Paano Maghanap ng MAC Address sa WireShark

Bilang isang libre at open-source na packet analyzer, nag-aalok ang Wireshark ng maraming maginhawang feature. Ang isa sa mga ito ay ang paghahanap ng mga media access control (MAC) address, na maaaring magsabi sa iyo ng higit pang impormasyon tungkol sa iba't ibang packet sa isang network.

Kung bago ka sa Wireshark at hindi mo alam kung paano maghanap ng mga MAC address, napunta ka sa tamang lugar. Dito, sasabihin namin sa iyo ang higit pa tungkol sa mga MAC address, ipaliwanag kung bakit kapaki-pakinabang ang mga ito, at magbibigay ng mga hakbang para sa paghahanap sa mga ito.

Ano ang MAC Address?

Ang MAC address ay isang natatanging identifier na nakatalaga sa mga network device tulad ng mga computer, switch, at router. Ang mga address na ito ay karaniwang itinalaga ng tagagawa at kinakatawan bilang anim na grupo ng dalawang hexadecimal digit.

Ano ang Ginagamit ng MAC Address sa Wireshark?

Ang pangunahing tungkulin ng isang MAC address ay markahan ang pinagmulan at ang destinasyon ng isang packet. Maaari mo ring gamitin ang mga ito upang subaybayan ang landas ng isang partikular na packet sa pamamagitan ng isang network, subaybayan ang trapiko sa web, tukuyin ang malisyosong aktibidad, at pag-aralan ang mga protocol ng network.

Wireshark Paano Maghanap ng MAC Address

Ang paghahanap ng MAC address sa Wireshark ay medyo madali. Dito, ipapakita namin sa iyo kung paano maghanap ng source MAC address at destination MAC address sa Wireshark.

Paano Maghanap ng Source MAC Address sa Wireshark

Ang source MAC address ay ang address ng device na nagpapadala ng packet, at karaniwan mong makikita ito sa Ethernet header ng packet. Gamit ang source MAC address, maaari mong subaybayan ang landas ng isang packet sa network at tukuyin ang pinagmulan ng bawat packet.

Mahahanap mo ang source MAC address ng isang packet sa Ethernet tab. Narito kung paano makarating dito:

1. Buksan ang Wireshark at kumuha ng mga packet.
   
2. Piliin ang packet kung saan ka interesado at ipakita ang mga detalye nito.
   
3. Piliin at palawakin ang 'Frame' upang makakuha ng higit pang impormasyon tungkol sa packet.
   
4. Pumunta sa header na “Ethernet” para tingnan ang mga detalye ng Ethernet.
   
5. Piliin ang field na 'Pinagmulan'. Dito, makikita mo ang source MAC address.
   

Paano Maghanap ng Patutunguhan MAC Address sa Wireshark

Kinakatawan ng destinasyong MAC address ang address ng device na tumatanggap ng packet. Tulad ng source address, ang destination MAC address ay matatagpuan sa Ethernet header. Sundin ang mga hakbang sa ibaba upang makahanap ng patutunguhang MAC address sa Wireshark:

1. Buksan ang Wireshark at simulan ang pagkuha ng mga packet.
   
2. Hanapin ang packet na gusto mong suriin at obserbahan ang mga detalye nito sa pane ng detalye.
   
3. Piliin ang “Frame” para makakuha ng higit pang data tungkol dito.
   
4. Pumunta sa “Ethernet.” Makikita mo ang 'Source,' 'Destination,' at 'Uri.'
   
5. Piliin ang field na 'Patutunguhan' at tingnan ang patutunguhang MAC address.
   

Paano Kumpirmahin ang isang MAC Address sa Trapiko ng Ethernet

Kung nag-troubleshoot ka ng mga isyu sa network o gusto mong tukuyin ang nakakahamak na trapiko, maaaring gusto mong suriin kung ang isang partikular na packet ay ipinapadala mula sa tamang pinagmulan at iruruta sa tamang destinasyon. Sundin ang mga tagubilin sa ibaba upang kumpirmahin ang isang MAC address sa trapiko ng Ethernet:

1. Ipakita ang pisikal na address ng iyong computer sa pamamagitan ng paggamit ng ipconfig/ all o Getmac.
   
2. Tingnan ang mga field ng Pinagmulan at Patutunguhan sa trapikong nakuha mo at ihambing ang pisikal na address ng iyong computer sa kanila. Gamitin ang data na ito upang tingnan kung aling mga frame ang ipinadala o natanggap ng iyong computer, depende sa kung ano ang interesado ka.
   
