Ilmaisena ja avoimen lähdekoodin pakettianalysaattorina Wireshark tarjoaa monia käteviä ominaisuuksia. Yksi niistä on MAC (media Access Control) -osoitteiden löytäminen, jotka voivat kertoa sinulle enemmän tietoa verkon eri paketeista.
Jos olet uusi Wiresharkin käyttäjä etkä tiedä kuinka löytää MAC-osoitteita, olet tullut oikeaan paikkaan. Täällä kerromme sinulle lisää MAC-osoitteista, selitämme, miksi ne ovat hyödyllisiä, ja tarjoamme ohjeita niiden löytämiseen.
Mikä on MAC-osoite?
MAC-osoite on yksilöllinen tunniste, joka on määritetty verkkolaitteille, kuten tietokoneille, kytkimille ja reitittimille. Nämä osoitteet ovat yleensä valmistajan määrittämiä, ja ne esitetään kuudena kahden heksadesimaalinumeron ryhmänä.
Mihin MAC-osoitetta käytetään Wiresharkissa?
MAC-osoitteen ensisijainen tehtävä on merkitä paketin lähde ja kohde. Voit myös käyttää niitä seuraamaan tietyn paketin polkua verkon läpi, valvomaan verkkoliikennettä, tunnistamaan haitallista toimintaa ja analysoimaan verkkoprotokollia.
Wireshark Kuinka löytää MAC-osoite
MAC-osoitteen löytäminen Wiresharkista on suhteellisen helppoa. Tässä näytämme sinulle, kuinka löydät lähde-MAC-osoitteen ja kohde-MAC-osoitteen Wiresharkista.
Kuinka löytää MAC-lähdeosoite Wiresharkista
Lähteen MAC-osoite on paketin lähettävän laitteen osoite, ja näet sen yleensä paketin Ethernet-otsikossa. Lähteen MAC-osoitteen avulla voit seurata paketin polkua verkon läpi ja tunnistaa kunkin paketin lähteen.
Löydät paketin MAC-lähdeosoitteen Ethernet-välilehdeltä. Näin pääset siihen:
- Avaa Wireshark ja kaappaa paketteja.
- Valitse paketti, josta olet kiinnostunut ja näytä sen tiedot.
- Valitse ja laajenna 'Frame' saadaksesi lisätietoja paketista.
- Siirry 'Ethernet'-otsikkoon nähdäksesi Ethernet-tiedot.
- Valitse 'Lähde'-kenttä. Täällä näet lähteen MAC-osoitteen.
Kuinka löytää määränpään MAC-osoite Wiresharkista
Kohteen MAC-osoite edustaa paketin vastaanottavan laitteen osoitetta. Kuten lähdeosoite, kohde-MAC-osoite sijaitsee Ethernet-otsikossa. Noudata alla olevia ohjeita löytääksesi kohde-MAC-osoitteen Wiresharkista:
- Avaa Wireshark ja aloita pakettien sieppaus.
- Etsi analysoitava paketti ja tarkkaile sen yksityiskohtia tietoruudusta.
- Valitse 'Frame' saadaksesi lisätietoja siitä.
- Siirry kohtaan 'Ethernet'. Näet 'Lähde', 'Kohde' ja 'Tyyppi'.
- Valitse Kohde-kenttä ja katso kohteen MAC-osoite.
MAC-osoitteen vahvistaminen Ethernet-liikenteessä
Jos etsit verkko-ongelmia tai haluat tunnistaa haitallisen liikenteen, sinun kannattaa tarkistaa, lähetetäänkö tietty paketti oikeasta lähteestä ja reititetäänkö se oikeaan kohteeseen. Seuraa alla olevia ohjeita vahvistaaksesi MAC-osoitteen Ethernet-liikenteessä:
- Näytä tietokoneesi fyysinen osoite käyttämällä ipconfig/all- tai Getmac-komentoa.
- Tarkastele keräämäsi liikenteen Lähde- ja Kohde-kenttiä ja vertaa tietokoneesi fyysistä osoitetta niihin. Käytä näitä tietoja tarkistaaksesi, mitkä kehykset tietokoneesi lähetti tai vastaanotti sen mukaan, mistä olet kiinnostunut.
- Käytä arp-a nähdäksesi Address Resolution Protocol (ARP) -välimuistin.
- Etsi komentokehotteessa käytetty oletusyhdyskäytävän IP-osoite ja katso sen fyysinen osoite. Tarkista, vastaako yhdyskäytävän fyysinen osoite joitain siepatun liikenteen Lähde- ja Kohde-kenttiä.
