Tin tức và Phân Tích của tất cả các Thiết bị di động!

Cách tìm địa chỉ MAC bằng WireShark

Là một trình phân tích gói tin miễn phí và mã nguồn mở, Wireshark cung cấp nhiều tính năng tiện lợi. Một trong số đó là tìm địa chỉ kiểm soát truy cập phương tiện (MAC), có thể cho bạn biết thêm thông tin về các gói tin khác nhau trên mạng.

Nếu bạn mới sử dụng Wireshark và không biết cách tìm địa chỉ MAC, bạn đã đến đúng nơi rồi. Ở đây, chúng tôi sẽ cho bạn biết thêm về địa chỉ MAC, giải thích lý do tại sao chúng hữu ích và cung cấp các bước để tìm chúng.

Địa chỉ MAC là gì?

Địa chỉ MAC là một mã định danh duy nhất được gán cho các thiết bị mạng như máy tính, bộ chuyển mạch và bộ định tuyến. Các địa chỉ này thường được nhà sản xuất gán và được biểu diễn dưới dạng sáu nhóm gồm hai chữ số thập lục phân.

Mục lục

Địa chỉ MAC được sử dụng để làm gì trong Wireshark?

Vai trò chính của địa chỉ MAC là đánh dấu nguồn và đích của một gói tin. Bạn cũng có thể sử dụng chúng để theo dõi đường đi của một gói tin cụ thể qua mạng, giám sát lưu lượng truy cập web, xác định hoạt động độc hại và phân tích các giao thức mạng.

Wireshark Cách Tìm Địa Chỉ MAC

Việc tìm địa chỉ MAC trong Wireshark tương đối dễ dàng. Ở đây, chúng tôi sẽ chỉ cho bạn cách tìm địa chỉ MAC nguồn và địa chỉ MAC đích trong Wireshark.

Cách tìm địa chỉ MAC nguồn trong Wireshark

Địa chỉ MAC nguồn là địa chỉ của thiết bị gửi gói tin và bạn thường có thể thấy địa chỉ này trong tiêu đề Ethernet của gói tin. Với địa chỉ MAC nguồn, bạn có thể theo dõi đường dẫn của gói tin qua mạng và xác định nguồn của từng gói tin.

Bạn có thể tìm địa chỉ MAC nguồn của một gói tin trong tab Ethernet. Sau đây là cách truy cập:

  1. Mở Wireshark và bắt gói tin.
  2. Chọn gói tin bạn quan tâm và hiển thị thông tin chi tiết của gói tin đó.
  3. Chọn và mở rộng “Khung” để biết thêm thông tin về gói tin.
  4. Đi tới tiêu đề “Ethernet” để xem thông tin chi tiết về Ethernet.
  5. Chọn trường “Nguồn”. Tại đây, bạn sẽ thấy địa chỉ MAC nguồn.

Cách tìm địa chỉ MAC đích trong Wireshark

Địa chỉ MAC đích biểu thị địa chỉ của thiết bị nhận gói tin. Giống như địa chỉ nguồn, địa chỉ MAC đích nằm trong tiêu đề Ethernet. Thực hiện theo các bước dưới đây để tìm địa chỉ MAC đích trong Wireshark:

  1. Mở Wireshark và bắt đầu bắt gói tin.
  2. Tìm gói tin bạn muốn phân tích và quan sát thông tin chi tiết của gói tin đó trong ngăn chi tiết.
  3. Chọn “Khung” để biết thêm dữ liệu về nó.
  4. Vào “Ethernet”. Bạn sẽ thấy “Nguồn”, “Điểm đến” và “Loại”.
  5. Chọn trường “Điểm đến” và xem địa chỉ MAC đích.

Cách xác nhận địa chỉ MAC trong lưu lượng Ethernet

Nếu bạn đang khắc phục sự cố mạng hoặc muốn xác định lưu lượng độc hại, bạn có thể muốn kiểm tra xem một gói tin cụ thể có được gửi từ đúng nguồn và định tuyến đến đúng đích hay không. Làm theo hướng dẫn bên dưới để xác nhận địa chỉ MAC trong lưu lượng Ethernet:

  1. Hiển thị địa chỉ vật lý của máy tính bằng cách sử dụng ipconfig/all hoặc Getmac.
  2. Xem các trường Nguồn và Đích trong lưu lượng bạn đã ghi lại và so sánh địa chỉ vật lý của máy tính với chúng. Sử dụng dữ liệu này để kiểm tra khung nào đã được máy tính của bạn gửi hoặc nhận, tùy thuộc vào mục đích bạn quan tâm.
  3. Sử dụng arp-a để xem bộ đệm Giao thức phân giải địa chỉ (ARP).
  4. Tìm địa chỉ IP của cổng mặc định được sử dụng trong dấu nhắc lệnh và xem địa chỉ vật lý của nó. Kiểm tra xem địa chỉ vật lý của cổng có khớp với một số trường “Nguồn” và “Điểm đến” trong lưu lượng đã thu thập hay không.
  5. Hoàn tất hoạt động bằng cách đóng Wireshark. Nếu bạn muốn hủy lưu lượng đã ghi lại, hãy nhấn “Thoát mà không lưu”.

