Wireshark kot brezplačen in odprtokodni analizator paketov ponuja številne priročne funkcije. Eden od njih je iskanje naslovov za nadzor dostopa do medija (MAC), ki vam lahko pove več informacij o različnih paketih v omrežju.
Če ste novi v Wiresharku in ne veste, kako najti naslove MAC, ste prišli na pravo mesto. Tukaj vam bomo povedali več o naslovih MAC, pojasnili, zakaj so uporabni, in zagotovili korake za njihovo iskanje.
Kaj je naslov MAC?
Naslov MAC je edinstven identifikator, dodeljen omrežnim napravam, kot so računalniki, stikala in usmerjevalniki. Te naslove običajno dodeli proizvajalec in so predstavljeni kot šest skupin dveh šestnajstiških števk.
Za kaj se v Wiresharku uporablja naslov MAC?
Primarna vloga naslova MAC je označevanje vira in cilja paketa. Uporabite jih lahko tudi za sledenje poti določenega paketa skozi omrežje, spremljanje spletnega prometa, prepoznavanje zlonamerne dejavnosti in analizo omrežnih protokolov.
Wireshark Kako najti MAC naslov
Iskanje naslova MAC v Wiresharku je relativno enostavno. Tukaj vam bomo pokazali, kako najti izvorni naslov MAC in ciljni naslov MAC v Wiresharku.
Kako najti izvorni naslov MAC v Wiresharku
Izvorni naslov MAC je naslov naprave, ki pošilja paket, in običajno ga lahko vidite v glavi Ethernet paketa. Z naslovom MAC vira lahko sledite poti paketa po omrežju in identificirate vir vsakega paketa.
Izvorni naslov MAC paketa najdete na zavihku Ethernet. Do njega pridete tako:
- Odprite Wireshark in zajemite pakete.
- Izberite paket, ki vas zanima, in prikažite njegove podrobnosti.
- Izberite in razširite »Okvir«, da dobite več informacij o paketu.
- Pojdite v glavo »Ethernet« za ogled podrobnosti o Ethernetu.
- Izberite polje »Vir«. Tukaj boste videli izvorni naslov MAC.
Kako najti ciljni naslov MAC v Wiresharku
Ciljni naslov MAC predstavlja naslov naprave, ki prejme paket. Tako kot izvorni naslov se tudi ciljni naslov MAC nahaja v glavi Ethernet. Sledite spodnjim korakom, da poiščete ciljni naslov MAC v Wiresharku:
- Odprite Wireshark in začnite zajemati pakete.
- Poiščite paket, ki ga želite analizirati, in si oglejte njegove podrobnosti v podoknu s podrobnostmi.
- Če želite več podatkov o tem, izberite »Okvir«.
- Pojdite na »Ethernet«. Videli boste »Vir«, »Cilj« in »Vrsta«.
- Izberite polje »Cilj« in si oglejte ciljni naslov MAC.
Kako potrditi naslov MAC v ethernetnem prometu
Če odpravljate težave z omrežjem ali želite prepoznati zlonamerni promet, boste morda želeli preveriti, ali je določen paket poslan iz pravega vira in usmerjen na pravi cilj. Za potrditev naslova MAC v ethernetnem prometu sledite spodnjim navodilom:
- Prikažite fizični naslov vašega računalnika z uporabo ipconfig/all ali Getmac.
- Oglejte si polji Izvor in Cilj v prometu, ki ste ga zajeli, in primerjajte fizični naslov vašega računalnika z njima. S temi podatki preverite, katere okvirje je poslal ali prejel vaš računalnik, odvisno od tega, kaj vas zanima.
- Uporabite arp-a za ogled predpomnilnika protokola za razrešitev naslovov (ARP).
- Poiščite naslov IP privzetega prehoda, uporabljen v ukaznem pozivu, in si oglejte njegov fizični naslov. Preverite, ali se fizični naslov prehoda ujema z nekaterimi polji »Vir« in »Cilj« v zajetem prometu.
- Dejavnost dokončajte tako, da zaprete Wireshark. Če želite zavreči zajeti promet, pritisnite »Zapri brez shranjevanja«.
Kako filtrirati naslov MAC v Wiresharku
Wireshark vam omogoča uporabo filtrov in hitro pregledovanje velikih količin informacij. To je še posebej uporabno, če obstaja težava z določeno napravo. V Wiresharku lahko filtrirate po izvornem naslovu MAC ali ciljnem naslovu MAC.
Kako filtrirati po naslovu MAC vira v Wiresharku
Če želite v Wiresharku filtrirati glede na izvorni naslov MAC, morate narediti naslednje:
- Pojdite na Wireshark in poiščite polje Filter na vrhu.
- Vnesite to sintakso: “ether.src == macaddress”. Zamenjajte »macaddress« z želenim izvornim naslovom. Ne pozabite, da pri uporabi filtra ne uporabite narekovajev.
Kako filtrirati po ciljnem naslovu MAC v Wiresharku
Wireshark vam omogoča filtriranje po ciljnem naslovu MAC. To storite tako:
- Zaženite Wireshark in poiščite polje Filter na vrhu okna.
- Vnesite to sintakso: “ether.dst == macaddress”. Poskrbite, da boste »macaddress« zamenjali s ciljnim naslovom in ne pozabite, da pri uporabi filtra ne uporabite narekovajev.
Drugi pomembni filtri v Wiresharku
Namesto da bi izgubljali ure in ure pregledovali velike količine informacij, vam Wireshark omogoča uporabo bližnjice s filtri.
ip.addr == x.x.x.x
To je eden najpogosteje uporabljenih filtrov v Wiresharku. S tem filtrom prikažete samo zajete pakete, ki vsebujejo izbran naslov IP.
