ในฐานะเครื่องมือวิเคราะห์แพ็กเก็ตโอเพ่นซอร์สฟรี Wireshark นำเสนอคุณสมบัติที่สะดวกมากมาย หนึ่งในนั้นคือการค้นหาที่อยู่การควบคุมการเข้าถึงสื่อ (MAC) ซึ่งสามารถบอกข้อมูลเพิ่มเติมเกี่ยวกับแพ็กเก็ตต่างๆ บนเครือข่ายได้
หากคุณยังใหม่กับ Wireshark และไม่รู้วิธีค้นหาที่อยู่ MAC คุณมาถูกที่แล้ว ที่นี่ เราจะบอกคุณเพิ่มเติมเกี่ยวกับที่อยู่ MAC อธิบายว่าเหตุใดจึงมีประโยชน์ และให้ขั้นตอนในการค้นหาที่อยู่เหล่านี้
ที่อยู่ MAC คืออะไร?
ที่อยู่ MAC เป็นตัวระบุเฉพาะที่กำหนดให้กับอุปกรณ์เครือข่าย เช่น คอมพิวเตอร์ สวิตช์ และเราเตอร์ ที่อยู่เหล่านี้มักจะถูกกำหนดโดยผู้ผลิตและแสดงเป็นหกกลุ่มของเลขฐานสิบหกสองหลัก
ที่อยู่ MAC ใช้สำหรับ Wireshark คืออะไร
บทบาทหลักของที่อยู่ MAC คือการทำเครื่องหมายต้นทางและปลายทางของแพ็คเก็ต คุณยังสามารถใช้เพื่อติดตามเส้นทางของแพ็กเก็ตเฉพาะผ่านเครือข่าย ตรวจสอบปริมาณการใช้งานเว็บ ระบุกิจกรรมที่เป็นอันตราย และวิเคราะห์โปรโตคอลเครือข่าย
Wireshark วิธีค้นหาที่อยู่ MAC
การค้นหาที่อยู่ MAC ใน Wireshark นั้นค่อนข้างง่าย ที่นี่ เราจะแสดงวิธีค้นหาที่อยู่ MAC ต้นทางและที่อยู่ MAC ปลายทางใน Wireshark
วิธีค้นหาที่อยู่ MAC ต้นทางใน Wireshark
ที่อยู่ MAC ต้นทางคือที่อยู่ของอุปกรณ์ที่ส่งแพ็กเก็ต และโดยปกติแล้วคุณจะเห็นได้ในส่วนหัวอีเธอร์เน็ตของแพ็กเก็ต ด้วยที่อยู่ MAC ต้นทาง คุณสามารถติดตามเส้นทางของแพ็กเก็ตผ่านเครือข่ายและระบุแหล่งที่มาของแพ็กเก็ตแต่ละรายการได้
คุณสามารถค้นหาที่อยู่ MAC ต้นทางของแพ็กเก็ตได้ในแท็บอีเทอร์เน็ต นี่คือวิธีการเข้าถึง:
- เปิด Wireshark และจับแพ็กเก็ต
- เลือกแพ็คเก็ตที่คุณสนใจและแสดงรายละเอียด
- เลือกและขยาย 'กรอบ' เพื่อรับข้อมูลเพิ่มเติมเกี่ยวกับแพ็คเก็ต
- ไปที่ส่วนหัว 'Ethernet' เพื่อดูรายละเอียด Ethernet
- เลือกฟิลด์ 'แหล่งที่มา' ที่นี่คุณจะเห็นที่อยู่ MAC ต้นทาง
วิธีค้นหาที่อยู่ MAC ปลายทางใน Wireshark
ที่อยู่ MAC ปลายทางแสดงที่อยู่ของอุปกรณ์ที่รับแพ็คเก็ต เช่นเดียวกับที่อยู่ต้นทาง ที่อยู่ MAC ปลายทางจะอยู่ในส่วนหัวของอีเทอร์เน็ต ทำตามขั้นตอนด้านล่างเพื่อค้นหาที่อยู่ MAC ปลายทางใน Wireshark:
- เปิด Wireshark และเริ่มจับแพ็กเก็ต
- ค้นหาแพ็คเก็ตที่คุณต้องการวิเคราะห์และสังเกตรายละเอียดในบานหน้าต่างรายละเอียด
- เลือก 'กรอบ' เพื่อรับข้อมูลเพิ่มเติมเกี่ยวกับมัน
- ไปที่ 'อีเธอร์เน็ต' คุณจะเห็น 'แหล่งที่มา' 'ปลายทาง' และ 'ประเภท'
