Com trobar l'adreça MAC amb WireShark

Com a analitzador de paquets gratuït i de codi obert, Wireshark ofereix moltes funcions convenients. Un d'ells és trobar adreces de control d'accés als mitjans (MAC), que us poden oferir més informació sobre diferents paquets d'una xarxa.

Si ets nou a Wireshark i no saps com trobar adreces MAC, has vingut al lloc correcte. Aquí us explicarem més sobre les adreces MAC, explicarem per què són útils i us proporcionarem els passos per trobar-les.

Què és una adreça MAC?

Una adreça MAC és un identificador únic assignat a dispositius de xarxa com ordinadors, commutadors i encaminadors. Aquestes adreces solen ser assignades pel fabricant i es representen com sis grups de dos dígits hexadecimals.

Per a què serveix una adreça MAC a Wireshark?

La funció principal d'una adreça MAC és marcar l'origen i la destinació d'un paquet. També podeu utilitzar-los per fer un seguiment del camí d'un paquet específic a través d'una xarxa, supervisar el trànsit web, identificar activitats malicioses i analitzar protocols de xarxa.

Wireshark Com trobar l'adreça MAC

Trobar l'adreça MAC a Wireshark és relativament fàcil. Aquí, us mostrarem com trobar una adreça MAC d'origen i una adreça MAC de destinació a Wireshark.

Com trobar una adreça MAC d'origen a Wireshark

Una adreça MAC d'origen és l'adreça del dispositiu que envia el paquet, i normalment la podeu veure a la capçalera Ethernet del paquet. Amb l'adreça MAC d'origen, podeu fer un seguiment del camí d'un paquet a través de la xarxa i identificar l'origen de cada paquet.

Podeu trobar l'adreça MAC d'origen d'un paquet a la pestanya Ethernet. Aquí teniu com arribar-hi:

1. Obriu Wireshark i captureu paquets.
   
2. Seleccioneu el paquet que us interessa i mostreu-ne els detalls.
   
3. Seleccioneu i expandiu 'Marc' per obtenir més informació sobre el paquet.
   
4. Aneu a la capçalera 'Ethernet' per veure els detalls d'Ethernet.
   
5. Seleccioneu el camp 'Font'. Aquí, veureu l'adreça MAC d'origen.
   

Com trobar una adreça MAC de destinació a Wireshark

Una adreça MAC de destinació representa l'adreça del dispositiu que rep un paquet. Igual que l'adreça d'origen, l'adreça MAC de destinació es troba a la capçalera Ethernet. Seguiu els passos següents per trobar una adreça MAC de destinació a Wireshark:

com canviar l'orientació de la pàgina a Google Docs

1. Obriu Wireshark i comenceu a capturar paquets.
   
2. Cerqueu el paquet que voleu analitzar i observeu-ne els detalls al panell de detalls.
   
3. Trieu 'Marc' per obtenir més dades al respecte.
   
4. Aneu a 'Ethernet'. Veureu 'Font', 'Destinació' i 'Tipus'.
   
5. Seleccioneu el camp 'Destinació' i visualitzeu l'adreça MAC de destinació.
   

Com confirmar una adreça MAC al trànsit Ethernet

Si esteu solucionant problemes de xarxa o voleu identificar el trànsit maliciós, potser voldreu comprovar si un paquet concret s'està enviant des de la font correcta i s'encamina a la destinació correcta. Seguiu les instruccions següents per confirmar una adreça MAC al trànsit Ethernet:

1. Mostra l'adreça física de l'ordinador mitjançant ipconfig/all o Getmac.
   
2. Consulteu els camps Font i Destinació del trànsit que heu capturat i compareu l'adreça física del vostre ordinador amb ells. Utilitzeu aquestes dades per comprovar quins fotogrames s'han enviat o rebuts pel vostre ordinador, en funció del que us interessi.
   
3. Utilitzeu arp-a per veure la memòria cau del protocol de resolució d'adreces (ARP).
   
4. Cerqueu l'adreça IP de la passarel·la predeterminada utilitzada a l'indicador d'ordres i visualitzeu-ne l'adreça física. Comproveu si l'adreça física de la passarel·la coincideix amb alguns dels camps 'Font' i 'Destinació' del trànsit capturat.
   
5. Completa l'activitat tancant Wireshark. Si voleu descartar el trànsit capturat, premeu 'Surt sense desar'.
   

Com filtrar una adreça MAC a Wireshark

Wireshark us permet utilitzar filtres i passar per grans quantitats d'informació ràpidament. Això és especialment útil si hi ha un problema amb un dispositiu determinat. A Wireshark, podeu filtrar per l'adreça MAC d'origen o per l'adreça MAC de destinació.

Com filtrar per adreça MAC d'origen a Wireshark

Si voleu filtrar per adreça MAC d'origen a Wireshark, aquí teniu el que heu de fer:

1. Aneu a Wireshark i cerqueu el camp Filtre situat a la part superior.
   
2. Introduïu aquesta sintaxi: 'ether.src == macaddress'. Substituïu 'macaddress' per l'adreça font desitjada. Recordeu no utilitzar cometes quan apliqueu el filtre.
   

Com filtrar per adreça MAC de destinació a Wireshark

Wireshark us permet filtrar per adreça MAC de destinació. A continuació s'explica com fer-ho:

1. Inicieu Wireshark i localitzeu el camp Filtre a la part superior de la finestra.
   
2. Introduïu aquesta sintaxi: 'ether.dst == macaddress'. Assegureu-vos de substituir 'macaddress' per l'adreça de destinació i recordeu no utilitzar cometes quan apliqueu el filtre.
   

