Hur man hittar en MAC-adress med WireShark

Som en gratis paketanalysator med öppen källkod erbjuder Wireshark många praktiska funktioner. En av dem är att hitta MAC-adresser (Media Access Control), som kan ge dig mer information om olika paket i ett nätverk.

Om du är ny på Wireshark och inte vet hur man hittar MAC-adresser, har du kommit till rätt ställe. Här berättar vi mer om MAC-adresser, förklarar varför de är användbara och ger dig steg för att hitta dem.

Vad är en MAC-adress?

En MAC-adress är en unik identifierare som tilldelas nätverksenheter som datorer, switchar och routrar. Dessa adresser tilldelas vanligtvis av tillverkaren och representeras som sex grupper med två hexadecimala siffror.

Vad används en MAC-adress för i Wireshark?

Den primära rollen för en MAC-adress är att markera källan och destinationen för ett paket. Du kan också använda dem för att spåra ett specifikt pakets väg genom ett nätverk, övervaka webbtrafik, identifiera skadlig aktivitet och analysera nätverksprotokoll.

Wireshark Hur man hittar en MAC-adress

Att hitta MAC-adressen i Wireshark är relativt enkelt. Här visar vi dig hur du hittar en MAC-källa och destinations-MAC-adress i Wireshark.

Hur man hittar en källa MAC-adress i Wireshark

En käll-MAC-adress är adressen till enheten som skickar paketet, och du kan vanligtvis se den i paketets Ethernet-huvud. Med källans MAC-adress kan du spåra ett pakets väg genom nätverket och identifiera varje pakets källa.

Du kan hitta källans MAC-adress för ett paket på fliken Ethernet. Så här kommer du till det:

1. Öppna Wireshark och fånga paket.
   
2. Välj paketet du är intresserad av och visa dess detaljer.
   
3. Välj och expandera “Frame” för att få mer information om paketet.
   
4. Gå till “Ethernet”-huvudet för att se Ethernet-detaljer.
   
5. Välj fältet “Källa”. Här ser du källans MAC-adress.
   

Hur man hittar en destinations-MAC-adress i Wireshark

En destinations-MAC-adress representerar adressen till enheten som tar emot ett paket. Precis som källadressen finns destinationens MAC-adress i Ethernet-huvudet. Följ stegen nedan för att hitta en destinations-MAC-adress i Wireshark:

1. Öppna Wireshark och börja fånga paket.
   
2. Hitta paketet du vill analysera och observera dess detaljer i detaljrutan.
   
3. Välj “Frame” för att få mer information om det.
   
4. Gå till “Ethernet”. Du kommer att se “Källa”, “Destination” och “Typ”.
   
5. Välj fältet “Destination” och se destinationens MAC-adress.
   

Hur man bekräftar en MAC-adress i Ethernet-trafik

Om du felsöker nätverksproblem eller vill identifiera skadlig trafik, kanske du vill kontrollera om ett visst paket skickas från rätt källa och dirigeras till rätt destination. Följ instruktionerna nedan för att bekräfta en MAC-adress i Ethernet-trafik:

1. Visa din dators fysiska adress genom att använda ipconfig/all eller Getmac.
   
2. Visa fälten Källa och Destination i trafiken du har fångat och jämför din dators fysiska adress med dem. Använd denna information för att kontrollera vilka ramar som skickades eller togs emot av din dator, beroende på vad du är intresserad av.
   
3. Använd arp-a för att se ARP-cachen (Address Resolution Protocol).
   
4. Hitta standardgatewayens IP-adress som används i kommandotolken och visa dess fysiska adress. Kontrollera om gatewayens fysiska adress matchar några av fälten “Källa” och “Destination” i den infångade trafiken.
   
5. Slutför aktiviteten genom att stänga Wireshark. Om du vill kassera infångad trafik, tryck på “Avsluta utan att spara.”
   

Hur man filtrerar en MAC-adress i Wireshark

Wireshark låter dig använda filter och gå igenom stora mängder information snabbt. Detta är särskilt användbart om det finns ett problem med en viss enhet. I Wireshark kan du filtrera efter källans MAC-adress eller destinations-MAC-adressen.

Hur man filtrerar efter källans MAC-adress i Wireshark

Om du vill filtrera efter källans MAC-adress i Wireshark, här är vad du behöver göra:

1. Gå till Wireshark och hitta fältet Filter längst upp.
   
2. Ange denna syntax: “ether.src == macaddress”. Ersätt “macaddress” med önskad källadress. Kom ihåg att inte använda citattecken när du använder filtret.
   

Hur man filtrerar efter destinations-MAC-adress i Wireshark

Wireshark låter dig filtrera efter destinationens MAC-adress. Så här gör du:

1. Starta Wireshark och leta reda på fältet Filter högst upp i fönstret.
   
2. Ange denna syntax: “ether.dst == macaddress”. Se till att ersätta “macaddress” med destinationsadressen och kom ihåg att inte använda citattecken när du använder filtret.
   

