Hogyan találhat MAC-címet a WireShark segítségével

Ingyenes és nyílt forráskódú csomagelemzőként a Wireshark számos kényelmes funkciót kínál. Az egyik a média hozzáférés-vezérlési (MAC) címek megtalálása, amelyek több információt adhatnak a hálózat különböző csomagjairól.

Ha új a Wiresharkban, és nem tudja, hogyan találja meg a MAC-címeket, akkor jó helyen jár. Itt többet megtudunk a MAC-címekről, elmagyarázzuk, miért hasznosak, és lépéseket adunk a megtaláláshoz.

Mi az a MAC-cím?

A MAC-cím a hálózati eszközökhöz, például számítógépekhez, kapcsolókhoz és útválasztókhoz rendelt egyedi azonosító. Ezeket a címeket általában a gyártó rendeli hozzá, és hat két hexadecimális számjegyből álló csoportként jelennek meg.

Mire használható a MAC-cím a Wiresharkban?

A MAC-cím elsődleges szerepe a csomag forrásának és céljának megjelölése. Használhatja őket egy adott csomag hálózaton keresztüli útvonalának nyomon követésére, a webes forgalom figyelésére, a rosszindulatú tevékenységek azonosítására és a hálózati protokollok elemzésére.

Wireshark Hogyan keressünk MAC-címet

A MAC-cím megtalálása a Wiresharkban viszonylag egyszerű. Itt megmutatjuk, hogyan találhatja meg a forrás MAC-címét és a cél MAC-címét a Wiresharkban.

Hogyan keressünk forrás MAC-címet a Wiresharkban

A forrás MAC-cím a csomagot küldő eszköz címe, és általában a csomag Ethernet fejlécében látható. A forrás MAC-címével nyomon követheti a csomagok útvonalát a hálózaton keresztül, és azonosíthatja az egyes csomagok forrását.

A csomag forrás MAC-címét az Ethernet lapon találja meg. Így érheti el:

1. Nyissa meg a Wiresharkot, és rögzítse a csomagokat.
   
2. Válassza ki a kívánt csomagot, és jelenítse meg annak részleteit.
   
3. Válassza ki és bontsa ki a „Keret” elemet, hogy további információkat kapjon a csomagról.
   
4. Az Ethernet részleteinek megtekintéséhez lépjen az „Ethernet” fejléchez.
   
5. Válassza ki a „Forrás” mezőt. Itt láthatja a forrás MAC-címét.
   

Hogyan találhat meg egy cél MAC-címet a Wiresharkban

A cél MAC-cím a csomagot fogadó eszköz címét jelenti. A forráscímhez hasonlóan a cél MAC-címe is az Ethernet fejlécben található. Kövesse az alábbi lépéseket a cél MAC-cím megkereséséhez a Wiresharkban:

1. Nyissa meg a Wiresharkot, és kezdje el a csomagok rögzítését.
   
2. Keresse meg az elemezni kívánt csomagot, és figyelje meg annak részleteit a részletező ablaktáblában.
   
3. Válassza a „Keret” lehetőséget, hogy további adatokat kapjon róla.
   
4. Lépjen az “Ethernet” elemre. Látni fogja a „Forrás”, „Cél” és „Típus”.
   
5. Válassza ki a „Cél” mezőt, és tekintse meg a cél MAC-címét.
   

MAC-cím megerősítése az Ethernet-forgalomban

Ha hálózati problémákat keres, vagy szeretné azonosítani a rosszindulatú forgalmat, érdemes ellenőriznie, hogy egy adott csomag a megfelelő forrásból érkezik-e, és a megfelelő helyre irányítja-e. Kövesse az alábbi utasításokat a MAC-cím megerősítéséhez az Ethernet-forgalomban:

1. Jelenítse meg számítógépe fizikai címét az ipconfig/all vagy a Getmac használatával.
   
2. Tekintse meg a Forrás és Cél mezőket a rögzített forgalomban, és hasonlítsa össze számítógépe fizikai címét velük. Ezekkel az adatokkal ellenőrizheti, hogy számítógépe mely képkockákat küldte vagy fogadta, attól függően, hogy mi érdekli.
   
