Hvordan finne MAC -adresse med Wireshark

Magnus Ødegård Jacobsen
Hvordan finne MAC -adresse med Wireshark

Som en gratis og åpen kildekode-pakkanalysator tilbyr Wireshark mange praktiske funksjoner. En av dem er å finne adresser med media Access Control (MAC), som kan fortelle deg mer informasjon om forskjellige pakker i et nettverk.

Hvis du er ny på Wireshark og ikke vet hvordan du finner MAC -adresser, har du kommet til rett sted. Her forteller vi deg mer om MAC -adresser, forklar hvorfor de er nyttige, og gir trinn for å finne dem.

Hva er en MAC -adresse?

En MAC -adresse er en unik identifikator som er tilordnet nettverksenheter som datamaskiner, brytere og rutere. Disse adressene tildeles vanligvis av produsenten og er representert som seks grupper av to heksadesimale sifre.

Hva er en MAC -adresse brukt til i Wireshark?

Den primære rollen til en MAC -adresse er å markere kilden og destinasjonen til en pakke. Du kan også bruke dem til å spore en spesifikk pakkebane gjennom et nettverk, overvåke netttrafikk, identifisere ondsinnet aktivitet og analysere nettverksprotokoller.

Wireshark Hvordan finne MAC -adresse

Det er relativt enkelt å finne MAC -adressen i Wireshark. Her viser vi deg hvordan du finner en kilde -MAC -adresse og destinasjon MAC -adresse i Wireshark.

Hvordan finne en kilde MAC -adresse i Wireshark

En kilde -MAC -adresse er adressen til enheten som sender pakken, og du kan vanligvis se den i pakkeens Ethernet -overskrift. Med Source MAC -adressen kan du spore en pakkebane gjennom nettverket og identifisere hver pakke kilde.

Du kan finne kilden MAC -adressen til en pakke i Ethernet -fanen. Slik kommer du til det:

  1. Åpne wireshark og fange pakker.
  2. Velg pakken du er interessert i og vis dens detaljer.
  3. Velg og utvid "ramme" for å få mer informasjon om pakken.
  4. Gå til "Ethernet" -overskriften for å se Ethernet -detaljer.
  5. Velg "kilde" -feltet. Her vil du se kildemac -adressen.

Hvordan finne en destinasjon MAC -adresse i Wireshark

En destinasjon MAC -adresse representerer adressen til enheten som mottar en pakke. I likhet med kildeadressen er destinasjon MAC -adressen plassert i Ethernet -overskriften. Følg trinnene nedenfor for å finne en destinasjon MAC -adresse i Wireshark:

  1. Åpne Wireshark og begynn å fange pakker.
  2. Finn pakken du vil analysere og observere detaljene i detaljruten.
  3. Velg "ramme" for å få mer data om det.
  4. Gå til “Ethernet.”Du vil se“ kilde ”,“ destinasjon ”og“ type.”
  5. Velg "Destinasjon" -feltet og se Destination Mac -adressen.

Hvordan bekrefte en MAC -adresse i Ethernet -trafikk

Hvis du feilsøker nettverksproblemer eller ønsker å identifisere ondsinnet trafikk, kan det være lurt å sjekke om en bestemt pakke blir sendt fra riktig kilde og dirigert til riktig destinasjon. Følg instruksjonene nedenfor for å bekrefte en MAC -adresse i Ethernet -trafikk:

  1. Vis datamaskinens fysiske adresse ved å bruke ipconfig/ all eller getMac.
  2. Se kilde- og destinasjonsfeltene i trafikken du har fanget, og sammenlign datamaskinens fysiske adresse med dem. Bruk disse dataene til å sjekke hvilke rammer som ble sendt eller mottatt av datamaskinen din, avhengig av hva du er interessert i.
  3. Bruk ARP-A for å se adresseoppløsningsprotokollen (ARP) cache.
  4. Finn standard gateways IP -adresse som brukes i ledeteksten og se dens fysiske adresse. Sjekk om gateways fysiske adresse samsvarer med noen av "kilden" og "destinasjon" -feltene i den fangede trafikken.
  5. Fullfør aktiviteten ved å lukke Wireshark. Hvis du vil forkaste fanget trafikk, trykker du på “Slutt uten å lagre.”

Hvordan filtrere en MAC -adresse i Wireshark

Wireshark lar deg bruke filtre og gå gjennom store mengder informasjon raskt. Dette er spesielt nyttig hvis det er et problem med en bestemt enhet. I Wireshark kan du filtrere av Source Mac -adressen eller Destination Mac -adressen.