Andra viktiga filter i Wireshark

Istället för att slösa timmar på att gå igenom stora mängder information låter Wireshark dig ta en genväg med filter.

ip.addr == xxxx

Detta är ett av de mest använda filtren i Wireshark. Med det här filtret visar du bara infångade paket som innehåller den valda IP-adressen.

Filtret är särskilt bekvämt för dem som vill fokusera på en typ av trafik.

Du kan filtrera efter källa eller destinations-IP-adress.

Om du vill filtrera efter käll-IP-adress, använd denna syntax: “ip.src == xxxx”. Ersätt “xxxx” med önskad IP-adress och ta bort citattecken när du anger syntaxen i fältet.

De som vill filtrera efter källans IP-adress bör ange denna syntax i Filterfältet: “ip.dst == xxxx”. Använd önskad IP-adress istället för “xxxx” och ta bort citattecken.

Om du vill filtrera flera IP-adresser, använd denna syntax: “ip.addr == xxxx och ip.addr == åååå”.

ip.addr == xxxx && ip.addr == xxxx

Om du vill identifiera och analysera data mellan två specifika värdar eller nätverk kan detta filter vara otroligt användbart. Det tar bort onödig data och visar önskade resultat på bara några sekunder.

http

Om du bara vill analysera HTTP-trafik anger du “http” i rutan Filter. Kom ihåg att inte använda citattecken när du använder filtret.

dns

Wireshark låter dig filtrera infångade paket med DNS. Allt du behöver göra för att bara se DNS-trafik är att ange “dns” i fältet Filter.

Om du vill ha mer specifika resultat och endast visa DNS-frågor, använd denna syntax: “dns.flags.response == 0”. Se till att inte använda citattecken när du går in i filtret.

Om du vill filtrera DNS-svar, använd denna syntax: “dns.flags.response == 1”.

ram innehåller trafik

Detta bekväma filter låter dig filtrera paket som innehåller ordet “trafik”. Det är särskilt värdefullt för dem som vill söka efter ett specifikt användar-ID eller sträng.

tcp.port == XXX

Du kan använda detta filter om du vill analysera trafiken som går in eller ut från en specifik port.

ip.addr >= xxxx och ip.addr <= åååå

Detta Wireshark-filter låter dig endast visa paket med ett specifikt IP-intervall. Det läses som “filtrera IP-adresser större än eller lika med xxxx och mindre än eller lika med yyyy” Ersätt “xxxx” och “yyyy” med de önskade IP-adresserna. Du kan också använda “&&” istället för “och.”

frame.time >= 12 augusti 2017 09:53:18 och frame.time <= 12 augusti 2017 17:53:18

Om du vill analysera inkommande trafik med en specifik ankomsttid kan du använda detta filter för att få relevant information. Tänk på att detta bara är exempeldatum. Du bör ersätta dem med önskade datum, beroende på vad du vill analysera.

!(filtersyntax)

Om du sätter ett utropstecken framför en filtersyntax kommer du att utesluta den från resultaten. Om du till exempel skriver “!(ip.addr == 10.1.1.1),” kommer du att se alla paket som inte innehåller denna IP-adress. Tänk på att du inte ska använda citattecken när du använder filtret.

Hur man sparar Wireshark-filter

Om du inte använder ett visst filter i Wireshark ofta, kommer du sannolikt att glömma det med tiden. Att försöka komma ihåg rätt syntax och slösa tid på att söka efter den online kan vara mycket frustrerande. Lyckligtvis kan Wireshark hjälpa dig att förhindra sådana scenarier med två värdefulla alternativ.

Det första alternativet är automatisk komplettering, och det kan vara användbart för dem som kommer ihåg filtrets början. Till exempel kan du skriva “tcp” och Wireshark visar en lista med filter som börjar med den sekvensen.

Det andra alternativet är bokmärkesfilter. Detta är ett ovärderligt alternativ för dem som ofta använder komplexa filter med lång syntax. Så här bokmärker du ditt filter:

1. Öppna Wireshark och tryck på bokmärkesikonen. Du hittar den till vänster i fältet Filter.
2. Välj “Hantera visningsfilter.”
3. Hitta önskat filter i listan och tryck på plustecknet för att lägga till det.

Nästa gång du behöver det filtret, tryck på bokmärkesikonen och hitta ditt filter i listan.

FAQ

Kan jag köra Wireshark på ett offentligt nätverk?

Om du undrar om det är lagligt att köra Wireshark på ett offentligt nätverk är svaret ja. Men det betyder inte att du ska köra Wireshark på vilket nätverk som helst. Se till att läsa villkoren för det nätverk du vill använda. Om nätverket förbjuder användningen av Wireshark och du fortfarande kör det, kan du bli avstängd från nätverket eller till och med stämmas.

Wireshark biter inte

Från att felsöka nätverk till att spåra anslutningar och analysera trafik, Wireshark har många användningsområden. Med den här plattformen kan du hitta en specifik MAC-adress med bara några få klick. Eftersom plattformen är gratis och tillgänglig på flera operativsystem, åtnjuter miljontals människor världen över dess praktiska alternativ.

Vad använder du Wireshark till? Vilket är ditt favoritalternativ? Berätta för oss i kommentarsfältet nedan.