

Если вам нужны более конкретные результаты и отображаются только DNS-запросы, используйте следующий синтаксис: «dns.flags.response == 0». Не используйте кавычки при вводе фильтра.

Если вы хотите фильтровать ответы DNS, используйте следующий синтаксис: «dns.flags.response == 1».

кадр содержит трафик

Этот удобный фильтр позволяет фильтровать пакеты, содержащие слово «трафик». Это особенно ценно для тех, кто хочет найти определенный идентификатор пользователя или строку.

TCP.порт == ХХХ

Вы можете использовать этот фильтр, если хотите проанализировать трафик, входящий или исходящий из определенного порта.

ip.addr >= xxxx и ip.addr

Этот фильтр Wireshark позволяет отображать только пакеты с определенным диапазоном IP-адресов. Он читается как «фильтровать IP-адреса, большие или равные xxxx и меньше или равные yyyy». Замените «xxxx» и «yyyy» на нужные IP-адреса. Вместо «и» также можно использовать «&&».

frame.time >= 12 августа 2017 г., 09:53:18 иframe.time

Если вы хотите проанализировать входящий трафик с определенным временем прибытия, вы можете использовать этот фильтр для получения соответствующей информации. Имейте в виду, что это всего лишь примеры дат. Вам следует заменить их нужными датами в зависимости от того, что вы хотите проанализировать.

!(синтаксис фильтра)

Если вы поставите восклицательный знак перед любым синтаксисом фильтра, вы исключите его из результатов. Например, если вы наберете «!(ip.addr == 10.1.1.1)», вы увидите все пакеты, которые не содержат этот IP-адрес. Имейте в виду, что при применении фильтра не следует использовать кавычки.

Как сохранить фильтры Wireshark

Если вы не часто используете тот или иной фильтр в Wireshark, вы, скорее всего, со временем забудете о нем. Попытка запомнить правильный синтаксис и трата времени на его поиск в Интернете могут быть очень неприятными. К счастью, Wireshark может помочь вам предотвратить такие сценарии с помощью двух ценных опций.

Первый вариант — автозаполнение, и он может быть полезен тем, кто помнит начало фильтра. Например, вы можете ввести «tcp», и Wireshark отобразит список фильтров, начинающийся с этой последовательности.

Второй вариант — фильтры закладок. Это бесценная опция для тех, кто часто использует сложные фильтры с длинным синтаксисом. Вот как добавить фильтр в закладки:

1. Откройте Wireshark и нажмите значок закладки. Вы можете найти его в левой части поля «Фильтр».
2. Выберите «Управление фильтрами отображения».
3. Найдите в списке нужный фильтр и нажмите плюсик, чтобы добавить его.

В следующий раз, когда вам понадобится этот фильтр, нажмите значок закладки и найдите свой фильтр в списке.

Часто задаваемые вопросы

Могу ли я запустить Wireshark в общедоступной сети?

Если вам интересно, законно ли использование Wireshark в общедоступной сети, ответ — да. Но это не значит, что вам следует запускать Wireshark в любой сети. Обязательно прочтите условия сети, которую вы хотите использовать. Если сеть запрещает использование Wireshark, а вы все равно используете его, вас могут забанить в сети или даже подать в суд.

Wireshark не кусается

Wireshark имеет множество применений: от устранения неполадок в сетях до отслеживания соединений и анализа трафика. С помощью этой платформы вы можете найти конкретный MAC-адрес всего за несколько кликов. Поскольку платформа бесплатна и доступна в нескольких операционных системах, миллионы людей по всему миру пользуются ее удобными возможностями.

Для чего вы используете Wireshark? Какой ваш любимый вариант? Расскажите нам в разделе комментариев ниже.