Hvordan filtrere etter kilde MAC -adresse i Wireshark

Hvis du vil filtrere etter kilde MAC -adresse i Wireshark, er det hva du trenger å gjøre:

  1. Gå til Wireshark og finn filterfeltet som ligger øverst.
  2. Skriv inn denne syntaksen: “Ether.SRC == MacAddress ”. Bytt ut “MacAddress” med ønsket kildeadresse. Husk å ikke bruke sitatmerker når du bruker filteret.

Hvordan filtrere etter destinasjon MAC -adresse i Wireshark

Wireshark lar deg filtrere etter destinasjon MAC -adresse. Slik gjør du det:

  1. Start Wireshark og finn filterfeltet øverst i vinduet.
  2. Skriv inn denne syntaksen: “Ether.DST == MacAddress ”. Forsikre deg om å erstatte “MacAddress” med destinasjonsadressen og husk å ikke bruke sitatmerker når du bruker filteret.

Andre viktige filtre i Wireshark

I stedet for å kaste bort timer som går gjennom store mengder informasjon, lar Wireshark deg ta en snarvei med filtre.

IP.addr == x.x.x.x

Dette er en av de mest brukte filtrene i Wireshark. Med dette filteret viser du bare fangede pakker som inneholder den valgte IP -adressen.

Filteret er spesielt praktisk for de som vil fokusere på en slags trafikk.

Du kan filtrere etter kilde eller destinasjons -IP -adresse.

Hvis du vil filtrere etter kilde -IP -adresse, bruk denne syntaksen: “IP.src == x.x.x.x ”. Erstatt “x.x.x.x ”med ønsket IP -adresse og fjern tilbudsmerker når du legger inn syntaks i feltet.

De som vil filtrere etter kilde -IP -adresse, bør angi denne syntaksen i filterfeltet: “IP.dst == x.x.x.x ”. Bruk ønsket IP -adresse i stedet for “x.x.x.x ”og fjern tilbudsmerker.

Hvis du vil filtrere flere IP -adresser, bruk denne syntaksen: “IP.addr == x.x.x.X og IP.addr == y.y.y.y ”.

IP.addr == x.x.x.x && ip.addr == x.x.x.x

Hvis du vil identifisere og analysere data mellom to spesifikke verter eller nettverk, kan dette filteret være utrolig nyttig. Det vil fjerne unødvendige data og vise de ønskede resultatene på bare noen få sekunder.

http

Hvis du bare vil analysere HTTP -trafikk, skriv inn "HTTP" i filterboksen. Husk å ikke bruke sitatmerker når du bruker filteret.

dns

Wireshark lar deg filtrere fangede pakker av DNS. Alt du trenger å gjøre for å bare se DNS -trafikk er å legge inn "DNS" i filterfeltet.

Hvis du vil ha mer spesifikke resultater og bare vise DNS -spørsmål, bruk denne syntaksen: “DNS.flagg.svar == 0 ”. Forsikre deg om ikke å bruke tilbudsmerker når du skriver inn filteret.

Hvis du vil filtrere DNS -svar, bruk denne syntaksen: “DNS.flagg.svar == 1 ”.

Rammen inneholder trafikk

Dette praktiske filteret lar deg filtrere pakker som inneholder ordet “trafikk.”Det er spesielt verdifullt for de som vil søke etter en bestemt bruker -ID eller streng.

TCP.port == xxx

Du kan bruke dette filteret hvis du vil analysere trafikken som går inn eller ut av en bestemt port.

IP.addr> = x.x.x.X og IP.addr <= y.y.y.y

Dette Wireshark -filteret lar deg bare vise pakker med et bestemt IP -område. Det leser som “filter IP -adresser større enn eller lik x.x.x.x og mindre enn eller lik y.y.y.y.”Erstatt“ x.x.x.x ”og“ y.y.y.y ”med de ønskede IP -adressene. Du kan også bruke "&&" i stedet for "og.”

ramme.Tid> = 12. august 2017 09:53:18 og ramme.tid <= August 12, 2017 17:53:18

Hvis du vil analysere innkommende trafikk med en bestemt ankomsttid, kan du bruke dette filteret for å få relevant informasjon. Husk at dette bare er eksempler på datoer. Du bør erstatte dem med de ønskede datoene, avhengig av hva du vil analysere.

