Kao besplatni analizator paketa otvorenog koda, Wireshark nudi mnoge praktične značajke. Jedan od njih je pronalaženje adresa za kontrolu pristupa medijima (MAC), koje vam mogu reći više informacija o različitim paketima na mreži.
Ako ste novi u Wiresharku i ne znate kako pronaći MAC adrese, došli ste na pravo mjesto. Ovdje ćemo vam reći više o MAC adresama, objasniti zašto su korisne i dati korake za njihovo pronalaženje.
Što je MAC adresa?
MAC adresa je jedinstveni identifikator koji se dodjeljuje mrežnim uređajima poput računala, preklopnika i usmjerivača. Ove adrese obično dodjeljuje proizvođač i predstavljene su kao šest grupa od dvije heksadecimalne znamenke.
Za što se koristi MAC adresa u Wiresharku?
Primarna uloga MAC adrese je označavanje izvora i odredišta paketa. Također ih možete koristiti za praćenje putanje određenog paketa kroz mrežu, nadzor web prometa, prepoznavanje zlonamjernih aktivnosti i analizu mrežnih protokola.
Wireshark Kako pronaći MAC adresu
Pronalaženje MAC adrese u Wiresharku je relativno jednostavno. Ovdje ćemo vam pokazati kako pronaći izvornu MAC adresu i odredišnu MAC adresu u Wiresharku.
Kako pronaći izvornu MAC adresu u Wiresharku
Izvorna MAC adresa je adresa uređaja koji šalje paket i obično je možete vidjeti u Ethernet zaglavlju paketa. Pomoću izvorne MAC adrese možete pratiti putanju paketa kroz mrežu i identificirati izvor svakog paketa.
Izvornu MAC adresu paketa možete pronaći na kartici Ethernet. Evo kako doći do njega:
- Otvorite Wireshark i uhvatite pakete.
- Odaberite paket koji vas zanima i prikažite njegove detalje.
- Odaberite i proširite 'Okvir' da biste dobili više informacija o paketu.
- Idite na zaglavlje “Ethernet” da vidite pojedinosti o Ethernetu.
- Odaberite polje 'Izvor'. Ovdje ćete vidjeti izvornu MAC adresu.
Kako pronaći odredišnu MAC adresu u Wiresharku
Odredišna MAC adresa predstavlja adresu uređaja koji prima paket. Poput izvorne adrese, odredišna MAC adresa nalazi se u Ethernet zaglavlju. Slijedite korake u nastavku kako biste pronašli odredišnu MAC adresu u Wiresharku:
- Otvorite Wireshark i počnite snimati pakete.
- Pronađite paket koji želite analizirati i promatrajte njegove detalje u oknu s detaljima.
- Odaberite 'Okvir' da biste dobili više podataka o njemu.
- Idite na 'Ethernet'. Vidjet ćete 'Izvor', 'Odredište' i 'Vrsta'.
- Odaberite polje 'Odredište' i pogledajte odredišnu MAC adresu.
Kako potvrditi MAC adresu u Ethernet prometu
Ako rješavate probleme s mrežom ili želite identificirati zlonamjerni promet, možda biste trebali provjeriti šalje li se određeni paket s pravog izvora i usmjerava li na pravo odredište. Slijedite upute u nastavku za potvrdu MAC adrese u Ethernet prometu:
- Prikažite fizičku adresu vašeg računala pomoću ipconfig/ all ili Getmac.
- Pregledajte polja Izvor i Odredište u prometu koji ste zabilježili i usporedite fizičku adresu svog računala s njima. Pomoću ovih podataka provjerite koje je okvire poslalo ili primilo vaše računalo, ovisno o tome što vas zanima.
- Upotrijebite arp-a da vidite predmemoriju protokola razlučivanja adresa (ARP).
- Pronađite IP adresu zadanog pristupnika koja se koristi u naredbenom retku i pogledajte njegovu fizičku adresu. Provjerite podudara li se fizička adresa pristupnika s nekim od polja 'Izvor' i 'Odredište' u snimljenom prometu.
- Dovršite aktivnost zatvaranjem Wiresharka. Ako želite odbaciti snimljeni promet, pritisnite 'Odustani bez spremanja'.
Kako filtrirati MAC adresu u Wiresharku
Wireshark vam omogućuje korištenje filtara i brzo prolaženje kroz velike količine informacija. Ovo je posebno korisno ako postoji problem s određenim uređajem. U Wiresharku možete filtrirati prema izvornoj MAC adresi ili odredišnoj MAC adresi.
Kako filtrirati prema MAC adresi izvora u Wiresharku
Ako želite filtrirati prema izvornoj MAC adresi u Wiresharku, evo što trebate učiniti:
- Idite na Wireshark i pronađite polje Filter koje se nalazi na vrhu.
- Unesite ovu sintaksu: “ether.src == macaddress”. Zamijenite 'macaddress' željenom izvornom adresom. Zapamtite da ne koristite navodnike kada primjenjujete filtar.
Kako filtrirati prema MAC adresi odredišta u Wiresharku
Wireshark vam omogućuje filtriranje prema odredišnoj MAC adresi. Evo kako to učiniti:
- Pokrenite Wireshark i pronađite polje Filter na vrhu prozora.
- Unesite ovu sintaksu: “ether.dst == macaddress”. Obavezno zamijenite 'macaddress' s odredišnom adresom i zapamtite da ne koristite navodnike prilikom primjene filtra.
Drugi važni filtri u Wiresharku
Umjesto da gubite sate pregledavajući velike količine informacija, Wireshark vam omogućuje da koristite prečac s filtrima.
ip.addr == x.x.x.x
Ovo je jedan od najčešće korištenih filtara u Wiresharku. Pomoću ovog filtra prikazujete samo snimljene pakete koji sadrže odabranu IP adresu.
kako pronaći otvorenu luku
Filter je posebno pogodan za one koji se žele fokusirati na jednu vrstu prometa.
