Como encontrar o endereço MAC com Wireshark

Como encontrar o endereço MAC com Wireshark

Como analisador de pacotes gratuito e de código aberto, o Wireshark oferece muitos recursos convenientes. Um deles é encontrar endereços de controle de acesso à mídia (MAC), que podem dizer mais informações sobre diferentes pacotes em uma rede.

Se você é novo no Wireshark e não sabe como encontrar endereços MAC, você veio ao lugar certo. Aqui, contaremos mais sobre endereços MAC, explique por que eles são úteis e fornecem etapas para encontrá -los.

O que é um endereço MAC?

Um endereço MAC é um identificador exclusivo atribuído a dispositivos de rede, como computadores, interruptores e roteadores. Esses endereços geralmente são atribuídos pelo fabricante e são representados como seis grupos de dois dígitos hexadecimais.

Para que é um endereço MAC usado no Wireshark?

O papel principal de um endereço MAC é marcar a fonte e o destino de um pacote. Você também pode usá -los para rastrear o caminho de um pacote específico através de uma rede, monitorar o tráfego da web, identificar atividades maliciosas e analisar protocolos de rede.

Wireshark como encontrar o endereço MAC

Encontrar o endereço MAC no Wireshark é relativamente fácil. Aqui, mostraremos como encontrar um endereço MAC de origem e um endereço MAC de destino no Wireshark.

Como encontrar um endereço MAC de origem no Wireshark

Um endereço MAC de origem é o endereço do dispositivo que envia o pacote, e você geralmente pode vê -lo no cabeçalho Ethernet do pacote. Com o endereço MAC de origem, você pode rastrear o caminho de um pacote através da rede e identificar a fonte de cada pacote.

Você pode encontrar o endereço MAC de origem de um pacote na guia Ethernet. Veja como chegar a isso:

  1. Abra os pacotes de Wireshark e captura.
  2. Selecione o pacote em que você está interessado e exiba seus detalhes.
  3. Selecione e expanda o “quadro” para obter mais informações sobre o pacote.
  4. Vá para o cabeçalho "Ethernet" para ver os detalhes da Ethernet.
  5. Selecione o campo "Fonte". Aqui, você verá o endereço MAC de origem.

Como encontrar um endereço MAC de destino no Wireshark

Um endereço MAC de destino representa o endereço do dispositivo que recebe um pacote. Como o endereço de origem, o endereço MAC de destino está localizado no cabeçalho Ethernet. Siga as etapas abaixo para encontrar um endereço MAC de destino no Wireshark:

  1. Abra o Wireshark e comece a capturar pacotes.
  2. Encontre o pacote que deseja analisar e observar seus detalhes no painel de detalhes.
  3. Escolha "quadro" para obter mais dados sobre isso.
  4. Vá para “Ethernet."Você verá" fonte "," destino "e" tipo.”
  5. Selecione o campo "Destino" e veja o endereço MAC de destino.

Como confirmar um endereço MAC no tráfego Ethernet

Se você está solucionando problemas de rede ou deseja identificar tráfego malicioso, convém verificar se um pacote específico está sendo enviado da fonte certa e roteado para o destino certo. Siga as instruções abaixo para confirmar um endereço MAC no tráfego Ethernet:

  1. Exibir o endereço físico do seu computador usando ipconfig/ all ou getMac.
  2. Veja os campos de origem e destino no tráfego que você capturou e compare o endereço físico do seu computador com eles. Use esses dados para verificar quais quadros foram enviados ou recebidos pelo seu computador, dependendo do que você está interessado.
  3. Use Arp-A para ver o cache do Protocolo de Resolução de Endereço (ARP).
  4. Encontre o endereço IP do gateway padrão usado no prompt de comando e veja seu endereço físico. Verifique se o endereço físico do gateway corresponde a alguns dos campos de "fonte" e "destino" no tráfego capturado.
  5. Complete a atividade fechando o Wireshark. Se você deseja descartar o tráfego capturado, pressione “Pare sem salvar.”

Como filtrar um endereço MAC no Wireshark

Wireshark permite que você use filtros e passa por grandes quantidades de informações rapidamente. Isso é especialmente útil se houver um problema com um determinado dispositivo. No Wireshark, você pode filtrar pelo endereço MAC de origem ou pelo endereço MAC de destino.

Como filtrar por endereço MAC de origem no Wireshark

Se você deseja filtrar o endereço MAC de origem no Wireshark, eis o que você precisa fazer:

  1. Vá para Wireshark e encontre o campo de filtro localizado no topo.
  2. Digite esta sintaxe: “éter.src == macaddress ”. Substitua “macaddress” pelo endereço de origem desejado. Lembre -se de não usar marcas de citação ao aplicar o filtro.

Como filtrar por endereço MAC de destino no Wireshark

Wireshark permite filtrar por endereço MAC de destino. Veja como fazer:

  1. Inicie o Wireshark e localize o campo de filtro na parte superior da janela.
  2. Digite esta sintaxe: “éter.dst == macaddress ”. Certifique -se de substituir o “macaddress” pelo endereço de destino e lembre -se de não usar as marcas de cotação ao aplicar o filtro.

Outros filtros importantes no Wireshark

Em vez de perder horas passando por grandes quantidades de informações, o Wireshark permite que você tome um atalho com filtros.