Filter je še posebej priročen za tiste, ki se želijo osredotočiti na eno vrsto prometa.
Filtrirate lahko po izvornem ali ciljnem naslovu IP.
Če želite filtrirati po izvornem naslovu IP, uporabite to sintakso: “ip.src == x.x.x.x”. Zamenjajte »x.x.x.x« z želenim naslovom IP in odstranite narekovaje pri vnosu sintakse v polje.
Tisti, ki želijo filtrirati po izvornem naslovu IP, naj v polje Filter vnesejo to sintakso: “ip.dst == x.x.x.x”. Uporabite želeni naslov IP namesto 'x.x.x.x' in odstranite narekovaje.
Če želite filtrirati več naslovov IP, uporabite to sintakso: “ip.addr == x.x.x.x in ip.addr == y.y.y.y”.
ip.addr == x.x.x.x && ip.addr == x.x.x.x
Če želite identificirati in analizirati podatke med dvema določenima gostiteljema ali omrežjema, je ta filter lahko izjemno koristen. Odstranil bo nepotrebne podatke in prikazal želene rezultate v le nekaj sekundah.
http
Če želite analizirati samo promet HTTP, v polje Filter vnesite »http«. Ne pozabite, da pri uporabi filtra ne uporabite narekovajev.
dns
Wireshark vam omogoča filtriranje zajetih paketov po DNS. Vse, kar morate storiti, da si ogledate samo promet DNS, je, da v polje Filter vnesete »dns«.
Če želite natančnejše rezultate in prikažete samo poizvedbe DNS, uporabite to sintakso: “dns.flags.response == 0”. Pazite, da pri vnosu filtra ne uporabljate narekovajev.
Če želite filtrirati odgovore DNS, uporabite to sintakso: “dns.flags.response == 1”.
okvir vsebuje promet
Ta priročen filter vam omogoča filtriranje paketov, ki vsebujejo besedo »promet«. To je še posebej dragoceno za tiste, ki želijo iskati določen ID uporabnika ali niz.
tcp.port == XXX
Ta filter lahko uporabite, če želite analizirati promet, ki gre v določena vrata ali iz njih.
ip.addr >= x.x.x.x in ip.addr <= y.y.y.y
Ta filter Wireshark vam omogoča prikaz samo paketov z določenim obsegom IP. Bere se kot 'filtriraj naslove IP, ki so večji ali enaki x.x.x.x in manjši ali enaki y.y.y.y.' Zamenjajte »x.x.x.x« in »y.y.y.y« z želenimi naslovi IP. Namesto »in« lahko uporabite tudi »&&«.
frame.time >= 12. avgust 2017 09:53:18 in frame.time <= 12. avgust 2017 17:53:18
Če želite analizirati dohodni promet z določenim časom prihoda, lahko s tem filtrom pridobite ustrezne informacije. Upoštevajte, da so to le primeri datumov. Zamenjajte jih z želenimi datumi, odvisno od tega, kaj želite analizirati.
!(sintaksa filtra)
Če pred katero koli sintakso filtra postavite klicaj, jo boste izključili iz rezultatov. Če na primer vnesete »!(ip.addr == 10.1.1.1)«, boste videli vse pakete, ki ne vsebujejo tega naslova IP. Upoštevajte, da pri uporabi filtra ne smete uporabljati narekovajev.
Kako shraniti filtre Wireshark
Če določenega filtra v Wiresharku ne uporabljate pogosto, boste nanj verjetno čez čas pozabili. Poskušati si zapomniti pravilno sintakso in izgubljati čas z iskanjem na spletu je lahko zelo frustrirajuće. Na srečo vam lahko Wireshark pomaga preprečiti takšne scenarije z dvema dragocenima možnostma.
Prva možnost je samodejno dokončanje in je lahko uporabna za tiste, ki se spomnijo začetka filtra. Na primer, lahko vnesete »tcp« in Wireshark bo prikazal seznam filtrov, ki se začnejo s tem zaporedjem.
kako dobiti nobeno številko klicatelja -
Druga možnost so filtri za zaznamke. To je neprecenljiva možnost za tiste, ki pogosto uporabljajo zapletene filtre z dolgo sintakso. Filter dodate med zaznamke:
- Odprite Wireshark in pritisnite ikono zaznamka. Najdete ga na levi strani polja Filter.
- Izberite »Upravljanje filtrov zaslona«.
- Poiščite želeni filter na seznamu in pritisnite znak plus, da ga dodate.
Naslednjič, ko boste potrebovali ta filter, pritisnite ikono zaznamka in poiščite filter na seznamu.
pogosta vprašanja
Ali lahko zaženem Wireshark v javnem omrežju?
Če se sprašujete, ali je izvajanje Wiresharka v javnem omrežju zakonito, je odgovor pritrdilen. Vendar to ne pomeni, da bi morali zagnati Wireshark v katerem koli omrežju. Ne pozabite prebrati pogojev omrežja, ki ga želite uporabljati. Če omrežje prepoveduje uporabo Wiresharka in ga še vedno uporabljate, vas lahko izključijo iz omrežja ali celo tožijo.
Wireshark ne grize
Od odpravljanja težav z omrežji do sledenja povezavam in analiziranja prometa ima Wireshark veliko uporab. S to platformo lahko najdete določen naslov MAC v le nekaj klikih. Ker je platforma brezplačna in na voljo v več operacijskih sistemih, milijoni ljudi po vsem svetu uživajo v njenih priročnih možnostih.
Za kaj uporabljate Wireshark? Katera je vaša najljubša možnost? Povejte nam v spodnjem oddelku za komentarje.