- Suorita toiminto loppuun sulkemalla Wireshark. Jos haluat hylätä kaapatun liikenteen, paina 'Lopeta ilman tallennusta'.
Kuinka suodattaa MAC-osoite Wiresharkissa
Wiresharkin avulla voit käyttää suodattimia ja käydä läpi suuria tietomääriä nopeasti. Tämä on erityisen hyödyllistä, jos tietyssä laitteessa on ongelma. Wiresharkissa voit suodattaa lähteen MAC-osoitteen tai kohde-MAC-osoitteen mukaan.
Suodattaminen lähteen MAC-osoitteen mukaan Wiresharkissa
Jos haluat suodattaa lähde-MAC-osoitteen mukaan Wiresharkissa, sinun on tehtävä seuraavat:
- Siirry Wiresharkiin ja etsi yläreunasta Suodatin-kenttä.
- Kirjoita tämä syntaksi: 'ether.src == macaddress'. Korvaa 'macaddress' halutulla lähdeosoitteella. Muista olla käyttämättä lainausmerkkejä, kun käytät suodatinta.
Suodattaminen kohteen MAC-osoitteen mukaan Wiresharkissa
Wiresharkin avulla voit suodattaa kohde-MAC-osoitteen mukaan. Voit tehdä sen seuraavasti:
- Käynnistä Wireshark ja etsi Suodatin-kenttä ikkunan yläreunasta.
- Kirjoita tämä syntaksi: 'ether.dst == macaddress'. Muista korvata 'macaddress' kohdeosoitteella ja muista olla käyttämättä lainausmerkkejä, kun käytät suodatinta.
Muut tärkeät suodattimet Wiresharkissa
Sen sijaan, että tuhlasit tunteja suurien tietomäärien käsittelyyn, Wireshark antaa sinun käyttää pikakuvaketta suodattimien avulla.
ip.addr == x.x.x.x
Tämä on yksi Wiresharkin yleisimmin käytetyistä suodattimista. Tällä suodattimella näytät vain kaapatut paketit, jotka sisältävät valitun IP-osoitteen.
miten löydän ystäviä spotify-sovelluksessa
Suodatin on erityisen kätevä niille, jotka haluavat keskittyä yhteen liikenteeseen.
Voit suodattaa lähteen tai kohteen IP-osoitteen mukaan.
Jos haluat suodattaa lähteen IP-osoitteen mukaan, käytä tätä syntaksia: 'ip.src == x.x.x.x'. Korvaa 'x.x.x.x' halutulla IP-osoitteella ja poista lainausmerkit syöttäessäsi syntaksia kenttään.
Niiden, jotka haluavat suodattaa lähteen IP-osoitteen mukaan, tulee kirjoittaa tämä syntaksi Suodatin-kenttään: 'ip.dst == x.x.x.x'. Käytä haluamaasi IP-osoitetta 'x.x.x.x' sijaan ja poista lainausmerkit.
Jos haluat suodattaa useita IP-osoitteita, käytä tätä syntaksia: 'ip.addr == x.x.x.x ja ip.addr == y.y.y.y'.
ip.addr == x.x.x.x && ip.addr == x.x.x.x
Jos haluat tunnistaa ja analysoida tietoja kahden tietyn isännän tai verkon välillä, tämä suodatin voi olla uskomattoman hyödyllinen. Se poistaa tarpeettomat tiedot ja näyttää halutut tulokset vain muutamassa sekunnissa.
http
Jos haluat analysoida vain HTTP-liikennettä, kirjoita 'http' Suodatin-ruutuun. Muista olla käyttämättä lainausmerkkejä, kun käytät suodatinta.
dns
Wiresharkin avulla voit suodattaa siepatut paketit DNS:n avulla. Ainoa mitä sinun tarvitsee tehdä nähdäksesi vain DNS-liikenteen, on kirjoittaa 'dns' Suodatin-kenttään.