3. Használja az arp-a parancsot az Address Resolution Protocol (ARP) gyorsítótár megtekintéséhez.
   
4. Keresse meg az alapértelmezett átjáró parancssorban használt IP-címét, és tekintse meg annak fizikai címét. Ellenőrizze, hogy az átjáró fizikai címe megegyezik-e a rögzített forgalom néhány „Forrás” és „Cél” mezőjével.
   
5. Fejezze be a tevékenységet a Wireshark bezárásával. Ha el szeretné vetni a rögzített forgalmat, nyomja meg a „Kilépés mentés nélkül” gombot.
   

MAC-cím szűrése a Wiresharkban

A Wireshark lehetővé teszi szűrők használatát és nagy mennyiségű információ gyors áthaladását. Ez különösen akkor hasznos, ha probléma van egy bizonyos eszközzel. A Wiresharkban szűrhet a forrás MAC-címe vagy a cél MAC-címe alapján.

Hogyan szűrjünk forrás MAC-cím alapján a Wiresharkban

Ha a forrás MAC-címe alapján szeretne szűrni a Wiresharkban, a következőket kell tennie:

1. Lépjen a Wiresharkra, és keresse meg a Szűrő mezőt a tetején.
   
2. Írja be a következő szintaxist: “ether.src == macaddress”. Cserélje ki a „macaddress” szót a kívánt forráscímre. Ne feledje, hogy a szűrő alkalmazásakor ne használjon idézőjeleket.
   

Szűrés cél MAC-címe alapján a Wiresharkban

A Wireshark lehetővé teszi a cél MAC-cím szerinti szűrést. Íme, hogyan kell csinálni:

1. Indítsa el a Wiresharkot, és keresse meg a Szűrő mezőt az ablak tetején.
   
2. Írja be a következő szintaxist: „ether.dst == macaddress”. Ügyeljen arra, hogy a „macaddress” szót a célcímre cserélje, és ne használjon idézőjeleket a szűrő alkalmazásakor.
   

Egyéb fontos szűrők a Wiresharkban

Ahelyett, hogy órákat vesztegetne a nagy mennyiségű információval, a Wireshark lehetővé teszi, hogy parancsikont használjon a szűrőkkel.

ip.addr == xxxx

Ez az egyik leggyakrabban használt szűrő a Wiresharkban. Ezzel a szűrővel csak a kiválasztott IP-címet tartalmazó rögzített csomagokat jeleníti meg.

A szűrő különösen kényelmes azok számára, akik egyfajta forgalomra szeretnének összpontosítani.

Szűrhet forrás vagy cél IP-cím szerint.

Ha forrás IP-cím alapján szeretne szűrni, használja ezt a szintaxist: „ip.src == xxxx”. Cserélje ki az „xxxx”-t a kívánt IP-címre, és távolítsa el az idézőjeleket, amikor beírja a szintaxist a mezőbe.

Azok, akik forrás IP-cím alapján szeretnének szűrni, ezt a szintaxist írják be a Szűrő mezőbe: „ip.dst == xxxx”. Használja a kívánt IP-címet az „xxxx” helyett, és távolítsa el az idézőjeleket.

Ha több IP-címet szeretne szűrni, használja ezt a szintaxist: „ip.addr == xxxx és ip.addr == yyyy”.

ip.addr == xxxx && ip.addr == xxxx

Ha két konkrét gazdagép vagy hálózat között szeretne adatokat azonosítani és elemezni, ez a szűrő hihetetlenül hasznos lehet. Eltávolítja a felesleges adatokat, és néhány másodperc alatt megjeleníti a kívánt eredményt.

http

Ha csak a HTTP forgalmat szeretné elemezni, írja be a „http” értéket a Szűrő mezőbe. Ne feledje, hogy a szűrő alkalmazásakor ne használjon idézőjeleket.

dns

A Wireshark lehetővé teszi a rögzített csomagok DNS szerinti szűrését. Csak annyit kell tennie, hogy csak a DNS-forgalmat szeretné megtekinteni, csak írja be a „dns” kifejezést a Szűrő mezőbe.

Ha pontosabb eredményeket szeretne, és csak a DNS-lekérdezéseket szeretné megjeleníteni, használja ezt a szintaxist: “dns.flags.response == 0”. Ügyeljen arra, hogy ne használjon idézőjeleket a szűrőbe való belépéskor.

