Hoe een MAC-adres te vinden met WireShark

Als gratis en open-source pakketanalysator biedt Wireshark veel handige functies. Een daarvan is het vinden van MAC-adressen (Media Access Control), die u meer informatie kunnen geven over verschillende pakketten op een netwerk.

Als u nieuw bent bij Wireshark en niet weet hoe u MAC-adressen kunt vinden, bent u hier aan het juiste adres. Hier vertellen we je meer over MAC-adressen, leggen we uit waarom ze nuttig zijn en geven we stappen om ze te vinden.

Wat is een MAC-adres?

Een MAC-adres is een unieke identificatie die wordt toegewezen aan netwerkapparaten zoals computers, switches en routers. Deze adressen worden meestal toegewezen door de fabrikant en worden weergegeven als zes groepen van twee hexadecimale cijfers.

Waar wordt een MAC-adres voor gebruikt in Wireshark?

De primaire rol van een MAC-adres is het markeren van de bron en de bestemming van een pakket. U kunt ze ook gebruiken om het pad van een specifiek pakket door een netwerk te volgen, webverkeer te controleren, kwaadaardige activiteiten te identificeren en netwerkprotocollen te analyseren.

Wireshark Hoe MAC-adres te vinden

Het vinden van het MAC-adres in Wireshark is relatief eenvoudig. Hier laten we u zien hoe u een bron-MAC-adres en bestemmings-MAC-adres kunt vinden in Wireshark.

Hoe een bron-MAC-adres te vinden in Wireshark

Een bron-MAC-adres is het adres van het apparaat dat het pakket verzendt en u kunt het meestal zien in de Ethernet-header van het pakket. Met het bron-MAC-adres kunt u het pad van een pakket door het netwerk volgen en de bron van elk pakket identificeren.

U vindt het bron-MAC-adres van een pakket op het tabblad Ethernet. Zo komt u er:

1. Open Wireshark en leg pakketten vast.
   
2. Selecteer het pakket waarin u geïnteresseerd bent en geef de details weer.
   
3. Selecteer en vouw "Frame" uit voor meer informatie over het pakket.
   
4. Ga naar de kop "Ethernet" om Ethernet-details te bekijken.
   
5. Selecteer het veld "Bron". Hier ziet u het bron-MAC-adres.
   

Hoe een bestemmings-MAC-adres te vinden in Wireshark

Een bestemmings-MAC-adres vertegenwoordigt het adres van het apparaat dat een pakket ontvangt. Net als het bronadres bevindt het bestemmings-MAC-adres zich in de Ethernet-header. Volg de onderstaande stappen om een ​​bestemmings-MAC-adres te vinden in Wireshark:

1. Open Wireshark en begin met het vastleggen van pakketten.
   
2. Zoek het pakket dat u wilt analyseren en bekijk de details ervan in het detailvenster.
   
3. Kies "Frame" om er meer gegevens over te krijgen.
   
4. Ga naar "Ethernet". U ziet 'Bron', 'Bestemming' en 'Type'.
   
5. Selecteer het veld "Bestemming" en bekijk het MAC-adres van de bestemming.
   

Hoe een MAC-adres in Ethernet-verkeer te bevestigen

Als u netwerkproblemen oplost of kwaadaardig verkeer wilt identificeren, wilt u misschien controleren of een bepaald pakket van de juiste bron wordt verzonden en naar de juiste bestemming wordt gerouteerd. Volg de onderstaande instructies om een ​​MAC-adres in Ethernet-verkeer te bevestigen:

1. Geef het fysieke adres van uw computer weer met behulp van ipconfig/all of Getmac.
   
2. Bekijk de velden Bron en Bestemming in het verkeer dat u hebt vastgelegd en vergelijk het fysieke adres van uw computer daarmee. Gebruik deze gegevens om te controleren welke frames door uw computer zijn verzonden of ontvangen, afhankelijk van waar u in geïnteresseerd bent.
   
