Come trovare lindirizzo MAC con WireShark

Come analizzatore di pacchetti gratuito e open source, Wireshark offre molte funzioni utili. Uno di questi è trovare indirizzi MAC (Media Access Control), che possono fornire maggiori informazioni sui diversi pacchetti su una rete.

Se sei nuovo su Wireshark e non sai come trovare gli indirizzi MAC, sei nel posto giusto. Qui, ti diremo di più sugli indirizzi MAC, spiegheremo perché sono utili e forniremo i passaggi per trovarli.

Che cos'è un indirizzo MAC?

Un indirizzo MAC è un identificatore univoco assegnato a dispositivi di rete come computer, switch e router. Questi indirizzi sono generalmente assegnati dal produttore e sono rappresentati da sei gruppi di due cifre esadecimali.

A cosa serve un indirizzo MAC in Wireshark?

Il ruolo principale di un indirizzo MAC è contrassegnare l'origine e la destinazione di un pacchetto. Puoi anche utilizzarli per tracciare il percorso di un pacchetto specifico attraverso una rete, monitorare il traffico Web, identificare attività dannose e analizzare i protocolli di rete.

Wireshark Come trovare l'indirizzo MAC

Trovare l'indirizzo MAC in Wireshark è relativamente facile. Qui, ti mostreremo come trovare un indirizzo MAC di origine e un indirizzo MAC di destinazione in Wireshark.

Come trovare un indirizzo MAC di origine in Wireshark

Un indirizzo MAC di origine è l'indirizzo del dispositivo che invia il pacchetto e di solito è visibile nell'intestazione Ethernet del pacchetto. Con l'indirizzo MAC di origine, puoi tracciare il percorso di un pacchetto attraverso la rete e identificare l'origine di ciascun pacchetto.

Puoi trovare l'indirizzo MAC di origine di un pacchetto nella scheda Ethernet. Ecco come raggiungerlo:

1. Apri Wireshark e acquisisci i pacchetti.
   
2. Seleziona il pacchetto che ti interessa e visualizzane i dettagli.
   
3. Selezionare ed espandere "Frame" per ottenere maggiori informazioni sul pacchetto.
   
4. Vai all'intestazione "Ethernet" per visualizzare i dettagli Ethernet.
   
5. Seleziona il campo "Fonte". Qui vedrai l'indirizzo MAC di origine.
   

Come trovare un indirizzo MAC di destinazione in Wireshark

Un indirizzo MAC di destinazione rappresenta l'indirizzo del dispositivo che riceve un pacchetto. Come l'indirizzo di origine, l'indirizzo MAC di destinazione si trova nell'intestazione Ethernet. Segui i passaggi seguenti per trovare un indirizzo MAC di destinazione in Wireshark:

1. Apri Wireshark e inizia a catturare i pacchetti.
   
2. Trova il pacchetto che desideri analizzare e osservane i dettagli nel riquadro dei dettagli.
   
3. Scegli "Frame" per ottenere più dati al riguardo.
   
4. Vai a "Ethernet". Vedrai "Sorgente", "Destinazione" e "Tipo".
   
5. Seleziona il campo "Destinazione" e visualizza l'indirizzo MAC di destinazione.
   

Come confermare un indirizzo MAC nel traffico Ethernet

Se stai risolvendo problemi di rete o desideri identificare il traffico dannoso, potresti voler verificare se un particolare pacchetto viene inviato dalla sorgente corretta e instradato alla destinazione corretta. Seguire le istruzioni seguenti per confermare un indirizzo MAC nel traffico Ethernet:

1. Visualizza l'indirizzo fisico del tuo computer usando ipconfig/ all o Getmac.
   
2. Visualizza i campi Origine e Destinazione nel traffico che hai acquisito e confronta l'indirizzo fisico del tuo computer con essi. Usa questi dati per verificare quali frame sono stati inviati o ricevuti dal tuo computer, a seconda di ciò che ti interessa.
   
3. Utilizzare arp-a per visualizzare la cache ARP (Address Resolution Protocol).
   
4. Trova l'indirizzo IP del gateway predefinito utilizzato nel prompt dei comandi e visualizza il suo indirizzo fisico. Controlla se l'indirizzo fisico del gateway corrisponde ad alcuni dei campi "Sorgente" e "Destinazione" nel traffico acquisito.
   
5. Completa l'attività chiudendo Wireshark. Se desideri eliminare il traffico acquisito, premi "Esci senza salvare".
   

Come filtrare un indirizzo MAC in Wireshark

Wireshark ti consente di utilizzare i filtri e passare rapidamente attraverso grandi quantità di informazioni. Ciò è particolarmente utile se c'è un problema con un determinato dispositivo. In Wireshark, puoi filtrare in base all'indirizzo MAC di origine o all'indirizzo MAC di destinazione.

Come filtrare per indirizzo MAC di origine in Wireshark

Se vuoi filtrare per indirizzo MAC di origine in Wireshark, ecco cosa devi fare:

1. Vai su Wireshark e trova il campo Filtro situato in alto.
   
2. Inserisci questa sintassi: "ether.src == macaddress". Sostituisci "macaddress" con l'indirizzo sorgente desiderato. Ricorda di non usare le virgolette quando applichi il filtro.
   

Come filtrare per indirizzo MAC di destinazione in Wireshark

Wireshark ti consente di filtrare per indirizzo MAC di destinazione. Ecco come farlo:

1. Avvia Wireshark e individua il campo Filtro nella parte superiore della finestra.
   
2. Immettere questa sintassi: "ether.dst == macaddress". Assicurati di sostituire "macaddress" con l'indirizzo di destinazione e ricorda di non utilizzare le virgolette quando applichi il filtro.
   

