วิธีค้นหาที่อยู่ MAC ด้วย WireShark

ในฐานะเครื่องมือวิเคราะห์แพ็กเก็ตโอเพ่นซอร์สฟรี Wireshark นำเสนอคุณสมบัติที่สะดวกมากมาย หนึ่งในนั้นคือการค้นหาที่อยู่การควบคุมการเข้าถึงสื่อ (MAC) ซึ่งสามารถบอกข้อมูลเพิ่มเติมเกี่ยวกับแพ็กเก็ตต่างๆ บนเครือข่ายได้

หากคุณยังใหม่กับ Wireshark และไม่รู้วิธีค้นหาที่อยู่ MAC คุณมาถูกที่แล้ว ที่นี่ เราจะบอกคุณเพิ่มเติมเกี่ยวกับที่อยู่ MAC อธิบายว่าเหตุใดจึงมีประโยชน์ และให้ขั้นตอนในการค้นหาที่อยู่เหล่านี้

ที่อยู่ MAC คืออะไร?

ที่อยู่ MAC เป็นตัวระบุเฉพาะที่กำหนดให้กับอุปกรณ์เครือข่าย เช่น คอมพิวเตอร์ สวิตช์ และเราเตอร์ ที่อยู่เหล่านี้มักจะกำหนดโดยผู้ผลิตและแสดงเป็นหกกลุ่มของเลขฐานสิบหกสองหลัก

ที่อยู่ MAC ใช้สำหรับ Wireshark คืออะไร

บทบาทหลักของที่อยู่ MAC คือการทำเครื่องหมายต้นทางและปลายทางของแพ็คเก็ต คุณยังสามารถใช้เพื่อติดตามเส้นทางของแพ็กเก็ตเฉพาะผ่านเครือข่าย ตรวจสอบปริมาณการใช้งานเว็บ ระบุกิจกรรมที่เป็นอันตราย และวิเคราะห์โปรโตคอลเครือข่าย

Wireshark วิธีค้นหาที่อยู่ MAC

การค้นหาที่อยู่ MAC ใน Wireshark นั้นค่อนข้างง่าย ที่นี่ เราจะแสดงวิธีค้นหาที่อยู่ MAC ต้นทางและที่อยู่ MAC ปลายทางใน Wireshark

วิธีค้นหาที่อยู่ MAC ต้นทางใน Wireshark

ที่อยู่ MAC ต้นทางคือที่อยู่ของอุปกรณ์ที่ส่งแพ็กเก็ต และโดยปกติแล้วคุณจะเห็นได้ในส่วนหัวอีเทอร์เน็ตของแพ็กเก็ต ด้วยที่อยู่ MAC ต้นทาง คุณสามารถติดตามเส้นทางของแพ็กเก็ตผ่านเครือข่ายและระบุแหล่งที่มาของแพ็กเก็ตแต่ละรายการได้

คุณสามารถค้นหาที่อยู่ MAC ต้นทางของแพ็กเก็ตได้ในแท็บอีเทอร์เน็ต นี่คือวิธีการเข้าถึง:

1. เปิด Wireshark และจับแพ็กเก็ต
   
2. เลือกแพ็คเก็ตที่คุณสนใจและแสดงรายละเอียด
   
3. เลือกและขยาย "กรอบ" เพื่อรับข้อมูลเพิ่มเติมเกี่ยวกับแพ็คเก็ต
   
4. ไปที่ส่วนหัว "Ethernet" เพื่อดูรายละเอียด Ethernet
   
5. เลือกฟิลด์ "แหล่งที่มา" ที่นี่ คุณจะเห็นที่อยู่ MAC ต้นทาง
   

วิธีค้นหาที่อยู่ MAC ปลายทางใน Wireshark

ที่อยู่ MAC ปลายทางแสดงที่อยู่ของอุปกรณ์ที่รับแพ็คเก็ต เช่นเดียวกับที่อยู่ต้นทาง ที่อยู่ MAC ปลายทางจะอยู่ในส่วนหัวของอีเทอร์เน็ต ทำตามขั้นตอนด้านล่างเพื่อค้นหาที่อยู่ MAC ปลายทางใน Wireshark:

1. เปิด Wireshark และเริ่มจับแพ็กเก็ต
   
2. ค้นหาแพ็คเก็ตที่คุณต้องการวิเคราะห์และสังเกตรายละเอียดในบานหน้าต่างรายละเอียด
   
3. เลือก "กรอบ" เพื่อรับข้อมูลเพิ่มเติมเกี่ยวกับมัน
   
4. ไปที่ “อีเธอร์เน็ต” คุณจะเห็น "แหล่งที่มา" "ปลายทาง" และ "ประเภท"
   