3. Gebruik arp-a om de ARP-cache (Address Resolution Protocol) te bekijken.
   
4. Zoek het IP-adres van de standaardgateway dat wordt gebruikt in de opdrachtprompt en bekijk het fysieke adres. Controleer of het fysieke adres van de gateway overeenkomt met sommige velden "Bron" en "Bestemming" in het geregistreerde verkeer.
   
5. Voltooi de activiteit door Wireshark te sluiten. Als u het vastgelegde verkeer wilt verwijderen, drukt u op "Afsluiten zonder opslaan".
   

Hoe een MAC-adres in Wireshark te filteren

Met Wireshark kunt u filters gebruiken en snel door grote hoeveelheden informatie bladeren. Dit is vooral handig als er een probleem is met een bepaald apparaat. In Wireshark kunt u filteren op het bron-MAC-adres of het doel-MAC-adres.

Filteren op bron-MAC-adres in Wireshark

Als u wilt filteren op bron-MAC-adres in Wireshark, moet u het volgende doen:

1. Ga naar Wireshark en zoek het filterveld bovenaan.
   
2. Voer deze syntaxis in: "ether.src == macaddress". Vervang "macadres" door het gewenste bronadres. Vergeet niet om aanhalingstekens te gebruiken bij het toepassen van het filter.
   

Filteren op doel-MAC-adres in Wireshark

Met Wireshark kunt u filteren op bestemmings-MAC-adres. Hier is hoe het te doen:

1. Start Wireshark en zoek het veld Filter bovenaan het venster.
   
2. Voer deze syntaxis in: "ether.dst == macaddress". Zorg ervoor dat u "maadres" vervangt door het bestemmingsadres en vergeet niet om aanhalingstekens te gebruiken bij het toepassen van het filter.
   

Andere belangrijke filters in Wireshark

In plaats van uren te verspillen aan het doornemen van grote hoeveelheden informatie, kunt u met Wireshark een kortere weg nemen met filters.

ip.addr == xxxx

Dit is een van de meest gebruikte filters in Wireshark. Met dit filter geeft u alleen vastgelegde pakketten weer die het gekozen IP-adres bevatten.

Het filter is vooral handig voor diegenen die zich willen concentreren op één soort verkeer.

U kunt filteren op bron- of bestemmings-IP-adres.

Als u op bron-IP-adres wilt filteren, gebruikt u deze syntaxis: "ip.src == xxxx". Vervang "xxxx" door het gewenste IP-adres en verwijder aanhalingstekens bij het invoeren van de syntaxis in het veld.

Degenen die willen filteren op bron-IP-adres, moeten deze syntaxis invoeren in het veld Filter: "ip.dst == xxxx". Gebruik het gewenste IP-adres in plaats van "xxxx" en verwijder aanhalingstekens.

Als u meerdere IP-adressen wilt filteren, gebruikt u deze syntaxis: "ip.addr == xxxx en ip.addr == yyyy".

ip.addr == xxxx && ip.addr == xxxx

Als u gegevens tussen twee specifieke hosts of netwerken wilt identificeren en analyseren, kan dit filter ongelooflijk nuttig zijn. Het verwijdert onnodige gegevens en geeft de gewenste resultaten in slechts enkele seconden weer.

http

Als u alleen HTTP-verkeer wilt analyseren, voert u "http" in het vak Filter in. Vergeet niet om aanhalingstekens te gebruiken bij het toepassen van het filter.

DNS

Met Wireshark kunt u vastgelegde pakketten filteren op DNS. Het enige dat u hoeft te doen om alleen DNS-verkeer te bekijken, is "dns" in te voeren in het veld Filter.

Als u meer specifieke resultaten wilt en alleen DNS-query's wilt weergeven, gebruikt u deze syntaxis: "dns.flags.response == 0". Zorg ervoor dat u geen aanhalingstekens gebruikt bij het invoeren van het filter.

