چگونه آدرس مک را با WireShark پیدا کنیم

Wireshark به عنوان یک تحلیلگر بسته رایگان و منبع باز، بسیاری از ویژگی های راحت را ارائه می دهد. یکی از آنها یافتن آدرس های کنترل دسترسی رسانه (MAC) است که می تواند اطلاعات بیشتری در مورد بسته های مختلف در یک شبکه به شما بدهد.

اگر با Wireshark تازه کار هستید و نمی دانید چگونه آدرس های MAC را پیدا کنید، به جای درستی آمده اید. در اینجا، ما در مورد آدرس های MAC بیشتر به شما می گوییم، توضیح می دهیم که چرا آنها مفید هستند، و مراحلی را برای یافتن آنها ارائه می دهیم.

آدرس MAC چیست؟

آدرس MAC یک شناسه منحصربه‌فرد است که به دستگاه‌های شبکه مانند رایانه‌ها، سوئیچ‌ها و روترها اختصاص داده می‌شود. این آدرس ها معمولاً توسط سازنده اختصاص داده می شوند و به صورت شش گروه از دو رقم هگزا دسیمال نشان داده می شوند.

آدرس MAC در Wireshark برای چه مواردی استفاده می شود؟

نقش اصلی یک آدرس MAC مشخص کردن منبع و مقصد یک بسته است. شما همچنین می توانید از آنها برای ردیابی مسیر یک بسته خاص از طریق شبکه، نظارت بر ترافیک وب، شناسایی فعالیت های مخرب و تجزیه و تحلیل پروتکل های شبکه استفاده کنید.

Wireshark چگونه آدرس MAC را پیدا کنیم

پیدا کردن آدرس MAC در Wireshark نسبتا آسان است. در اینجا، ما به شما نشان خواهیم داد که چگونه یک آدرس MAC مبدا و آدرس MAC مقصد را در Wireshark پیدا کنید.

چگونه یک آدرس MAC منبع را در Wireshark پیدا کنیم

آدرس MAC منبع، آدرس دستگاهی است که بسته را ارسال می کند، و معمولاً می توانید آن را در هدر اترنت بسته مشاهده کنید. با آدرس مک منبع، می توانید مسیر یک بسته را از طریق شبکه ردیابی کنید و منبع هر بسته را شناسایی کنید.

می توانید آدرس MAC منبع یک بسته را در تب اترنت پیدا کنید. در اینجا نحوه رسیدن به آن آمده است:

1. Wireshark را باز کنید و بسته ها را ضبط کنید.
   
2. بسته مورد نظر خود را انتخاب کنید و جزئیات آن را نمایش دهید.
   
3. برای دریافت اطلاعات بیشتر در مورد بسته، "Frame" را انتخاب و گسترش دهید.
   
4. برای مشاهده جزئیات اترنت به سربرگ "Ethernet" بروید.
   
5. فیلد «منبع» را انتخاب کنید. در اینجا، آدرس MAC منبع را خواهید دید.
   

چگونه یک آدرس MAC مقصد را در Wireshark پیدا کنیم

آدرس MAC مقصد نشان دهنده آدرس دستگاهی است که یک بسته را دریافت می کند. مانند آدرس منبع، آدرس MAC مقصد در سربرگ اترنت قرار دارد. برای یافتن آدرس MAC مقصد در Wireshark مراحل زیر را دنبال کنید:

1. Wireshark را باز کنید و شروع به گرفتن بسته ها کنید.
   
2. بسته مورد نظر برای تجزیه و تحلیل را پیدا کنید و جزئیات آن را در قسمت جزئیات مشاهده کنید.
   
3. برای دریافت اطلاعات بیشتر در مورد آن، «قاب» را انتخاب کنید.
   
4. به "Ethernet" بروید. «منبع»، «مقصد» و «نوع» را خواهید دید.
   
5. فیلد «مقصد» را انتخاب کنید و آدرس MAC مقصد را مشاهده کنید.
   

چگونه یک آدرس MAC را در ترافیک اترنت تأیید کنیم

اگر در حال عیب‌یابی مشکلات شبکه هستید یا می‌خواهید ترافیک مخرب را شناسایی کنید، ممکن است بخواهید بررسی کنید که آیا یک بسته خاص از منبع درست ارسال شده و به مقصد مناسب هدایت می‌شود یا خیر. دستورالعمل های زیر را برای تأیید یک آدرس MAC در ترافیک اترنت دنبال کنید:

1. آدرس فیزیکی رایانه خود را با استفاده از ipconfig/ all یا Getmac نمایش دهید.
   
2. فیلدهای منبع و مقصد را در ترافیکی که گرفته اید مشاهده کنید و آدرس فیزیکی رایانه خود را با آنها مقایسه کنید. از این داده ها برای بررسی اینکه کدام فریم ها توسط رایانه شما ارسال یا دریافت شده است، بسته به آنچه به آن علاقه دارید، استفاده کنید.
   