5. เลือกฟิลด์ "ปลายทาง" และดูที่อยู่ MAC ปลายทาง
   

วิธียืนยันที่อยู่ MAC ในการรับส่งข้อมูลอีเทอร์เน็ต

หากคุณกำลังแก้ไขปัญหาเครือข่ายหรือต้องการระบุทราฟฟิกที่เป็นอันตราย คุณอาจต้องการตรวจสอบว่ามีการส่งแพ็กเก็ตเฉพาะจากต้นทางที่ถูกต้องและกำหนดเส้นทางไปยังปลายทางที่ถูกต้องหรือไม่ ทำตามคำแนะนำด้านล่างเพื่อยืนยันที่อยู่ MAC ในการรับส่งข้อมูลอีเทอร์เน็ต:

1. แสดงที่อยู่จริงของคอมพิวเตอร์ของคุณโดยใช้ ipconfig/ all หรือ Getmac
   
2. ดูฟิลด์ต้นทางและปลายทางในการรับส่งข้อมูลที่คุณบันทึก และเปรียบเทียบที่อยู่จริงของคอมพิวเตอร์ของคุณกับที่อยู่เหล่านั้น ใช้ข้อมูลนี้เพื่อตรวจสอบว่าคอมพิวเตอร์ของคุณส่งหรือรับเฟรมใด ขึ้นอยู่กับสิ่งที่คุณสนใจ
   
3. ใช้ arp-a เพื่อดูแคช Address Resolution Protocol (ARP)
   
4. ค้นหาที่อยู่ IP ของเกตเวย์เริ่มต้นที่ใช้ในพรอมต์คำสั่งและดูที่อยู่จริง ตรวจสอบว่าที่อยู่จริงของเกตเวย์ตรงกับฟิลด์ "ต้นทาง" และ "ปลายทาง" บางส่วนในทราฟฟิกที่บันทึกหรือไม่
   
5. ทำกิจกรรมให้เสร็จโดยปิด Wireshark หากคุณต้องการยกเลิกการรับส่งข้อมูล ให้กด “ออกโดยไม่บันทึก”
   

วิธีกรองที่อยู่ MAC ใน Wireshark

Wireshark ช่วยให้คุณใช้ตัวกรองและดูข้อมูลจำนวนมากได้อย่างรวดเร็ว สิ่งนี้มีประโยชน์อย่างยิ่งหากมีปัญหากับอุปกรณ์บางอย่าง ใน Wireshark คุณสามารถกรองตามที่อยู่ MAC ต้นทางหรือที่อยู่ MAC ปลายทาง

วิธีกรองตามที่อยู่ MAC ต้นทางใน Wireshark

หากคุณต้องการกรองตามที่อยู่ MAC ต้นทางใน Wireshark นี่คือสิ่งที่คุณต้องทำ:

1. ไปที่ Wireshark และค้นหาฟิลด์ตัวกรองที่อยู่ด้านบนสุด
   
2. ป้อนไวยากรณ์นี้: “ether.src == macaddress” แทนที่ “macaddress” ด้วยที่อยู่ต้นทางที่ต้องการ อย่าลืมใช้เครื่องหมายคำพูดเมื่อใช้ตัวกรอง
   

วิธีกรองตามที่อยู่ MAC ปลายทางใน Wireshark

Wireshark อนุญาตให้คุณกรองตามที่อยู่ MAC ปลายทาง นี่คือวิธีการ:

1. เปิดใช้ Wireshark และค้นหาฟิลด์ตัวกรองที่ด้านบนของหน้าต่าง
   
2. ป้อนไวยากรณ์นี้: “ether.dst == macaddress” ตรวจสอบให้แน่ใจว่าได้แทนที่ “macaddress” ด้วยที่อยู่ปลายทางแล้ว และอย่าลืมว่าอย่าใช้เครื่องหมายคำพูดเมื่อใช้ตัวกรอง
   

ตัวกรองที่สำคัญอื่น ๆ ใน Wireshark

แทนที่จะเสียเวลาไปกับข้อมูลจำนวนมาก Wireshark ให้คุณใช้ทางลัดพร้อมตัวกรอง

ip.addr == xxxx

นี่เป็นหนึ่งในตัวกรองที่ใช้บ่อยที่สุดใน Wireshark ด้วยตัวกรองนี้ คุณจะแสดงเฉพาะแพ็คเกจที่บันทึกซึ่งมีที่อยู่ IP ที่เลือก