- เลือกฟิลด์ 'ปลายทาง' และดูที่อยู่ MAC ปลายทาง
วิธียืนยันที่อยู่ MAC ในการรับส่งข้อมูลอีเทอร์เน็ต
หากคุณกำลังแก้ไขปัญหาเครือข่ายหรือต้องการระบุทราฟฟิกที่เป็นอันตราย คุณอาจต้องการตรวจสอบว่ามีการส่งแพ็กเก็ตเฉพาะจากต้นทางที่ถูกต้องและกำหนดเส้นทางไปยังปลายทางที่ถูกต้องหรือไม่ ทำตามคำแนะนำด้านล่างเพื่อยืนยันที่อยู่ MAC ในการรับส่งข้อมูลอีเทอร์เน็ต:
- แสดงที่อยู่จริงของคอมพิวเตอร์ของคุณโดยใช้ ipconfig/ all หรือ Getmac
- ดูช่องต้นทางและปลายทางในการรับส่งข้อมูลที่คุณบันทึกและเปรียบเทียบที่อยู่จริงของคอมพิวเตอร์กับที่อยู่จริง ใช้ข้อมูลนี้เพื่อตรวจสอบว่าคอมพิวเตอร์ของคุณส่งหรือรับเฟรมใด ขึ้นอยู่กับสิ่งที่คุณสนใจ
- ใช้ arp-a เพื่อดูแคช Address Resolution Protocol (ARP)
- ค้นหาที่อยู่ IP ของเกตเวย์เริ่มต้นที่ใช้ในพรอมต์คำสั่งและดูที่อยู่จริง ตรวจสอบว่าที่อยู่จริงของเกตเวย์ตรงกับฟิลด์ 'ต้นทาง' และ 'ปลายทาง' บางส่วนในทราฟฟิกที่บันทึกหรือไม่
- ทำกิจกรรมให้เสร็จโดยปิด Wireshark หากคุณต้องการยกเลิกการรับส่งข้อมูล ให้กด “ออกโดยไม่บันทึก”
วิธีกรองที่อยู่ MAC ใน Wireshark
Wireshark ช่วยให้คุณใช้ตัวกรองและดูข้อมูลจำนวนมากได้อย่างรวดเร็ว สิ่งนี้มีประโยชน์อย่างยิ่งหากมีปัญหากับอุปกรณ์บางอย่าง ใน Wireshark คุณสามารถกรองตามที่อยู่ MAC ต้นทางหรือที่อยู่ MAC ปลายทาง
วิธีกรองตามที่อยู่ MAC ต้นทางใน Wireshark
หากคุณต้องการกรองตามที่อยู่ MAC ต้นทางใน Wireshark นี่คือสิ่งที่คุณต้องทำ:
- ไปที่ Wireshark และค้นหาฟิลด์ตัวกรองที่อยู่ด้านบนสุด
- ป้อนไวยากรณ์นี้: “ether.src == macaddress” แทนที่ “macaddress” ด้วยที่อยู่ต้นทางที่ต้องการ อย่าลืมใช้เครื่องหมายคำพูดเมื่อใช้ตัวกรอง
วิธีกรองตามที่อยู่ MAC ปลายทางใน Wireshark
Wireshark อนุญาตให้คุณกรองตามที่อยู่ MAC ปลายทาง นี่คือวิธีการ:
- เปิดใช้ Wireshark และค้นหาฟิลด์ตัวกรองที่ด้านบนของหน้าต่าง
- ป้อนไวยากรณ์นี้: “ether.dst == macaddress” ตรวจสอบให้แน่ใจว่าได้แทนที่ “macaddress” ด้วยที่อยู่ปลายทางแล้ว และอย่าลืมว่าอย่าใช้เครื่องหมายคำพูดเมื่อใช้ตัวกรอง
ตัวกรองที่สำคัญอื่น ๆ ใน Wireshark
แทนที่จะเสียเวลาไปกับข้อมูลจำนวนมาก Wireshark ให้คุณใช้ทางลัดพร้อมตัวกรอง
ip.addr == x.x.x.x
นี่เป็นหนึ่งในตัวกรองที่ใช้บ่อยที่สุดใน Wireshark ด้วยตัวกรองนี้ คุณจะแสดงเฉพาะแพ็คเกจที่บันทึกซึ่งมีที่อยู่ IP ที่เลือก