3. از arp-a برای دیدن حافظه پنهان پروتکل وضوح آدرس (ARP) استفاده کنید.
   
4. آدرس IP پیش فرض دروازه مورد استفاده در خط فرمان را پیدا کنید و آدرس فیزیکی آن را مشاهده کنید. بررسی کنید که آیا آدرس فیزیکی دروازه با برخی از فیلدهای "منبع" و "مقصد" در ترافیک ضبط شده مطابقت دارد یا خیر.
   
5. با بستن Wireshark فعالیت را کامل کنید. اگر می‌خواهید ترافیک ضبط شده را کنار بگذارید، «خروج بدون ذخیره» را فشار دهید.
   

نحوه فیلتر کردن یک آدرس مک در Wireshark

Wireshark به شما امکان می دهد از فیلترها استفاده کنید و حجم زیادی از اطلاعات را به سرعت مرور کنید. این به ویژه در صورت بروز مشکل در دستگاه خاصی مفید است. در Wireshark، می‌توانید با آدرس MAC مبدا یا آدرس MAC مقصد فیلتر کنید.

نحوه فیلتر کردن بر اساس آدرس MAC منبع در Wireshark

اگر می‌خواهید بر اساس آدرس MAC منبع در Wireshark فیلتر کنید، کاری که باید انجام دهید این است:

1. به Wireshark بروید و قسمت Filter را در بالا پیدا کنید.
   
2. این نحو را وارد کنید: "ether.src == macaddress". آدرس منبع مورد نظر را جایگزین «macaddress» کنید. به یاد داشته باشید که هنگام اعمال فیلتر از علامت نقل قول استفاده نکنید.
   

نحوه فیلتر کردن بر اساس آدرس MAC مقصد در Wireshark

Wireshark به شما امکان می دهد تا بر اساس آدرس MAC مقصد فیلتر کنید. در اینجا نحوه انجام آن آمده است:

1. Wireshark را اجرا کنید و قسمت Filter را در بالای پنجره پیدا کنید.
   
2. این نحو را وارد کنید: "ether.dst == macaddress". اطمینان حاصل کنید که آدرس مقصد را جایگزین "macaddress" کنید و به خاطر داشته باشید که هنگام اعمال فیلتر از علامت نقل قول استفاده نکنید.
   

سایر فیلترهای مهم در Wireshark

Wireshark به‌جای اتلاف ساعت‌ها با حجم زیادی از اطلاعات، به شما امکان می‌دهد میانبر با فیلترها انتخاب کنید.

ip.addr == xxxx

این یکی از رایج ترین فیلترهای مورد استفاده در Wireshark است. با استفاده از این فیلتر، شما فقط بسته های ضبط شده حاوی آدرس IP انتخابی را نمایش می دهید.

این فیلتر مخصوصا برای کسانی که می خواهند روی یک نوع ترافیک تمرکز کنند راحت است.

می توانید بر اساس آدرس IP مبدا یا مقصد فیلتر کنید.

اگر می خواهید بر اساس آدرس IP منبع فیلتر کنید، از این نحو استفاده کنید: "ip.src == xxxx". آدرس IP مورد نظر را جایگزین «xxxx» کنید و هنگام وارد کردن نحو در فیلد، علامت نقل قول را حذف کنید.

کسانی که می خواهند بر اساس آدرس IP منبع فیلتر کنند، باید این نحو را در قسمت Filter وارد کنند: "ip.dst == xxxx". از آدرس IP مورد نظر به جای "xxxx" استفاده کنید و علامت نقل قول را حذف کنید.

اگر می خواهید چندین آدرس IP را فیلتر کنید، از این نحو استفاده کنید: "ip.addr == xxxx و ip.addr == yyyy".

ip.addr == xxxx && ip.addr == xxxx

اگر می خواهید داده ها را بین دو میزبان یا شبکه خاص شناسایی و تجزیه و تحلیل کنید، این فیلتر می تواند فوق العاده مفید باشد. داده های غیر ضروری را حذف می کند و نتایج مورد نظر را تنها در چند ثانیه نمایش می دهد.

http

اگر می خواهید فقط ترافیک HTTP را تجزیه و تحلیل کنید، "http" را در کادر فیلتر وارد کنید. به یاد داشته باشید که هنگام اعمال فیلتر از علامت نقل قول استفاده نکنید.

dns

Wireshark به شما امکان می دهد بسته های ضبط شده را توسط DNS فیلتر کنید. تنها کاری که برای مشاهده ترافیک DNS باید انجام دهید این است که "dns" را در قسمت Filter وارد کنید.

اگر می‌خواهید نتایج خاص‌تری داشته باشید و فقط درخواست‌های DNS را نمایش دهید، از این نحو استفاده کنید: "dns.flags.response == 0". هنگام ورود به فیلتر از علامت نقل قول استفاده نکنید.

اگر می خواهید پاسخ های DNS را فیلتر کنید، از این نحو استفاده کنید: "dns.flags.response == 1".