ตัวกรองนี้สะดวกอย่างยิ่งสำหรับผู้ที่ต้องการเน้นการเข้าชมประเภทเดียว

คุณสามารถกรองตามที่อยู่ IP ต้นทางหรือปลายทาง

หากคุณต้องการกรองตามที่อยู่ IP ต้นทาง ให้ใช้ไวยากรณ์นี้: “ip.src == xxxx” แทนที่ “xxxx” ด้วยที่อยู่ IP ที่ต้องการและนำเครื่องหมายอัญประกาศออกเมื่อป้อนไวยากรณ์ลงในฟิลด์

ผู้ที่ต้องการกรองตามที่อยู่ IP ต้นทางควรป้อนไวยากรณ์นี้ลงในช่องตัวกรอง: “ip.dst == xxxx” ใช้ที่อยู่ IP ที่ต้องการแทน "xxxx" และลบเครื่องหมายคำพูด

หากคุณต้องการกรองที่อยู่ IP หลายรายการ ให้ใช้ไวยากรณ์นี้: “ip.addr == xxxx และ ip.addr == yyyy”

ip.addr == xxxx && ip.addr == xxxx

หากคุณต้องการระบุและวิเคราะห์ข้อมูลระหว่างสองโฮสต์หรือเครือข่ายที่เฉพาะเจาะจง ตัวกรองนี้จะมีประโยชน์อย่างเหลือเชื่อ มันจะลบข้อมูลที่ไม่จำเป็นและแสดงผลลัพธ์ที่ต้องการในเวลาเพียงไม่กี่วินาที

http

หากคุณต้องการวิเคราะห์เฉพาะการรับส่งข้อมูล HTTP ให้ป้อน "http" ในช่องตัวกรอง อย่าลืมใช้เครื่องหมายคำพูดเมื่อใช้ตัวกรอง

dns

Wireshark ให้คุณกรองแพ็กเก็ตที่จับโดย DNS สิ่งที่คุณต้องทำเพื่อดูเฉพาะการรับส่งข้อมูล DNS คือป้อน "dns" ในช่องตัวกรอง

หากคุณต้องการผลลัพธ์ที่เจาะจงมากขึ้นและแสดงเฉพาะการสืบค้น DNS ให้ใช้ไวยากรณ์นี้: “dns.flags.response == 0” ตรวจสอบให้แน่ใจว่าไม่ได้ใช้เครื่องหมายอัญประกาศเมื่อเข้าสู่ตัวกรอง

หากคุณต้องการกรองการตอบสนอง DNS ให้ใช้ไวยากรณ์นี้: “dns.flags.response == 1”

เฟรมมีการรับส่งข้อมูล

ตัวกรองที่สะดวกนี้ช่วยให้คุณกรองแพ็กเก็ตที่มีคำว่า "การจราจร" มีประโยชน์อย่างยิ่งสำหรับผู้ที่ต้องการค้นหา ID ผู้ใช้หรือสตริงเฉพาะ

tcp.port == XXX

คุณสามารถใช้ตัวกรองนี้หากคุณต้องการวิเคราะห์ทราฟฟิกที่เข้าหรือออกจากพอร์ตใดพอร์ตหนึ่ง

ip.addr >= xxxx และ ip.addr <= yyyy

ตัวกรอง Wireshark นี้ช่วยให้คุณแสดงเฉพาะแพ็กเก็ตที่มีช่วง IP เฉพาะ อ่านว่า “กรองที่อยู่ IP ที่มากกว่าหรือเท่ากับ xxxx และน้อยกว่าหรือเท่ากับ yyyy” แทนที่ “xxxx” และ “yyyy” ด้วยที่อยู่ IP ที่ต้องการ คุณยังสามารถใช้ “&&” แทน “และ”

frame.time >= 12 สิงหาคม 2017 09:53:18 และ frame.time <= 12 สิงหาคม 2017 17:53:18

หากคุณต้องการวิเคราะห์การเข้าชมตามเวลาที่มาถึงที่เฉพาะเจาะจง คุณสามารถใช้ตัวกรองนี้เพื่อรับข้อมูลที่เกี่ยวข้องได้ โปรดทราบว่านี่เป็นเพียงวันที่ตัวอย่างเท่านั้น คุณควรแทนที่ด้วยวันที่ที่ต้องการ ทั้งนี้ขึ้นอยู่กับสิ่งที่คุณต้องการวิเคราะห์