Altri filtri importanti in Wireshark

Invece di perdere ore a esaminare grandi quantità di informazioni, Wireshark ti consente di prendere una scorciatoia con i filtri.

ip.addr == xxxx

Questo è uno dei filtri più comunemente usati in Wireshark. Con questo filtro vengono visualizzati solo i pacchetti acquisiti contenenti l'indirizzo IP scelto.

Il filtro è particolarmente conveniente per chi vuole concentrarsi su un tipo di traffico.

Puoi filtrare per indirizzo IP di origine o di destinazione.

Se desideri filtrare per indirizzo IP di origine, usa questa sintassi: "ip.src == xxxx". Sostituisci "xxxx" con l'indirizzo IP desiderato e rimuovi le virgolette quando inserisci la sintassi nel campo.

Coloro che desiderano filtrare per indirizzo IP di origine devono inserire questa sintassi nel campo Filtro: "ip.dst == xxxx". Utilizzare l'indirizzo IP desiderato invece di "xxxx" e rimuovere le virgolette.

Se desideri filtrare più indirizzi IP, utilizza questa sintassi: "ip.addr == xxxx e ip.addr == yyyy".

ip.addr == xxxx && ip.addr == xxxx

Se desideri identificare e analizzare i dati tra due host o reti specifici, questo filtro può essere incredibilmente utile. Rimuoverà i dati non necessari e visualizzerà i risultati desiderati in pochi secondi.

http

Se desideri analizzare solo il traffico HTTP, inserisci "http" nella casella Filtro. Ricorda di non usare le virgolette quando applichi il filtro.

dns

Wireshark ti consente di filtrare i pacchetti catturati dal DNS. Tutto quello che devi fare per visualizzare solo il traffico DNS è inserire "dns" nel campo Filtro.

Se desideri risultati più specifici e visualizzi solo le query DNS, utilizza questa sintassi: "dns.flags.response == 0". Assicurati di non utilizzare le virgolette quando inserisci il filtro.

Se desideri filtrare le risposte DNS, utilizza questa sintassi: "dns.flags.response == 1".

il frame contiene traffico

Questo comodo filtro consente di filtrare i pacchetti contenenti la parola "traffico". È particolarmente utile per coloro che desiderano cercare un ID utente o una stringa specifici.

tcp.port == XXX

Puoi utilizzare questo filtro se desideri analizzare il traffico che entra o esce da una porta specifica.

ip.addr >= xxxx e ip.addr <= yyyy

Questo filtro Wireshark consente di visualizzare solo i pacchetti con un intervallo IP specifico. Si legge come "filtra indirizzi IP maggiori o uguali a xxxx e minori o uguali a yyyy" Sostituire "xxxx" e "yyyy" con gli indirizzi IP desiderati. Puoi anche usare "&&" invece di "e".

frame.time >= 12 agosto 2017 09:53:18 e frame.time <= 12 agosto 2017 17:53:18

Se desideri analizzare il traffico in entrata con un orario di arrivo specifico, puoi utilizzare questo filtro per ottenere le informazioni pertinenti. Tieni presente che queste sono solo date di esempio. Dovresti sostituirli con le date desiderate, a seconda di cosa vuoi analizzare.

!(sintassi del filtro)

Se si inserisce un punto esclamativo davanti a qualsiasi sintassi del filtro, la si escluderà dai risultati. Ad esempio, se digiti "!(ip.addr == 10.1.1.1)," vedrai tutti i pacchetti che non contengono questo indirizzo IP. Tieni presente che non dovresti usare le virgolette quando applichi il filtro.

Come salvare i filtri Wireshark

Se non usi spesso un particolare filtro in Wireshark, probabilmente te ne dimenticherai in tempo. Cercare di ricordare la sintassi corretta e perdere tempo a cercarla online può essere molto frustrante. Fortunatamente, Wireshark può aiutarti a prevenire tali scenari con due preziose opzioni.

La prima opzione è il completamento automatico e può essere utile per coloro che ricordano l'inizio del filtro. Ad esempio, puoi digitare "tcp" e Wireshark visualizzerà un elenco di filtri che iniziano con quella sequenza.

La seconda opzione sono i filtri per i segnalibri. Questa è un'opzione preziosa per coloro che usano spesso filtri complessi con una sintassi lunga. Ecco come aggiungere un segnalibro al filtro:

1. Apri Wireshark e premi l'icona del segnalibro. Puoi trovarlo sul lato sinistro del campo Filtro.
2. Seleziona "Gestisci filtri di visualizzazione".
3. Trova il filtro desiderato nell'elenco e premi il segno più per aggiungerlo.

La prossima volta che avrai bisogno di quel filtro, premi l'icona del segnalibro e trova il tuo filtro nell'elenco.

FAQ

Posso eseguire Wireshark su una rete pubblica?

Se ti stai chiedendo se l'esecuzione di Wireshark su una rete pubblica sia legale, la risposta è sì. Ma ciò non significa che dovresti eseguire Wireshark su qualsiasi rete. Assicurati di leggere i termini e le condizioni della rete che desideri utilizzare. Se la rete proibisce l'uso di Wireshark e continui a eseguirlo, potresti essere bandito dalla rete o addirittura citato in giudizio.

Wireshark non morde

Dalla risoluzione dei problemi delle reti al tracciamento delle connessioni e all'analisi del traffico, Wireshark ha molti usi. Con questa piattaforma, puoi trovare un indirizzo MAC specifico in pochi clic. Poiché la piattaforma è gratuita e disponibile su più sistemi operativi, milioni di persone in tutto il mondo apprezzano le sue convenienti opzioni.

Per cosa usi Wireshark? Qual è la tua opzione preferita? Raccontacelo nella sezione commenti qui sotto.