قاب حاوی ترافیک است

این فیلتر راحت به شما امکان می دهد بسته های حاوی کلمه "ترافیک" را فیلتر کنید. به ویژه برای کسانی که می خواهند شناسه کاربری یا رشته خاصی را جستجو کنند بسیار ارزشمند است.

tcp.port == XXX

اگر می خواهید ترافیک ورودی یا خروجی یک پورت خاص را تجزیه و تحلیل کنید، می توانید از این فیلتر استفاده کنید.

ip.addr >= xxxx و ip.addr <= yyyy

این فیلتر Wireshark به شما این امکان را می دهد که فقط بسته هایی با محدوده IP خاص را نمایش دهید. به عنوان "آدرس های IP بزرگتر یا مساوی xxxx و کمتر یا مساوی yyyy را فیلتر کنید" آدرس های IP مورد نظر را جایگزین "xxxx" و "yyyy" کنید. همچنین می‌توانید به جای «و» از «&&» استفاده کنید.

frame.time >= 12 اوت 2017 09:53:18 و frame.time <= 12 اوت 2017 17:53:18

اگر می خواهید ترافیک ورودی را با زمان ورود مشخص تجزیه و تحلیل کنید، می توانید از این فیلتر برای دریافت اطلاعات مربوطه استفاده کنید. به خاطر داشته باشید که اینها فقط نمونه ای از تاریخ ها هستند. بسته به آنچه می خواهید تحلیل کنید، باید تاریخ های مورد نظر را جایگزین کنید.

!( نحو فیلتر)

اگر یک علامت تعجب در مقابل هر نحو فیلتر قرار دهید، آن را از نتایج حذف خواهید کرد. به عنوان مثال، اگر "!(ip.addr == 10.1.1.1)" را تایپ کنید، همه بسته هایی را خواهید دید که حاوی این آدرس IP نیستند. به خاطر داشته باشید که هنگام اعمال فیلتر نباید از علامت نقل قول استفاده کنید.

نحوه ذخیره فیلترهای Wireshark

اگر اغلب از فیلتر خاصی در Wireshark استفاده نمی کنید، احتمالاً به موقع آن را فراموش خواهید کرد. تلاش برای به خاطر سپردن نحو صحیح و اتلاف وقت برای جستجوی آنلاین آن می تواند بسیار خسته کننده باشد. خوشبختانه Wireshark می تواند با دو گزینه ارزشمند به شما در جلوگیری از چنین سناریوهایی کمک کند.

اولین گزینه تکمیل خودکار است و می تواند برای کسانی که شروع فیلتر را به خاطر دارند مفید باشد. برای مثال، می‌توانید «tcp» را تایپ کنید، و Wireshark لیستی از فیلترها را که با آن دنباله شروع می‌شود، نمایش می‌دهد.

گزینه دوم فیلترهای نشانه گذاری است. این یک گزینه ارزشمند برای کسانی است که اغلب از فیلترهای پیچیده با نحو طولانی استفاده می کنند. در اینجا نحوه نشانک کردن فیلتر خود آورده شده است:

1. Wireshark را باز کنید و نماد نشانک را فشار دهید. می توانید آن را در سمت چپ فیلد فیلتر پیدا کنید.
2. "Manage Display Filters" را انتخاب کنید.
3. فیلتر مورد نظر را در لیست پیدا کنید و علامت مثبت را فشار دهید تا آن را اضافه کنید.

دفعه بعد که به آن فیلتر نیاز داشتید، نماد نشانک را فشار دهید و فیلتر خود را در لیست پیدا کنید.

سوالات متداول

آیا می توانم Wireshark را در یک شبکه عمومی اجرا کنم؟

اگر می‌پرسید که آیا اجرای Wireshark در یک شبکه عمومی قانونی است، پاسخ مثبت است. اما، این بدان معنا نیست که شما باید Wireshark را در هر شبکه ای اجرا کنید. اطمینان حاصل کنید که شرایط و ضوابط شبکه ای را که می خواهید استفاده کنید بخوانید. اگر شبکه استفاده از Wireshark را ممنوع کند و شما همچنان آن را اجرا کنید، ممکن است از شبکه محروم شوید یا حتی از شما شکایت شود.

Wireshark گاز نمی گیرد

از عیب یابی شبکه ها گرفته تا ردیابی اتصالات و تجزیه و تحلیل ترافیک، Wireshark کاربردهای زیادی دارد. با استفاده از این پلتفرم، تنها با چند کلیک می توانید یک آدرس MAC خاص را پیدا کنید. از آنجایی که این پلتفرم رایگان و در چندین سیستم عامل موجود است، میلیون ها نفر در سراسر جهان از گزینه های مناسب آن لذت می برند.

برای چه کاری از Wireshark استفاده می کنید؟ گزینه مورد علاقه شما چیست؟ ما را در بخش نظرات زیر بگویید.