Jos haluat tarkempia tuloksia ja näyttää vain DNS-kyselyt, käytä tätä syntaksia: 'dns.flags.response == 0'. Varmista, että et käytä lainausmerkkejä syöttäessäsi suodatinta.
kuinka siirtää kaikki yhdestä Google-asemasta toiseen
Jos haluat suodattaa DNS-vastaukset, käytä tätä syntaksia: 'dns.flags.response == 1'.
kehys sisältää liikennettä
Tämän kätevän suodattimen avulla voit suodattaa paketteja, jotka sisältävät sanan 'liikenne'. Se on erityisen arvokasta niille, jotka haluavat etsiä tiettyä käyttäjätunnusta tai merkkijonoa.
tcp.port == XXX
Voit käyttää tätä suodatinta, jos haluat analysoida liikennettä, joka menee tietystä portista sisään tai sieltä ulos.
ip.addr >= x.x.x.x ja ip.addr <= y.y.y.y
Tämän Wireshark-suodattimen avulla voit näyttää vain tietyn IP-alueen paketit. Se kuuluu seuraavasti: 'Suodata IP-osoitteet, jotka ovat suurempia tai yhtä suuria kuin x.x.x.x ja pienempiä tai yhtä suuria kuin y.y.y.y.' Korvaa 'x.x.x.x' ja 'y.y.y.y' halutuilla IP-osoitteilla. Voit myös käyttää '&&' -merkkiä 'and'-merkin sijaan.
frame.time >= 12. elokuuta 2017 09:53:18 ja frame.time <= 12. elokuuta 2017 17:53:18
Jos haluat analysoida saapuvaa liikennettä tietyllä saapumisajalla, voit käyttää tätä suodatinta saadaksesi tarvittavat tiedot. Muista, että nämä ovat vain esimerkkipäivämääriä. Sinun tulee korvata ne halutuilla päivämäärillä riippuen siitä, mitä haluat analysoida.
!(suodattimen syntaksi)
Jos sijoitat huutomerkin minkä tahansa suodattimen syntaksin eteen, suljet sen pois tuloksista. Jos kirjoitat esimerkiksi '!(ip.addr == 10.1.1.1),' näet kaikki paketit, jotka eivät sisällä tätä IP-osoitetta. Muista, että sinun ei pitäisi käyttää lainausmerkkejä, kun käytät suodatinta.
Kuinka tallentaa Wireshark-suodattimet
Jos et käytä tiettyä suodatinta Wiresharkissa usein, unohdat sen todennäköisesti ajoissa. Oikean syntaksin muistaminen ja ajan tuhlaaminen sen etsimiseen verkossa voi olla erittäin turhauttavaa. Onneksi Wireshark voi auttaa sinua estämään tällaiset skenaariot kahdella arvokkaalla vaihtoehdolla.
Ensimmäinen vaihtoehto on automaattinen täydennys, ja se voi olla hyödyllinen niille, jotka muistavat suodattimen alun. Voit esimerkiksi kirjoittaa 'tcp', jolloin Wireshark näyttää luettelon suodattimista, jotka alkavat tällä sekvenssillä.
Toinen vaihtoehto on kirjanmerkkisuodattimet. Tämä on korvaamaton vaihtoehto niille, jotka käyttävät usein monimutkaisia suodattimia pitkällä syntaksilla. Näin lisäät suodattimen kirjanmerkkeihin:
- Avaa Wireshark ja paina kirjanmerkkikuvaketta. Löydät sen Suodatin-kentän vasemmasta reunasta.
- Valitse 'Hallitse näytön suodattimia'.
- Etsi haluamasi suodatin luettelosta ja lisää se painamalla plusmerkkiä.
Kun seuraavan kerran tarvitset suodatinta, paina kirjanmerkkikuvaketta ja etsi suodatin luettelosta.
FAQ
Voinko käyttää Wiresharkia julkisessa verkossa?
Jos mietit, onko Wiresharkin käyttäminen julkisessa verkossa laillista, vastaus on kyllä. Mutta se ei tarkoita, että sinun pitäisi käyttää Wiresharkia missä tahansa verkossa. Muista lukea sen verkon ehdot, jota haluat käyttää. Jos verkko kieltää Wiresharkin käytön ja käytät sitä edelleen, voit saada verkkokiellon tai jopa haastaa sinut oikeuteen.
Wireshark ei pure
Wiresharkilla on monia käyttötarkoituksia verkkojen vianmäärityksestä yhteyksien jäljittämiseen ja liikenteen analysointiin. Tällä alustalla voit löytää tietyn MAC-osoitteen vain muutamalla napsautuksella. Koska alusta on ilmainen ja saatavilla useille käyttöjärjestelmille, miljoonat ihmiset ympäri maailmaa nauttivat sen kätevistä vaihtoehdoista.
Mihin käytät Wiresharkia? Mikä on suosikkivaihtoehtosi? Kerro meille alla olevassa kommenttiosiossa.