Cách lọc địa chỉ MAC trong Wireshark

Wireshark cho phép bạn sử dụng bộ lọc và duyệt qua lượng thông tin lớn một cách nhanh chóng. Điều này đặc biệt hữu ích nếu có vấn đề với một thiết bị nào đó. Trong Wireshark, bạn có thể lọc theo địa chỉ MAC nguồn hoặc địa chỉ MAC đích.

Cách lọc theo địa chỉ MAC nguồn trong Wireshark

Nếu bạn muốn lọc theo địa chỉ MAC nguồn trong Wireshark, đây là những gì bạn cần làm:

  1. Vào Wireshark và tìm trường Bộ lọc nằm ở trên cùng.
  2. Nhập cú pháp này: “ether.src == macaddress”. Thay thế “macaddress” bằng địa chỉ nguồn mong muốn. Nhớ không sử dụng dấu ngoặc kép khi áp dụng bộ lọc.

Cách lọc theo địa chỉ MAC đích trong Wireshark

Wireshark cho phép bạn lọc theo địa chỉ MAC đích. Sau đây là cách thực hiện:

  1. Khởi chạy Wireshark và tìm trường Bộ lọc ở đầu cửa sổ.
  2. Nhập cú pháp này: “ether.dst == macaddress”. Đảm bảo thay thế “macaddress” bằng địa chỉ đích và nhớ không sử dụng dấu ngoặc kép khi áp dụng bộ lọc.

Các bộ lọc quan trọng khác trong Wireshark

Thay vì tốn hàng giờ để duyệt qua lượng thông tin lớn, Wireshark cho phép bạn sử dụng bộ lọc một cách nhanh chóng.

ip.addr == xxxx

Đây là một trong những bộ lọc được sử dụng phổ biến nhất trong Wireshark. Với bộ lọc này, bạn chỉ hiển thị các gói đã chụp có chứa địa chỉ IP đã chọn.

Bộ lọc này đặc biệt tiện lợi cho những người muốn tập trung vào một loại lưu lượng truy cập.

Bạn có thể lọc theo địa chỉ IP nguồn hoặc đích.

Nếu bạn muốn lọc theo địa chỉ IP nguồn, hãy sử dụng cú pháp này: “ip.src == xxxx”. Thay thế “xxxx” bằng địa chỉ IP mong muốn và xóa dấu ngoặc kép khi nhập cú pháp vào trường.

Những người muốn lọc theo địa chỉ IP nguồn nên nhập cú pháp này vào trường Filter: “ip.dst == xxxx”. Sử dụng địa chỉ IP mong muốn thay vì “xxxx” và xóa dấu ngoặc kép.

Nếu bạn muốn lọc nhiều địa chỉ IP, hãy sử dụng cú pháp này: “ip.addr == xxxx và ip.addr == yyyy”.

ip.addr == xxxx && ip.addr == xxxx

Nếu bạn muốn xác định và phân tích dữ liệu giữa hai máy chủ hoặc mạng cụ thể, bộ lọc này có thể cực kỳ hữu ích. Nó sẽ loại bỏ dữ liệu không cần thiết và hiển thị kết quả mong muốn chỉ trong vài giây.

http

Nếu bạn chỉ muốn phân tích lưu lượng HTTP, hãy nhập “http” vào hộp Filter. Nhớ không sử dụng dấu ngoặc kép khi áp dụng bộ lọc.

tên miền

Wireshark cho phép bạn lọc các gói tin đã bắt được theo DNS. Tất cả những gì bạn phải làm để chỉ xem lưu lượng DNS là nhập “dns” vào trường Filter.

Nếu bạn muốn có kết quả cụ thể hơn và chỉ hiển thị các truy vấn DNS, hãy sử dụng cú pháp này: “dns.flags.response == 0”. Đảm bảo không sử dụng dấu ngoặc kép khi nhập bộ lọc.

