בתור מנתח מנות חינמי ומקור פתוח, Wireshark מציע תכונות נוחות רבות. אחד מהם הוא מציאת כתובות בקרת גישה למדיה (MAC), שיכולות לספר לך מידע נוסף על מנות שונות ברשת.
אם אתה חדש ב-Wireshark ואינך יודע איך למצוא כתובות MAC, הגעת למקום הנכון. כאן, נספר לך יותר על כתובות MAC, נסביר מדוע הן שימושיות ונספק שלבים למציאתן.
מהי כתובת MAC?
כתובת MAC היא מזהה ייחודי המוקצה להתקני רשת כמו מחשבים, מתגים ונתבים. כתובות אלו מוקצות בדרך כלל על ידי היצרן והן מיוצגות כשש קבוצות של שתי ספרות הקסדצימליות.
למה משמשת כתובת MAC ב-Wireshark?
התפקיד העיקרי של כתובת MAC הוא לסמן את המקור ואת היעד של מנה. אתה יכול גם להשתמש בהם כדי לעקוב אחר נתיב של מנה ספציפית דרך רשת, לנטר תעבורת אינטרנט, לזהות פעילות זדונית ולנתח פרוטוקולי רשת.
Wireshark כיצד למצוא כתובת MAC
מציאת כתובת ה-MAC ב-Wireshark היא קלה יחסית. כאן נראה לך כיצד למצוא כתובת MAC מקור וכתובת MAC של יעד ב-Wireshark.
כיצד למצוא כתובת מקור של MAC ב-Wireshark
כתובת MAC מקור היא הכתובת של המכשיר ששולח את החבילה, ובדרך כלל תוכל לראות אותה בכותרת ה-Ethernet של החבילה. עם כתובת ה-MAC של המקור, אתה יכול לעקוב אחר נתיב מנה דרך הרשת ולזהות את המקור של כל מנה.
אתה יכול למצוא את כתובת ה-MAC המקור של חבילה בלשונית Ethernet. הנה איך להגיע אליו:
- פתח את Wireshark ולכידת מנות.
- בחר את החבילה שבה אתה מעוניין והצג את הפרטים שלה.
- בחר והרחיב את 'מסגרת' כדי לקבל מידע נוסף על החבילה.
- עבור אל הכותרת 'Ethernet' כדי להציג את פרטי ה-Ethernet.
- בחר בשדה 'מקור'. כאן תראה את כתובת ה-MAC המקור.
כיצד למצוא כתובת MAC של יעד ב-Wireshark
כתובת MAC של יעד מייצגת את הכתובת של המכשיר שמקבל מנה. בדומה לכתובת המקור, כתובת ה-MAC של היעד ממוקמת בכותרת ה-Ethernet. בצע את השלבים הבאים כדי למצוא כתובת MAC יעד ב-Wireshark:
- פתח את Wireshark והתחל ללכוד מנות.
- מצא את החבילה שברצונך לנתח וצפה בפרטים שלה בחלונית הפרטים.
- בחר 'מסגרת' כדי לקבל מידע נוסף עליה.
- עבור אל 'Ethernet'. תראה 'מקור', 'יעד' ו'סוג'.
- בחר בשדה 'יעד' והצג את כתובת ה-MAC היעד.
כיצד לאשר כתובת MAC ב-Ethernet Traffic
אם אתה פותר בעיות רשת או רוצה לזהות תעבורה זדונית, ייתכן שתרצה לבדוק אם חבילה מסוימת נשלחת מהמקור הנכון ומנתבת ליעד הנכון. בצע את ההוראות שלהלן כדי לאשר כתובת MAC בתעבורת Ethernet:
- הצג את הכתובת הפיזית של המחשב שלך באמצעות ipconfig/all או Getmac.
- הצג את שדות המקור והיעד בתעבורה שתפסת והשווה את הכתובת הפיזית של המחשב שלך אליהם. השתמש בנתונים אלה כדי לבדוק אילו מסגרות נשלחו או התקבלו על ידי המחשב שלך, בהתאם למה שאתה מעוניין בו.
- השתמש ב-arp-a כדי לראות את המטמון של Address Resolution Protocol (ARP).