ตัวกรองนี้สะดวกอย่างยิ่งสำหรับผู้ที่ต้องการเน้นการเข้าชมประเภทเดียว
คุณสามารถกรองตามที่อยู่ IP ต้นทางหรือปลายทาง
หากคุณต้องการกรองตามที่อยู่ IP ต้นทาง ให้ใช้ไวยากรณ์นี้: “ip.src == x.x.x.x” แทนที่ “x.x.x.x” ด้วยที่อยู่ IP ที่ต้องการและนำเครื่องหมายอัญประกาศออกเมื่อป้อนไวยากรณ์ลงในฟิลด์
ผู้ที่ต้องการกรองตามที่อยู่ IP ต้นทางควรป้อนไวยากรณ์นี้ลงในช่องตัวกรอง: “ip.dst == x.x.x.x” ใช้ที่อยู่ IP ที่ต้องการแทน “x.x.x.x” และลบเครื่องหมายคำพูด
หากคุณต้องการกรองที่อยู่ IP หลายรายการ ให้ใช้ไวยากรณ์นี้: “ip.addr == x.x.x.x และ ip.addr == y.y.y.y”
วิธีทำเพลง 8 บิต
ip.addr == x.x.x.x && ip.addr == x.x.x.x
หากคุณต้องการระบุและวิเคราะห์ข้อมูลระหว่างสองโฮสต์หรือเครือข่ายที่เฉพาะเจาะจง ตัวกรองนี้จะมีประโยชน์อย่างเหลือเชื่อ มันจะลบข้อมูลที่ไม่จำเป็นและแสดงผลลัพธ์ที่ต้องการในเวลาเพียงไม่กี่วินาที
http
หากคุณต้องการวิเคราะห์เฉพาะการรับส่งข้อมูล HTTP ให้ป้อน 'http' ในช่องตัวกรอง อย่าลืมใช้เครื่องหมายคำพูดเมื่อใช้ตัวกรอง
dns
Wireshark ให้คุณกรองแพ็กเก็ตที่จับโดย DNS สิ่งที่คุณต้องทำเพื่อดูเฉพาะการรับส่งข้อมูล DNS คือป้อน 'dns' ในช่องตัวกรอง
หากคุณต้องการผลลัพธ์ที่เจาะจงมากขึ้นและแสดงเฉพาะการสืบค้น DNS ให้ใช้ไวยากรณ์นี้: “dns.flags.response == 0” ตรวจสอบให้แน่ใจว่าไม่ได้ใช้เครื่องหมายอัญประกาศเมื่อเข้าสู่ตัวกรอง
หากคุณต้องการกรองการตอบสนอง DNS ให้ใช้ไวยากรณ์นี้: “dns.flags.response == 1”
เฟรมมีการรับส่งข้อมูล
ตัวกรองที่สะดวกนี้ช่วยให้คุณกรองแพ็กเก็ตที่มีคำว่า 'การจราจร' มีประโยชน์อย่างยิ่งสำหรับผู้ที่ต้องการค้นหา ID ผู้ใช้หรือสตริงเฉพาะ
tcp.port == XXX
คุณสามารถใช้ตัวกรองนี้หากคุณต้องการวิเคราะห์ทราฟฟิกที่เข้าหรือออกจากพอร์ตใดพอร์ตหนึ่ง
ip.addr >= x.x.x.x และ ip.addr <= y.y.y.y
ตัวกรอง Wireshark นี้ช่วยให้คุณแสดงเฉพาะแพ็กเก็ตที่มีช่วง IP เฉพาะ อ่านว่า “กรองที่อยู่ IP ที่มากกว่าหรือเท่ากับ x.x.x.x และน้อยกว่าหรือเท่ากับ y.y.y.y” แทนที่ “x.x.x.x” และ “y.y.y.y” ด้วยที่อยู่ IP ที่ต้องการ คุณยังสามารถใช้ “&&” แทน “และ”
frame.time >= 12 สิงหาคม 2017 09:53:18 และ frame.time <= 12 สิงหาคม 2017 17:53:18