Als u DNS-antwoorden wilt filteren, gebruikt u deze syntaxis: "dns.flags.response == 1".

frame bevat verkeer

Met dit handige filter kunt u pakketten filteren die het woord 'verkeer' bevatten. Het is vooral waardevol voor degenen die willen zoeken naar een specifieke gebruikers-ID of tekenreeks.

tcp.poort == XXX

U kunt dit filter gebruiken als u het verkeer wilt analyseren dat een specifieke poort in of uit gaat.

ip.addr >= xxxx en ip.addr <= jjjj

Met dit Wireshark-filter kunt u alleen pakketten met een specifiek IP-bereik weergeven. Het leest als "filter IP-adressen groter dan of gelijk aan xxxx en kleiner dan of gelijk aan yyyy" Vervang "xxxx" en "yyyy" door de gewenste IP-adressen. U kunt ook '&&' gebruiken in plaats van 'en'.

frame.time >= 12 augustus 2017 09:53:18 en frame.time <= 12 augustus 2017 17:53:18

Als u binnenkomend verkeer met een specifieke aankomsttijd wilt analyseren, kunt u dit filter gebruiken om de relevante informatie te krijgen. Houd er rekening mee dat dit slechts voorbeelddata zijn. U moet ze vervangen door de gewenste datums, afhankelijk van wat u wilt analyseren.

!(filtersyntaxis)

Als u een uitroepteken voor een filtersyntaxis plaatst, sluit u deze uit van de resultaten. Als u bijvoorbeeld "!(ip.addr == 10.1.1.1)" typt, ziet u alle pakketten die dit IP-adres niet bevatten. Houd er rekening mee dat u geen aanhalingstekens moet gebruiken bij het toepassen van het filter.

Hoe Wireshark-filters op te slaan

Als u een bepaald filter in Wireshark niet vaak gebruikt, vergeet u het waarschijnlijk na verloop van tijd. Het kan erg frustrerend zijn om de juiste syntaxis te onthouden en tijd te verspillen met online zoeken. Gelukkig kan Wireshark u helpen dergelijke scenario's te voorkomen met twee waardevolle opties.

De eerste optie is automatisch aanvullen en kan handig zijn voor degenen die zich het begin van het filter herinneren. U kunt bijvoorbeeld 'tcp' typen en Wireshark geeft een lijst met filters weer die beginnen met die reeks.

De tweede optie is bladwijzerfilters. Dit is een optie van onschatbare waarde voor degenen die vaak complexe filters met een lange syntaxis gebruiken. Ga als volgt te werk om een ​​bladwijzer voor uw filter te maken:

1. Open Wireshark en druk op het bladwijzerpictogram. Je vindt het aan de linkerkant van het veld Filter.
2. Selecteer 'Weergavefilters beheren'.
3. Zoek het gewenste filter in de lijst en druk op het plusteken om het toe te voegen.

De volgende keer dat u dat filter nodig heeft, drukt u op het bladwijzerpictogram en zoekt u uw filter in de lijst.

FAQ

Kan ik Wireshark op een openbaar netwerk gebruiken?

Als je je afvraagt ​​of het legaal is om Wireshark op een openbaar netwerk te gebruiken, dan is het antwoord ja. Maar dat betekent niet dat u Wireshark op elk netwerk moet gebruiken. Zorg ervoor dat u de voorwaarden leest van het netwerk dat u wilt gebruiken. Als het netwerk het gebruik van Wireshark verbiedt en u het nog steeds uitvoert, kunt u van het netwerk worden verbannen of zelfs worden aangeklaagd.

Wireshark bijt niet

Van het oplossen van problemen met netwerken tot het traceren van verbindingen en het analyseren van verkeer, Wireshark heeft veel toepassingen. Met dit platform vind je met een paar klikken een specifiek MAC-adres. Omdat het platform gratis is en beschikbaar is op meerdere besturingssystemen, genieten miljoenen mensen over de hele wereld van de handige opties.

Waar gebruik je Wireshark voor? Wat is je favoriete optie? Vertel het ons in de comments hieronder.