- מצא את כתובת ה-IP של שער ברירת המחדל המשמשת בשורת הפקודה וצפה בכתובת הפיזית שלו. בדוק אם הכתובת הפיזית של השער תואמת לחלק מהשדות 'מקור' ו'יעד' בתעבורה שנלכדה.
- השלם את הפעילות על ידי סגירת Wireshark. אם ברצונך למחוק תנועה שנלכדה, לחץ על 'צא ללא שמירה'.
כיצד לסנן כתובת MAC ב-Wireshark
Wireshark מאפשר לך להשתמש במסננים ולעבור על כמויות גדולות של מידע במהירות. זה שימושי במיוחד אם יש בעיה במכשיר מסוים. ב-Wireshark, אתה יכול לסנן לפי כתובת ה-MAC המקור או כתובת ה-MAC של היעד.
כיצד לסנן לפי כתובת MAC מקור ב-Wireshark
אם אתה רוצה לסנן לפי כתובת MAC מקור ב-Wireshark, הנה מה שאתה צריך לעשות:
- עבור אל Wireshark ומצא את שדה המסנן הממוקם בחלק העליון.
- הזן את התחביר הזה: 'ether.src == macaddress'. החלף את 'macaddress' בכתובת המקור הרצויה. זכור לא להשתמש במירכאות בעת החלת המסנן.
כיצד לסנן לפי כתובת MAC של יעד ב-Wireshark
Wireshark מאפשר לך לסנן לפי כתובת MAC של יעד. הנה איך לעשות את זה:
- הפעל את Wireshark ואתר את שדה המסנן בחלק העליון של החלון.
- הזן את התחביר הזה: 'ether.dst == macaddress'. הקפד להחליף את 'macaddress' בכתובת היעד וזכור לא להשתמש במרכאות בעת החלת המסנן.
מסננים חשובים אחרים ב-Wireshark
במקום לבזבז שעות על פני כמויות גדולות של מידע, Wireshark מאפשר לך לעשות קיצור דרך עם מסננים.
ip.addr == x.x.x.x
זהו אחד המסננים הנפוצים ביותר ב-Wireshark. עם מסנן זה, אתה מציג רק חבילות שנלכדו המכילות את כתובת ה-IP שנבחרה.
המסנן נוח במיוחד למי שרוצה להתמקד בסוג אחד של תנועה.
אתה יכול לסנן לפי כתובת IP מקור או יעד.
אם ברצונך לסנן לפי כתובת IP מקור, השתמש בתחביר זה: 'ip.src == x.x.x.x'. החלף את 'x.x.x.x' בכתובת ה-IP הרצויה והסר מרכאות בעת הזנת התחביר לשדה.
מי שרוצה לסנן לפי כתובת IP מקור צריך להזין את התחביר הזה בשדה Filter: 'ip.dst == x.x.x.x'. השתמש בכתובת ה-IP הרצויה במקום 'x.x.x.x' והסר מרכאות.
אם ברצונך לסנן מספר כתובות IP, השתמש בתחביר זה: 'ip.addr == x.x.x.x ו-ip.addr == y.y.y.y'.
ip.addr == x.x.x.x && ip.addr == x.x.x.x
אם אתה רוצה לזהות ולנתח נתונים בין שני מארחים או רשתות ספציפיות, מסנן זה יכול להיות מועיל להפליא. זה יסיר נתונים מיותרים ויציג את התוצאות הרצויות תוך מספר שניות בלבד.
http
אם ברצונך לנתח רק תעבורת HTTP, הזן 'http' בתיבת הסינון. זכור לא להשתמש במירכאות בעת החלת המסנן.
dns
Wireshark מאפשר לך לסנן מנות שנתפסו על ידי DNS. כל מה שאתה צריך לעשות כדי לראות רק תעבורת DNS הוא להזין 'dns' בשדה Filter.
אם אתה רוצה תוצאות ספציפיות יותר ולהציג שאילתות DNS בלבד, השתמש בתחביר הזה: 'dns.flags.response == 0'. הקפד לא להשתמש במירכאות בעת הכניסה למסנן.
אם ברצונך לסנן תגובות DNS, השתמש בתחביר זה: 'dns.flags.response == 1'.