หากคุณต้องการวิเคราะห์การเข้าชมตามเวลาที่มาถึงที่เฉพาะเจาะจง คุณสามารถใช้ตัวกรองนี้เพื่อรับข้อมูลที่เกี่ยวข้องได้ โปรดทราบว่านี่เป็นเพียงวันที่ตัวอย่างเท่านั้น คุณควรแทนที่ด้วยวันที่ที่ต้องการ ทั้งนี้ขึ้นอยู่กับสิ่งที่คุณต้องการวิเคราะห์
!(ตัวกรองไวยากรณ์)
หากคุณใส่เครื่องหมายอัศเจรีย์หน้าไวยากรณ์ของตัวกรอง คุณจะแยกเครื่องหมายนั้นออกจากผลลัพธ์ ตัวอย่างเช่น หากคุณพิมพ์ “!(ip.addr == 10.1.1.1)” คุณจะเห็นแพ็กเก็ตทั้งหมดที่ไม่มีที่อยู่ IP นี้ โปรดทราบว่าคุณไม่ควรใช้เครื่องหมายคำพูดเมื่อใช้ตัวกรอง
วิธีบันทึกตัวกรอง Wireshark
หากคุณไม่ได้ใช้ตัวกรองเฉพาะใน Wireshark บ่อยๆ คุณอาจจะลืมมันไปได้ทันเวลา การพยายามจำไวยากรณ์ที่ถูกต้องและการเสียเวลาค้นหาทางออนไลน์อาจทำให้คุณหงุดหงิดได้ โชคดีที่ Wireshark สามารถช่วยคุณป้องกันสถานการณ์ดังกล่าวได้ด้วยสองตัวเลือกที่มีค่า
ตัวเลือกแรกคือการเติมข้อความอัตโนมัติ และจะมีประโยชน์สำหรับผู้ที่จำจุดเริ่มต้นของตัวกรองได้ ตัวอย่างเช่น คุณสามารถพิมพ์ “tcp” แล้ว Wireshark จะแสดงรายการตัวกรองที่ขึ้นต้นด้วยลำดับนั้น
ตัวเลือกที่สองคือตัวกรองบุ๊กมาร์ก นี่เป็นตัวเลือกที่ทรงคุณค่าสำหรับผู้ที่มักใช้ตัวกรองที่ซับซ้อนซึ่งมีไวยากรณ์ยาว วิธีบุ๊กมาร์กตัวกรองของคุณมีดังนี้
- เปิด Wireshark แล้วกดไอคอนบุ๊กมาร์ก คุณสามารถค้นหาได้ที่ด้านซ้ายของช่องตัวกรอง
- เลือก “จัดการตัวกรองการแสดงผล”
- ค้นหาตัวกรองที่ต้องการในรายการแล้วกดเครื่องหมายบวกเพื่อเพิ่ม
ครั้งต่อไปที่คุณต้องการตัวกรอง ให้กดไอคอนบุ๊กมาร์ก แล้วค้นหาตัวกรองของคุณในรายการ
คำถามที่พบบ่อย
ฉันสามารถเรียกใช้ Wireshark บนเครือข่ายสาธารณะได้หรือไม่
หากคุณสงสัยว่าการใช้งาน Wireshark บนเครือข่ายสาธารณะนั้นถูกกฎหมายหรือไม่ คำตอบคือใช่ แต่นั่นไม่ได้หมายความว่าคุณควรเรียกใช้ Wireshark บนเครือข่ายใดก็ได้ อย่าลืมอ่านข้อกำหนดและเงื่อนไขของเครือข่ายที่คุณต้องการใช้ หากเครือข่ายห้ามไม่ให้ใช้ Wireshark และคุณยังคงใช้งานอยู่ คุณอาจถูกแบนจากเครือข่ายหรือถูกฟ้องได้
Wireshark ไม่กัด
Wireshark มีประโยชน์หลายอย่างตั้งแต่การแก้ปัญหาเครือข่ายไปจนถึงการติดตามการเชื่อมต่อและการวิเคราะห์ทราฟฟิก ด้วยแพลตฟอร์มนี้ คุณสามารถค้นหาที่อยู่ MAC ที่ต้องการได้ด้วยการคลิกเพียงไม่กี่ครั้ง เนื่องจากแพลตฟอร์มนี้ให้บริการฟรีและพร้อมใช้งานบนระบบปฏิบัติการหลายระบบ ผู้คนหลายล้านคนทั่วโลกจึงเพลิดเพลินกับตัวเลือกที่สะดวกสบาย
คุณใช้ Wireshark เพื่ออะไร ตัวเลือกที่คุณชื่นชอบคืออะไร? บอกเราในส่วนความคิดเห็นด้านล่าง