Možete filtrirati prema izvornoj ili odredišnoj IP adresi.
Ako želite filtrirati prema izvornoj IP adresi, koristite ovu sintaksu: “ip.src == x.x.x.x”. Zamijenite “x.x.x.x” željenom IP adresom i uklonite navodnike prilikom unosa sintakse u polje.
Oni koji žele filtrirati prema izvornoj IP adresi trebaju unijeti ovu sintaksu u polje Filter: “ip.dst == x.x.x.x”. Koristite željenu IP adresu umjesto “x.x.x.x” i uklonite navodnike.
Ako želite filtrirati više IP adresa, koristite ovu sintaksu: “ip.addr == x.x.x.x i ip.addr == y.y.y.y”.
ip.addr == x.x.x.x && ip.addr == x.x.x.x
Ako želite identificirati i analizirati podatke između dva određena računala ili mreže, ovaj filtar može biti od nevjerojatne pomoći. Uklonit će nepotrebne podatke i prikazati željene rezultate u samo nekoliko sekundi.
http
Ako želite analizirati samo HTTP promet, unesite 'http' u polje Filtar. Zapamtite da ne koristite navodnike kada primjenjujete filtar.
dns
Wireshark vam omogućuje filtriranje snimljenih paketa prema DNS-u. Sve što trebate učiniti da vidite samo DNS promet je unijeti “dns” u polje Filter.
Ako želite preciznije rezultate i prikazujete samo DNS upite, koristite ovu sintaksu: “dns.flags.response == 0”. Pazite da ne koristite navodnike prilikom unosa filtra.
Ako želite filtrirati DNS odgovore, koristite ovu sintaksu: “dns.flags.response == 1”.
okvir sadrži promet
Ovaj praktični filtar omogućuje vam filtriranje paketa koji sadrže riječ 'promet'. Posebno je vrijedan za one koji žele pretraživati određeni korisnički ID ili niz.
tcp.port == XXX
Ovaj filtar možete koristiti ako želite analizirati promet koji ulazi ili izlazi iz određenog priključka.
ip.addr >= x.x.x.x i ip.addr <= y.y.y.y
Ovaj Wiresharkov filtar omogućuje prikaz samo paketa s određenim IP rasponom. Čita se kao 'filtrirajte IP adrese veće ili jednake x.x.x.x i manje ili jednake y.y.y.y.' Zamijenite “x.x.x.x” i “y.y.y.y” sa željenim IP adresama. Također možete koristiti '&&' umjesto 'i'.
frame.time >= 12. kolovoza 2017. 09:53:18 i frame.time <= 12. kolovoza 2017. 17:53:18
Ako želite analizirati dolazni promet s određenim vremenom dolaska, možete koristiti ovaj filter za dobivanje relevantnih informacija. Imajte na umu da su ovo samo primjeri datuma. Trebali biste ih zamijeniti željenim datumima, ovisno o tome što želite analizirati.
!(sintaksa filtra)
Ako stavite uskličnik ispred sintakse bilo kojeg filtera, isključit ćete ga iz rezultata. Na primjer, ako upišete “!(ip.addr == 10.1.1.1)”, vidjet ćete sve pakete koji ne sadrže ovu IP adresu. Imajte na umu da ne biste trebali koristiti navodnike prilikom primjene filtra.
Kako spremiti Wireshark filtere
Ako ne koristite često određeni filtar u Wiresharku, vjerojatno ćete ga s vremenom zaboraviti. Pokušaj zapamtiti ispravnu sintaksu i gubljenje vremena tražeći je online može biti vrlo frustrirajuće. Srećom, Wireshark vam može pomoći spriječiti takve scenarije s dvije vrijedne opcije.
Prva opcija je automatsko dovršavanje i može biti korisna onima koji se sjećaju početka filtera. Na primjer, možete upisati “tcp” i Wireshark će prikazati popis filtara koji počinju tim nizom.
Druga opcija su filtri za označavanje. Ovo je neprocjenjiva opcija za one koji često koriste složene filtre s dugom sintaksom. Evo kako označiti svoj filtar:
kako popraviti probleme s memorijom
- Otvorite Wireshark i pritisnite ikonu oznake. Možete ga pronaći na lijevoj strani polja Filter.
- Odaberite 'Upravljanje filtrima prikaza'.
- Pronađite željeni filtar na popisu i pritisnite znak plus da biste ga dodali.
Sljedeći put kada vam zatreba taj filtar, pritisnite ikonu oznake i pronađite svoj filtar na popisu.
Pitanja
Mogu li pokrenuti Wireshark na javnoj mreži?
Ako se pitate je li pokretanje Wiresharka na javnoj mreži legalno, odgovor je da. No, to ne znači da biste trebali pokrenuti Wireshark na bilo kojoj mreži. Obavezno pročitajte odredbe i uvjete mreže koju želite koristiti. Ako mreža zabranjuje korištenje Wiresharka, a vi ga i dalje koristite, mogli biste biti zabranjeni pristup mreži ili čak tuženi.
Wireshark ne grize
Od rješavanja problema s mrežama do praćenja veza i analize prometa, Wireshark ima mnoge namjene. S ovom platformom možete pronaći određenu MAC adresu u samo nekoliko klikova. Budući da je platforma besplatna i dostupna na više operativnih sustava, milijuni ljudi diljem svijeta uživaju u njenim praktičnim opcijama.
Za što koristite Wireshark? Koja je vaša omiljena opcija? Recite nam u odjeljku za komentare ispod.