!(filtersyntaks)

Hvis du plasserer et utropstegn foran noe filtersyntaks, vil du ekskludere det fra resultatene. For eksempel, hvis du skriver "!(IP.addr == 10.1.1.1), "Du vil se alle pakker som ikke inneholder denne IP -adressen. Husk at du ikke bør bruke tilbudsmerker når du bruker filteret.

Hvordan lagre wireshark -filtre

Hvis du ikke bruker et bestemt filter i Wireshark ofte, vil du sannsynligvis glemme det i tide. Å prøve å huske riktig syntaks og kaste bort tid på å søke etter det på nettet kan være veldig frustrerende. Heldigvis kan Wireshark hjelpe deg med å forhindre slike scenarier med to verdifulle alternativer.

Det første alternativet er automatisk fullføring, og det kan være nyttig for de som husker filterets begynnelse. For eksempel kan du skrive "TCP", og Wireshark vil vise en liste over filtre som begynner med den sekvensen.

Det andre alternativet er bokmerkefiltre. Dette er et uvurderlig alternativ for de som ofte bruker komplekse filtre med lang syntaks. Slik bokmerker du filteret ditt:

  1. Åpne Wireshark og trykk på bokmerkeikonet. Du kan finne den på venstre side av filterfeltet.
  2. Velg “Administrer skjermfiltre.”
  3. Finn ønsket filter på listen og trykk på pluss -tegnet for å legge det til.

Neste gang du trenger det filteret, trykker du på bokmerkeikonet og finn filteret ditt på listen.

FAQ

Kan jeg kjøre Wireshark på et offentlig nettverk?

Hvis du lurer på om det er lovlig å kjøre Wireshark på et offentlig nettverk, er svaret ja. Men det betyr ikke at du bør kjøre Wireshark på ethvert nettverk. Forsikre deg om å lese vilkårene i nettverket du vil bruke. Hvis nettverket forbyr bruk av Wireshark og du fremdeles kjører det, kan du bli utestengt fra nettverket eller til og med saksøkt.

Wireshark biter ikke

Fra feilsøkingsnettverk til å spore forbindelser og analysere trafikk, har Wireshark mange bruksområder. Med denne plattformen kan du finne en spesifikk MAC -adresse med bare noen få klikk. Siden plattformen er gratis og tilgjengelig på flere operativsystemer, nyter millioner av mennesker over hele verden sine praktiske alternativer.

Hva bruker du Wireshark til? Hva er ditt favorittalternativ? Fortell oss i kommentarfeltet nedenfor.

Hvordan du spiller inn uenighet lyd i OBS
Spill
Hvordan du spiller inn uenighet lyd i OBS
Discord er en utmerket plattform som bringer mennesker i forskjellige samfunn sammen, og tilbyr uend...
Noah Haukelidsæter Martinsen
Hvordan fortelle om noen slettet sin uenighetskonto
Spill
Hvordan fortelle om noen slettet sin uenighetskonto
Uenighet brukes ofte til kommunikasjon mellom spillere og venner, men det kan være litt for mye å hå...
Isak Andersen
Hvordan lage en styrkepotion i Minecraft
Spill
Hvordan lage en styrkepotion i Minecraft
Potions i Minecraft tilbyr mange fordeler som gjør det å overleve like enkelt som en tur i parken, m...
Mathias Nielsen Halvorsen
Spill
Kan en PS5 spille PS3- og PS4 -spill? Ja, stort sett
Nikolai Sander Svendsen
PC og mobil
De beste og høyest betalte jobbene i Bloxburg
Magnus Ødegård Jacobsen
Spill
Hvordan se kjøpshistorikk i Roblox
Isak Andersen
Spill
Hvordan holde varelager når du dør i Minecraft
Prof. Jonas Solli
Spill
Hvordan lage en potion av svakhet i Minecraft
Noah Haukelidsæter Martinsen
Spill
Hvordan fikse ødelagte data på PS4
Isak Evensen
Spill
Hvordan laste ned Twitch VOD -videoer på en PC eller smarttelefon
Tobias Arnesen
Spill
Hvordan se din egen strøm på Twitch
Joakim Hopland Vegge
Spill
Hvordan slå av stemmechat i Apex Legends
Dr. Kristoffer Berg
PC og mobil
Hvordan streame på twitch fra PC, Mobile eller Gaming Console
Mathias Nielsen Halvorsen