IP.addr == x.x.x.x

Este é um dos filtros mais usados ​​no Wireshark. Com este filtro, você exibe apenas pacotes capturados contendo o endereço IP escolhido.

O filtro é particularmente conveniente para quem deseja se concentrar em um tipo de tráfego.

Você pode filtrar por endereço IP de origem ou destino.

Se você deseja filtrar por endereço IP de origem, use esta sintaxe: “IP.src == x.x.x.x ”. Substitua “x.x.x.x ”com o endereço IP desejado e remova as marcas de cotação ao inserir a sintaxe no campo.

Aqueles que desejam filtrar por endereço IP de origem devem inserir esta sintaxe no campo do filtro: “IP.dst == x.x.x.x ”. Use o endereço IP desejado em vez de “X.x.x.x ”e remova as marcas de cotação.

Se você deseja filtrar vários endereços IP, use esta sintaxe: “IP.addr == x.x.x.X e IP.addr == y.y.y.Y ”.

IP.addr == x.x.x.x && ip.addr == x.x.x.x

Se você deseja identificar e analisar dados entre dois hosts ou redes específicos, esse filtro pode ser incrivelmente útil. Ele removerá dados desnecessários e exibirá os resultados desejados em apenas alguns segundos.

http

Se você deseja analisar apenas o tráfego HTTP, digite "http" na caixa de filtro. Lembre -se de não usar marcas de citação ao aplicar o filtro.

dns

Wireshark permite filtrar pacotes capturados por DNS. Tudo o que você precisa fazer para visualizar apenas o tráfego do DNS é entrar "DNS" no campo de filtro.

Se você deseja resultados mais específicos e exibir apenas consultas DNS, use esta sintaxe: “DNS.bandeiras.resposta == 0 ". Certifique -se de não usar marcas de cotação ao entrar no filtro.

Se você deseja filtrar as respostas do DNS, use esta sintaxe: “DNS.bandeiras.resposta == 1 ".

O quadro contém tráfego

Este filtro conveniente permite filtrar pacotes que contêm a palavra “tráfego.”É particularmente valioso para quem deseja procurar um ID de usuário ou string específico.

TCP.porta == xxx

Você pode usar este filtro se quiser analisar o tráfego que entra ou sai de uma porta específica.

IP.addr> = x.x.x.X e IP.addr <= y.y.y.y

Este filtro Wireshark permite exibir apenas pacotes com uma faixa IP específica. Ele lê como “Filter endereços IP maiores ou iguais a x.x.x.x e menor ou igual a Y.y.y.y."Substitua" X.x.x.x ”e“ y.y.y.y ”com os endereços IP desejados. Você também pode usar "&&" em vez de "e.”

quadro.Tempo> = 12 de agosto de 2017 09:53:18 e quadro.tempo <= August 12, 2017 17:53:18

Se você deseja analisar o tráfego de entrada com um horário de chegada específico, você pode usar este filtro para obter as informações relevantes. Lembre -se de que essas são apenas datas de exemplo. Você deve substituí -los pelas datas desejadas, dependendo do que você deseja analisar.

!(Sintaxe do filtro)

Se você colocar um ponto de exclamação na frente de qualquer sintaxe do filtro, você o excluirá dos resultados. Por exemplo, se você digitar “!(IP.addr == 10.1.1.1) ", você verá todos os pacotes que não contêm este endereço IP. Lembre -se de que você não deve usar marcas de cotação ao aplicar o filtro.

Como salvar os filtros Wireshark

Se você não usa um filtro específico no Wireshark com frequência, provavelmente esquecerá. Tentar lembrar a sintaxe correta e perder tempo pesquisando online pode ser muito frustrante. Felizmente, o Wireshark pode ajudá -lo a prevenir esses cenários com duas opções valiosas.

A primeira opção é a conclusão automática e pode ser útil para quem se lembra do começo do filtro. Por exemplo, você pode digitar "TCP" e o Wireshark exibirá uma lista de filtros começando com essa sequência.

A segunda opção são os filtros de marca. Esta é uma opção inestimável para quem costuma usar filtros complexos com sintaxe longa. Veja como marcar seu filtro como favorito:

  1. Abra o Wireshark e pressione o ícone de marcador. Você pode encontrá -lo no lado esquerdo do campo de filtro.
  2. Selecione “Gerenciar filtros de exibição.”
  3. Encontre o filtro desejado na lista e pressione o sinal de mais para adicioná -lo.

Na próxima vez que você precisar desse filtro, pressione o ícone de marcador e encontre seu filtro na lista.

Perguntas frequentes

Posso executar o Wireshark em uma rede pública?

Se você está se perguntando se executar o Wireshark em uma rede pública é legal, a resposta é sim. Mas isso não significa que você deve executar o Wireshark em qualquer rede. Certifique -se de ler os termos e condições da rede que você deseja usar. Se a rede proibir o uso do Wireshark e você ainda a executar, você poderá ser banido da rede ou até mesmo processado.

Wireshark não morde

Desde a solução de problemas de redes até as conexões e a análise do tráfego, o Wireshark tem muitos usos. Com esta plataforma, você pode encontrar um endereço MAC específico em apenas alguns cliques. Como a plataforma é gratuita e está disponível em vários sistemas operacionais, milhões de pessoas em todo o mundo desfrutam de suas opções convenientes.

Para que você usa o Wireshark? Qual é a sua opção favorita? Conte -nos na seção de comentários abaixo.