Nếu bạn muốn lọc phản hồi DNS, hãy sử dụng cú pháp này: “dns.flags.response == 1”.

khung chứa lưu lượng truy cập

Bộ lọc tiện lợi này cho phép bạn lọc các gói tin có chứa từ “lưu lượng truy cập”. Bộ lọc này đặc biệt hữu ích đối với những người muốn tìm kiếm một ID người dùng hoặc chuỗi cụ thể.

tcp.port == XXX

Bạn có thể sử dụng bộ lọc này nếu muốn phân tích lưu lượng truy cập vào hoặc ra khỏi một cổng cụ thể.

ip.addr >= xxxx và ip.addr <= yyyy

Bộ lọc Wireshark này cho phép bạn chỉ hiển thị các gói tin có phạm vi IP cụ thể. Nó đọc là “lọc các địa chỉ IP lớn hơn hoặc bằng xxxx và nhỏ hơn hoặc bằng yyyy” Thay thế “xxxx” và “yyyy” bằng các địa chỉ IP mong muốn. Bạn cũng có thể sử dụng “&&” thay vì “và”.

frame.time >= Ngày 12 tháng 8 năm 2017 09:53:18 và frame.time <= Ngày 12 tháng 8 năm 2017 17:53:18

Nếu bạn muốn phân tích lưu lượng truy cập đến với thời gian đến cụ thể, bạn có thể sử dụng bộ lọc này để có được thông tin có liên quan. Hãy nhớ rằng đây chỉ là những ngày ví dụ. Bạn nên thay thế chúng bằng những ngày mong muốn, tùy thuộc vào những gì bạn muốn phân tích.

!(cú pháp lọc)

Nếu bạn đặt dấu chấm than trước bất kỳ cú pháp lọc nào, bạn sẽ loại trừ nó khỏi kết quả. Ví dụ, nếu bạn nhập “!(ip.addr == 10.1.1.1),” bạn sẽ thấy tất cả các gói không chứa địa chỉ IP này. Hãy nhớ rằng bạn không nên sử dụng dấu ngoặc kép khi áp dụng bộ lọc.

Cách lưu bộ lọc Wireshark

Nếu bạn không thường xuyên sử dụng một bộ lọc cụ thể trong Wireshark, bạn có thể sẽ quên nó theo thời gian. Việc cố gắng nhớ cú pháp chính xác và lãng phí thời gian tìm kiếm trực tuyến có thể rất bực bội. May mắn thay, Wireshark có thể giúp bạn ngăn ngừa những tình huống như vậy bằng hai tùy chọn có giá trị.

Tùy chọn đầu tiên là tự động hoàn thành và có thể hữu ích cho những ai nhớ phần đầu của bộ lọc. Ví dụ, bạn có thể nhập “tcp” và Wireshark sẽ hiển thị danh sách các bộ lọc bắt đầu bằng chuỗi đó.

Tùy chọn thứ hai là đánh dấu bộ lọc. Đây là tùy chọn vô giá đối với những người thường sử dụng bộ lọc phức tạp với cú pháp dài. Sau đây là cách đánh dấu bộ lọc của bạn:

  1. Mở Wireshark và nhấn vào biểu tượng dấu trang. Bạn có thể tìm thấy nó ở phía bên trái của trường Bộ lọc.
  2. Chọn “Quản lý bộ lọc hiển thị”.
  3. Tìm bộ lọc mong muốn trong danh sách và nhấn dấu cộng để thêm vào.

Lần sau khi bạn cần bộ lọc đó, hãy nhấn vào biểu tượng dấu trang và tìm bộ lọc của bạn trong danh sách.

Câu hỏi thường gặp

Tôi có thể chạy Wireshark trên mạng công cộng không?

Nếu bạn đang thắc mắc liệu chạy Wireshark trên mạng công cộng có hợp pháp không, câu trả lời là có. Nhưng điều đó không có nghĩa là bạn nên chạy Wireshark trên bất kỳ mạng nào. Đảm bảo đọc các điều khoản và điều kiện của mạng bạn muốn sử dụng. Nếu mạng cấm sử dụng Wireshark và bạn vẫn chạy, bạn có thể bị cấm khỏi mạng hoặc thậm chí bị kiện.

Wireshark không cắn

Từ việc khắc phục sự cố mạng đến theo dõi kết nối và phân tích lưu lượng, Wireshark có nhiều công dụng. Với nền tảng này, bạn có thể tìm thấy một địa chỉ MAC cụ thể chỉ bằng vài cú nhấp chuột. Vì nền tảng này miễn phí và có sẵn trên nhiều hệ điều hành, nên hàng triệu người trên toàn thế giới tận hưởng các tùy chọn tiện lợi của nó.

Bạn sử dụng Wireshark để làm gì? Lựa chọn yêu thích của bạn là gì? Hãy cho chúng tôi biết trong phần bình luận bên dưới.