Altres filtres importants a Wireshark

En lloc de perdre hores passant per grans quantitats d'informació, Wireshark us permet agafar una drecera amb filtres.

ip.addr == x.x.x.x

Aquest és un dels filtres més utilitzats a Wireshark. Amb aquest filtre, només es mostren els paquets capturats que contenen l'adreça IP escollida.

El filtre és especialment convenient per a aquells que volen centrar-se en un tipus de trànsit.

Podeu filtrar per adreça IP d'origen o de destinació.

Si voleu filtrar per adreça IP d'origen, utilitzeu aquesta sintaxi: 'ip.src == x.x.x.x'. Substituïu 'x.x.x.x' per l'adreça IP desitjada i traieu les cometes quan introduïu la sintaxi al camp.

Aquells que vulguin filtrar per adreça IP d'origen han d'introduir aquesta sintaxi al camp Filtre: 'ip.dst == x.x.x.x'. Utilitzeu l'adreça IP desitjada en lloc de 'x.x.x.x' i elimineu les cometes.

Si voleu filtrar diverses adreces IP, utilitzeu aquesta sintaxi: 'ip.addr == x.x.x.x i ip.addr == y.y.y.y'.

ip.addr == x.x.x.x && ip.addr == x.x.x.x

Si voleu identificar i analitzar dades entre dos amfitrions o xarxes concrets, aquest filtre pot ser increïblement útil. Eliminarà les dades innecessàries i mostrarà els resultats desitjats en només uns segons.

http

Si voleu analitzar només el trànsit HTTP, introduïu 'http' al quadre Filtre. Recordeu no utilitzar cometes quan apliqueu el filtre.

dns

Wireshark us permet filtrar els paquets capturats per DNS. Tot el que heu de fer per veure només el trànsit DNS és introduir 'dns' al camp Filtre.

Si voleu resultats més específics i mostrar només consultes DNS, utilitzeu aquesta sintaxi: 'dns.flags.response == 0'. Assegureu-vos de no utilitzar cometes quan introduïu el filtre.

Si voleu filtrar les respostes DNS, utilitzeu aquesta sintaxi: 'dns.flags.response == 1'.

El marc conté trànsit

Aquest convenient filtre us permet filtrar paquets que contenen la paraula 'trànsit'. És especialment valuós per a aquells que volen cercar un identificador o una cadena d'usuari específics.

tcp.port == XXX

Podeu utilitzar aquest filtre si voleu analitzar el trànsit que entra o surt d'un port concret.

ip.addr >= x.x.x.x i ip.addr <= y.y.y.y

Aquest filtre Wireshark us permet mostrar només paquets amb un interval d'IP específic. Es llegeix com a 'filtre adreces IP superiors o iguals a x.x.x.x i inferiors o iguals a y.y.y.y'. Substituïu 'x.x.x.x' i 'y.y.y.y' per les adreces IP desitjades. També podeu utilitzar “&&” en comptes de “i”.

frame.time >= 12 d'agost de 2017 09:53:18 i frame.time <= 12 d'agost de 2017 17:53:18

Si voleu analitzar el trànsit entrant amb una hora d'arribada específica, podeu utilitzar aquest filtre per obtenir la informació rellevant. Tingueu en compte que aquestes són només dates d'exemple. Cal substituir-los per les dates desitjades, en funció del que vulgueu analitzar.

!(sintaxi del filtre)

Si col·loqueu un signe d'exclamació davant de qualsevol sintaxi de filtre, l'exclourà dels resultats. Per exemple, si escriviu '!(ip.addr == 10.1.1.1),' veureu tots els paquets que no contenen aquesta adreça IP. Tingueu en compte que no heu d'utilitzar cometes quan apliqueu el filtre.

Com desar els filtres Wireshark

Si no utilitzeu sovint un filtre concret a Wireshark, probablement ho oblideu a temps. Intentar recordar la sintaxi correcta i perdre el temps buscant-la en línia pot ser molt frustrant. Afortunadament, Wireshark us pot ajudar a prevenir aquests escenaris amb dues opcions valuoses.

La primera opció és la compleció automàtica i pot ser útil per a aquells que recorden l'inici del filtre. Per exemple, podeu escriure 'tcp' i Wireshark mostrarà una llista de filtres que comencen amb aquesta seqüència.

La segona opció són els filtres d'adreces d'interès. Aquesta és una opció inestimable per a aquells que sovint utilitzen filtres complexos amb una sintaxi llarga. A continuació s'explica com afegir el filtre a les adreces d'interès:

1. Obriu Wireshark i premeu la icona de marcador. El podeu trobar al costat esquerre del camp Filtre.
2. Seleccioneu 'Gestiona els filtres de visualització'.
3. Cerqueu el filtre desitjat a la llista i premeu el signe més per afegir-lo.

La propera vegada que necessiteu aquest filtre, premeu la icona d'adreces d'interès i cerqueu el vostre filtre a la llista.

Preguntes freqüents

Puc executar Wireshark en una xarxa pública?

Si us pregunteu si executar Wireshark en una xarxa pública és legal, la resposta és sí. Però això no vol dir que hàgiu d'executar Wireshark a qualsevol xarxa. Assegureu-vos de llegir els termes i condicions de la xarxa que voleu utilitzar. Si la xarxa prohibeix l'ús de Wireshark i encara l'executeu, podríeu ser prohibit de la xarxa o fins i tot ser demandat.

Wireshark no mossega

Des de la resolució de problemes de xarxes fins al seguiment de connexions i l'anàlisi del trànsit, Wireshark té molts usos. Amb aquesta plataforma, podeu trobar una adreça MAC específica en només uns quants clics. Com que la plataforma és gratuïta i està disponible en diversos sistemes operatius, milions de persones a tot el món gaudeixen de les seves convenients opcions.

Per a què feu servir Wireshark? Quina és la teva opció preferida? Explica'ns a la secció de comentaris a continuació.