3. Gamitin ang arp-a upang makita ang cache ng Address Resolution Protocol (ARP).
   
4. Hanapin ang IP address ng default na gateway na ginamit sa command prompt at tingnan ang pisikal na address nito. Suriin kung ang pisikal na address ng gateway ay tumutugma sa ilan sa mga field na 'Source' at 'Destination' sa nakuhang trapiko.
   
5. Kumpletuhin ang aktibidad sa pamamagitan ng pagsasara ng Wireshark. Kung gusto mong itapon ang nakuhang trapiko, pindutin ang “Quit Without Saving.”
   

Paano Mag-filter ng MAC Address sa Wireshark

Pinapayagan ka ng Wireshark na gumamit ng mga filter at mabilis na dumaan sa maraming impormasyon. Lalo itong kapaki-pakinabang kung may isyu sa isang partikular na device. Sa Wireshark, maaari kang mag-filter ayon sa pinagmulang MAC address o sa destinasyong MAC address.

Paano Mag-filter ayon sa Source MAC Address sa Wireshark

Kung gusto mong i-filter ayon sa source MAC address sa Wireshark, narito ang kailangan mong gawin:

1. Pumunta sa Wireshark at hanapin ang field ng Filter na matatagpuan sa itaas.
   
2. Ilagay ang syntax na ito: “ether.src == macaddress”. Palitan ang 'macaddress' ng gustong source address. Tandaan na huwag gumamit ng mga panipi kapag inilalapat ang filter.
   

Paano Mag-filter ayon sa Destination MAC Address sa Wireshark

Pinapayagan ka ng Wireshark na mag-filter ayon sa patutunguhang MAC address. Narito kung paano ito gawin:

1. Ilunsad ang Wireshark at hanapin ang field ng Filter sa tuktok ng window.
   
2. Ilagay ang syntax na ito: “ether.dst == macaddress”. Siguraduhing palitan ang 'macaddress' ng patutunguhang address at tandaan na huwag gumamit ng mga quote mark kapag inilalapat ang filter.
   

Iba pang Mahahalagang Filter sa Wireshark

Sa halip na mag-aksaya ng mga oras sa pamamagitan ng maraming impormasyon, hinahayaan ka ng Wireshark na mag-shortcut gamit ang mga filter.

ip.addr == x.x.x.x

Ito ay isa sa mga pinakakaraniwang ginagamit na mga filter sa Wireshark. Gamit ang filter na ito, ipinapakita mo lamang ang mga nakuhang pakete na naglalaman ng napiling IP address.

Ang filter ay partikular na maginhawa para sa mga gustong tumuon sa isang uri ng trapiko.

kung paano baguhin ang mga margin sa itaas at ibaba ng google docs

Maaari kang mag-filter ayon sa pinagmulan o patutunguhang IP address.

Kung gusto mong mag-filter ayon sa source IP address, gamitin ang syntax na ito: “ip.src == x.x.x.x”. Palitan ang “x.x.x.x” ng gustong IP address at alisin ang mga quote mark kapag ipinapasok ang syntax sa field.

Ang mga gustong mag-filter ayon sa source IP address ay dapat ilagay ang syntax na ito sa Filter field: “ip.dst == x.x.x.x”. Gamitin ang gustong IP address sa halip na “x.x.x.x” at alisin ang mga quote mark.

Kung gusto mong mag-filter ng maraming IP address, gamitin ang syntax na ito: “ip.addr == x.x.x.x at ip.addr == y.y.y.y”.

ip.addr == x.x.x.x && ip.addr == x.x.x.x

Kung gusto mong tukuyin at suriin ang data sa pagitan ng dalawang partikular na host o network, maaaring maging lubhang kapaki-pakinabang ang filter na ito. Aalisin nito ang hindi kinakailangang data at ipapakita ang nais na mga resulta sa loob lamang ng ilang segundo.

http

Kung gusto mong suriin lamang ang trapiko ng HTTP, ilagay ang 'http' sa kahon ng Filter. Tandaan na huwag gumamit ng mga panipi kapag inilalapat ang filter.

dns

Hinahayaan ka ng Wireshark na i-filter ang mga nakuhang packet ayon sa DNS. Ang kailangan mo lang gawin upang tingnan lamang ang trapiko ng DNS ay ilagay ang 'dns' sa field ng Filter.

Kung gusto mo ng mas tiyak na mga resulta at magpakita lamang ng mga DNS query, gamitin ang syntax na ito: “dns.flags.response == 0”. Tiyaking huwag gumamit ng mga panipi kapag pumapasok sa filter.