!(ตัวกรองไวยากรณ์)

หากคุณใส่เครื่องหมายอัศเจรีย์หน้าไวยากรณ์ของตัวกรอง คุณจะแยกเครื่องหมายนั้นออกจากผลลัพธ์ ตัวอย่างเช่น หากคุณพิมพ์ “!(ip.addr == 10.1.1.1)” คุณจะเห็นแพ็กเก็ตทั้งหมดที่ไม่มีที่อยู่ IP นี้ โปรดทราบว่าคุณไม่ควรใช้เครื่องหมายคำพูดเมื่อใช้ตัวกรอง

วิธีบันทึกตัวกรอง Wireshark

หากคุณไม่ได้ใช้ตัวกรองเฉพาะใน Wireshark บ่อยๆ คุณอาจจะลืมมันไปได้ทันเวลา การพยายามจำไวยากรณ์ที่ถูกต้องและการเสียเวลาค้นหาทางออนไลน์อาจทำให้คุณหงุดหงิดได้ โชคดีที่ Wireshark สามารถช่วยคุณป้องกันสถานการณ์ดังกล่าวได้ด้วยสองตัวเลือกที่มีค่า

ตัวเลือกแรกคือการเติมข้อความอัตโนมัติ และจะมีประโยชน์สำหรับผู้ที่จำจุดเริ่มต้นของตัวกรองได้ ตัวอย่างเช่น คุณสามารถพิมพ์ “tcp” แล้ว Wireshark จะแสดงรายการตัวกรองที่ขึ้นต้นด้วยลำดับนั้น

ตัวเลือกที่สองคือตัวกรองบุ๊กมาร์ก นี่เป็นตัวเลือกที่ทรงคุณค่าสำหรับผู้ที่มักใช้ตัวกรองที่ซับซ้อนซึ่งมีไวยากรณ์ยาว วิธีบุ๊กมาร์กตัวกรองของคุณมีดังนี้

1. เปิด Wireshark แล้วกดไอคอนบุ๊กมาร์ก คุณสามารถค้นหาได้ที่ด้านซ้ายของช่องตัวกรอง
2. เลือก “จัดการตัวกรองการแสดงผล”
3. ค้นหาตัวกรองที่ต้องการในรายการแล้วกดเครื่องหมายบวกเพื่อเพิ่ม

ครั้งต่อไปที่คุณต้องการตัวกรอง ให้กดไอคอนบุ๊กมาร์ก แล้วค้นหาตัวกรองของคุณในรายการ

คำถามที่พบบ่อย

ฉันสามารถเรียกใช้ Wireshark บนเครือข่ายสาธารณะได้หรือไม่

หากคุณสงสัยว่าการใช้งาน Wireshark บนเครือข่ายสาธารณะนั้นถูกกฎหมายหรือไม่ คำตอบคือใช่ แต่นั่นไม่ได้หมายความว่าคุณควรเรียกใช้ Wireshark บนเครือข่ายใดก็ได้ อย่าลืมอ่านข้อกำหนดและเงื่อนไขของเครือข่ายที่คุณต้องการใช้ หากเครือข่ายห้ามไม่ให้ใช้ Wireshark และคุณยังคงใช้งานอยู่ คุณอาจถูกแบนจากเครือข่ายหรือถูกฟ้องร้องได้

Wireshark ไม่กัด

Wireshark มีประโยชน์หลายอย่างตั้งแต่การแก้ปัญหาเครือข่ายไปจนถึงการติดตามการเชื่อมต่อและการวิเคราะห์ทราฟฟิก ด้วยแพลตฟอร์มนี้ คุณสามารถค้นหาที่อยู่ MAC ที่ต้องการได้ด้วยการคลิกเพียงไม่กี่ครั้ง เนื่องจากแพลตฟอร์มนี้ให้บริการฟรีและใช้งานได้บนระบบปฏิบัติการหลายระบบ ผู้คนหลายล้านคนทั่วโลกจึงเพลิดเพลินกับตัวเลือกที่สะดวกสบาย

คุณใช้ Wireshark เพื่ออะไร ตัวเลือกที่คุณชื่นชอบคืออะไร? บอกเราในส่วนความคิดเห็นด้านล่าง