Ha szűrni szeretné a DNS-válaszokat, használja ezt a szintaxist: „dns.flags.response == 1”.

a keret forgalmat tartalmaz

Ezzel a kényelmes szűrővel szűrheti a „forgalom” szót tartalmazó csomagokat. Különösen értékes azok számára, akik egy adott felhasználói azonosítót vagy karakterláncot szeretnének keresni.

tcp.port == XXX

Ezt a szűrőt akkor használhatja, ha elemezni szeretné egy adott porton be- vagy kimenő forgalmat.

ip.addr >= xxxx és ip.addr <= yyyy

Ez a Wireshark szűrő lehetővé teszi, hogy csak meghatározott IP-tartományú csomagokat jelenítsen meg. Ez így szól: „xxxx-nél nagyobb vagy egyenlő és yyyy-nél kisebb vagy egyenlő IP-címek szűrése” Cserélje ki az „xxxx” és az „yyyy” szavakat a kívánt IP-címekre. Használhatja az „&&”-t is az „and” helyett.

frame.time >= 2017. augusztus 12. 09:53:18 és frame.time <= 2017. augusztus 12. 17:53:18

Ha szeretné elemezni a bejövő forgalmat egy adott érkezési idővel, akkor ezt a szűrőt használhatja a releváns információk megszerzéséhez. Ne feledje, hogy ezek csak példadátumok. Cserélje ki őket a kívánt dátumokkal, attól függően, hogy mit szeretne elemezni.

!(szűrő szintaxis)

Ha bármely szűrő szintaxisa elé felkiáltójelet tesz, akkor azt kizárja a találatok közül. Például, ha beírja, hogy „!(ip.addr == 10.1.1.1),” minden olyan csomagot látni fog, amely nem tartalmazza ezt az IP-címet. Ne feledje, hogy a szűrő alkalmazásakor ne használjon idézőjeleket.

A Wireshark szűrők mentése

Ha nem használ gyakran egy adott szűrőt a Wiresharkban, valószínűleg idővel elfelejti. Nagyon frusztráló lehet, ha megpróbálunk emlékezni a helyes szintaxisra, és időt vesztegetünk az online keresésre. Szerencsére a Wireshark két értékes lehetőséggel segíthet megelőzni az ilyen forgatókönyveket.

Az első lehetőség az automatikus kiegészítés, és hasznos lehet azok számára, akik emlékeznek a szűrő elejére. Például beírhatja a „tcp” szót, és a Wireshark megjeleníti a szűrők listáját, amelyek ezzel a sorozattal kezdődnek.

A második lehetőség a könyvjelző szűrők. Ez felbecsülhetetlen értékű lehetőség azok számára, akik gyakran használnak összetett, hosszú szintaxisú szűrőket. A következőképpen helyezheti el a szűrőt a könyvjelzők közé:

1. Nyissa meg a Wiresharkot, és nyomja meg a könyvjelző ikont. A Szűrő mező bal oldalán találja.
2. Válassza a „Képernyőszűrők kezelése” lehetőséget.
3. Keresse meg a kívánt szűrőt a listában, és a hozzáadáshoz nyomja meg a plusz jelet.

Amikor legközelebb szüksége lesz erre a szűrőre, nyomja meg a könyvjelző ikont, és keresse meg a szűrőt a listában.

GYIK

Futtathatom a Wiresharkot nyilvános hálózaton?

Ha arra kíváncsi, hogy a Wireshark nyilvános hálózaton való futtatása legális-e, a válasz igen. Ez azonban nem jelenti azt, hogy a Wiresharkot bármilyen hálózaton kell futtatnia. Feltétlenül olvassa el a használni kívánt hálózat feltételeit. Ha a hálózat tiltja a Wireshark használatát, és továbbra is futtatja, akkor kitilthatják a hálózatból, vagy akár be is perelhetik.

A Wireshark nem harap

A hálózatok hibaelhárításától a kapcsolatok nyomon követéséig és a forgalom elemzéséig a Wireshark számos felhasználási területtel rendelkezik. Ezzel a platformmal néhány kattintással megtalálhatja az adott MAC-címet. Mivel a platform ingyenes, és több operációs rendszeren is elérhető, világszerte emberek milliói élvezik kényelmes lehetőségeit.

Mire használod a Wiresharkot? Melyik a kedvenc opciód? Mondja el nekünk az alábbi megjegyzések részben.