כיצד למצוא את כל התמונות במחשב שלי
המסגרת מכילה תעבורה
מסנן נוח זה מאפשר לך לסנן מנות המכילות את המילה 'תנועה'. זה חשוב במיוחד למי שרוצה לחפש מזהה משתמש ספציפי או מחרוזת.
tcp.port == XXX
אתה יכול להשתמש במסנן זה אם אתה רוצה לנתח את התעבורה שנכנסת או יוצאת מנמל ספציפי.
ip.addr >= x.x.x.x ו-ip.addr <= y.y.y.y
מסנן Wireshark זה מאפשר לך להציג רק מנות עם טווח IP ספציפי. זה נקרא 'מסנן כתובות IP גדולות או שווה ל-x.x.x.x וקטנות או שווה ל-y.y.y.y.' החלף את 'x.x.x.x' ו-'y.y.y.y' בכתובות ה-IP הרצויות. אתה יכול גם להשתמש ב-'&&' במקום 'ו'.
frame.time >= 12 באוגוסט 2017 09:53:18 ו-frame.time <= 12 באוגוסט 2017 17:53:18
אם אתה רוצה לנתח תנועה נכנסת עם זמן הגעה ספציפי, אתה יכול להשתמש במסנן זה כדי לקבל את המידע הרלוונטי. זכור שאלו רק תאריכים לדוגמה. כדאי להחליף אותם בתאריכים הרצויים, בהתאם למה שרוצים לנתח.
!(תחביר מסנן)
אם תציב סימן קריאה לפני תחביר מסנן כלשהו, תחריג אותו מהתוצאות. לדוגמה, אם תקליד '!(ip.addr == 10.1.1.1),' תראה את כל החבילות שאינן מכילות כתובת IP זו. זכור שאסור להשתמש במירכאות בעת החלת המסנן.
כיצד לשמור מסנני Wireshark
אם אינך משתמש במסנן מסוים ב-Wireshark לעתים קרובות, סביר להניח שתשכח ממנו עם הזמן. הניסיון לזכור את התחביר הנכון ובזבוז זמן בחיפוש אחר אותו באינטרנט יכול להיות מאוד מתסכל. למרבה המזל, Wireshark יכול לעזור לך למנוע תרחישים כאלה עם שתי אפשרויות חשובות.
האפשרות הראשונה היא השלמה אוטומטית, והיא יכולה להיות שימושית למי שזוכר את תחילת המסנן. לדוגמה, אתה יכול להקליד 'tcp', ו-Wireshark יציג רשימה של מסננים שמתחילים ברצף הזה.
האפשרות השנייה היא מסננים לסימניה. זוהי אפשרות שלא יסולא בפז עבור אלה שלעתים קרובות משתמשים במסננים מורכבים עם תחביר ארוך. הנה איך לסמן את המסנן שלך בסימניות:
- פתח את Wireshark ולחץ על סמל הסימניה. אתה יכול למצוא אותו בצד שמאל של שדה המסנן.
- בחר 'נהל מסנני תצוגה'.
- מצא את המסנן הרצוי ברשימה ולחץ על סימן הפלוס כדי להוסיף אותו.
בפעם הבאה שתזדקק למסנן הזה, הקש על סמל הסימנייה ומצא את המסנן שלך ברשימה.
שאלות נפוצות
האם אוכל להפעיל את Wireshark ברשת ציבורית?
אם אתה תוהה אם הפעלת Wireshark ברשת ציבורית היא חוקית, התשובה היא כן. אבל, זה לא אומר שאתה צריך להפעיל את Wireshark בכל רשת. הקפד לקרוא את התנאים וההגבלות של הרשת שבה אתה רוצה להשתמש. אם הרשת אוסרת את השימוש ב-Wireshark ואתה עדיין מפעיל אותה, אתה עלול להחרים אותך מהרשת או אפילו לתבוע אותך.
Wireshark לא נושך
מפתרון בעיות ברשתות ועד מעקב אחר חיבורים וניתוח תעבורה, ל-Wireshark שימושים רבים. עם פלטפורמה זו, אתה יכול למצוא כתובת MAC ספציפית בכמה קליקים בלבד. מכיוון שהפלטפורמה חינמית וזמינה במספר מערכות הפעלה, מיליוני אנשים ברחבי העולם נהנים מהאפשרויות הנוחות שלה.
בשביל מה אתה משתמש ב-Wireshark? מהי האפשרות המועדפת עליך? ספר לנו בקטע ההערות למטה.