Kung gusto mong i-filter ang mga tugon ng DNS, gamitin ang syntax na ito: “dns.flags.response == 1”.

frame ay naglalaman ng trapiko

Hinahayaan ka ng maginhawang filter na ito na i-filter ang mga packet na naglalaman ng salitang 'trapiko.' Ito ay partikular na mahalaga para sa mga gustong maghanap ng isang partikular na user ID o string.

tcp.port == XXX

Magagamit mo ang filter na ito kung gusto mong suriin ang trapikong pumapasok o lumalabas sa isang partikular na port.

ip.addr >= x.x.x.x at ip.addr <= y.y.y.y

Ang Wireshark filter na ito ay nagbibigay-daan sa iyo na magpakita lamang ng mga packet na may partikular na hanay ng IP. Binabasa ito bilang 'i-filter ang mga IP address na mas malaki sa o katumbas ng x.x.x.x at mas mababa sa o katumbas ng y.y.y.y.' Palitan ang 'x.x.x.x' at 'y.y.y.y' ng mga gustong IP address. Maaari mo ring gamitin ang '&&' sa halip na 'at.'

frame.time >= Agosto 12, 2017 09:53:18 at frame.time <= Agosto 12, 2017 17:53:18

Kung gusto mong suriin ang papasok na trapiko na may partikular na oras ng pagdating, maaari mong gamitin ang filter na ito upang makuha ang nauugnay na impormasyon. Tandaan na ang mga ito ay halimbawa lamang ng mga petsa. Dapat mong palitan ang mga ito ng mga gustong petsa, depende sa kung ano ang gusto mong suriin.

!(filter syntax)

Kung maglalagay ka ng tandang padamdam sa harap ng anumang filter syntax, ibubukod mo ito sa mga resulta. Halimbawa, kung nagta-type ka ng '!(ip.addr == 10.1.1.1),' makikita mo ang lahat ng packet na hindi naglalaman ng IP address na ito. Tandaan na hindi ka dapat gumamit ng mga panipi kapag inilalapat ang filter.

Paano I-save ang Mga Filter ng Wireshark

Kung hindi ka madalas gumamit ng partikular na filter sa Wireshark, malamang na makakalimutan mo ito sa tamang panahon. Ang pagsisikap na alalahanin ang tamang syntax at pag-aaksaya ng oras sa paghahanap dito online ay maaaring maging lubhang nakakabigo. Sa kabutihang palad, matutulungan ka ng Wireshark na maiwasan ang mga ganitong sitwasyon na may dalawang mahalagang opsyon.

Ang unang opsyon ay auto-completion, at maaari itong maging kapaki-pakinabang para sa mga nakakaalala sa simula ng filter. Halimbawa, maaari mong i-type ang 'tcp,' at magpapakita ang Wireshark ng listahan ng mga filter na nagsisimula sa sequence na iyon.

Ang pangalawang opsyon ay ang pag-bookmark ng mga filter. Ito ay isang napakahalagang opsyon para sa mga madalas na gumagamit ng mga kumplikadong filter na may mahabang syntax. Narito kung paano i-bookmark ang iyong filter:

1. Buksan ang Wireshark at pindutin ang icon ng bookmark. Mahahanap mo ito sa kaliwang bahagi ng field ng Filter.
2. Piliin ang 'Pamahalaan ang Mga Filter ng Display.'
3. Hanapin ang gustong filter sa listahan at pindutin ang plus sign upang idagdag ito.

Sa susunod na kailangan mo ang filter na iyon, pindutin ang icon ng bookmark, at hanapin ang iyong filter sa listahan.

FAQ

Maaari ko bang patakbuhin ang Wireshark sa isang pampublikong network?

Kung iniisip mo kung legal ang pagpapatakbo ng Wireshark sa isang pampublikong network, ang sagot ay oo. Ngunit, hindi iyon nangangahulugan na dapat mong patakbuhin ang Wireshark sa anumang network. Tiyaking basahin ang mga tuntunin at kundisyon ng network na gusto mong gamitin. Kung ipinagbabawal ng network ang paggamit ng Wireshark at pinapatakbo mo pa rin ito, maaari kang ma-ban sa network o kahit na idemanda.

Hindi Kumakagat ang Wireshark

Mula sa pag-troubleshoot ng mga network hanggang sa pagsubaybay sa mga koneksyon at pagsusuri sa trapiko, maraming gamit ang Wireshark. Sa platform na ito, makakahanap ka ng isang partikular na MAC address sa ilang mga pag-click lamang. Dahil ang platform ay libre at available sa maraming operating system, milyon-milyong tao sa buong mundo ang nasisiyahan sa mga maginhawang opsyon nito.

Para saan mo ginagamit ang Wireshark? Ano ang paborito mong opsyon? Sabihin sa amin sa seksyon ng mga komento sa ibaba.