Cách tìm địa chỉ MAC với WireShark

Là một công cụ phân tích gói mã nguồn mở và miễn phí, Wireshark cung cấp nhiều tính năng tiện lợi. Một trong số đó là tìm địa chỉ điều khiển truy cập phương tiện (MAC), địa chỉ này có thể cho bạn biết thêm thông tin về các gói khác nhau trên mạng.

Nếu bạn chưa quen với Wireshark và không biết cách tìm địa chỉ MAC, bạn đã đến đúng nơi. Tại đây, chúng tôi sẽ cho bạn biết thêm về địa chỉ MAC, giải thích lý do tại sao chúng hữu ích và cung cấp các bước tìm kiếm chúng.

Địa chỉ MAC là gì?

Địa chỉ MAC là mã định danh duy nhất được gán cho các thiết bị mạng như máy tính, bộ chuyển mạch và bộ định tuyến. Các địa chỉ này thường được chỉ định bởi nhà sản xuất và được biểu diễn dưới dạng sáu nhóm gồm hai chữ số thập lục phân.

Địa chỉ MAC được sử dụng để làm gì trong Wireshark?

Vai trò chính của địa chỉ MAC là đánh dấu nguồn và đích của gói tin. Bạn cũng có thể sử dụng chúng để theo dõi đường dẫn của một gói cụ thể qua mạng, giám sát lưu lượng truy cập web, xác định hoạt động độc hại và phân tích các giao thức mạng.

Wireshark Cách tìm địa chỉ MAC

Tìm địa chỉ MAC trong Wireshark tương đối dễ dàng. Tại đây, chúng tôi sẽ chỉ cho bạn cách tìm địa chỉ MAC nguồn và địa chỉ MAC đích trong Wireshark.

Cách tìm địa chỉ MAC nguồn trong Wireshark

Địa chỉ MAC nguồn là địa chỉ của thiết bị gửi gói và bạn thường có thể thấy nó trong tiêu đề Ethernet của gói. Với địa chỉ MAC nguồn, bạn có thể theo dõi đường dẫn của gói thông qua mạng và xác định nguồn của từng gói.

Bạn có thể tìm địa chỉ MAC nguồn của gói trong tab Ethernet. Đây là cách để đạt được nó:

1. Mở Wireshark và chụp các gói.
   
2. Chọn gói bạn quan tâm và hiển thị chi tiết của nó.
   
3. Chọn và mở rộng “Khung” để có thêm thông tin về gói.
   
4. Chuyển đến tiêu đề “Ethernet” để xem chi tiết Ethernet.
   
5. Chọn trường “Nguồn”. Tại đây, bạn sẽ thấy địa chỉ MAC nguồn.
   

Cách tìm địa chỉ MAC đích trong Wireshark

Địa chỉ MAC đích đại diện cho địa chỉ của thiết bị nhận gói tin. Giống như địa chỉ nguồn, địa chỉ MAC đích nằm trong tiêu đề Ethernet. Thực hiện theo các bước bên dưới để tìm địa chỉ MAC đích trong Wireshark:

1. Mở Wireshark và bắt đầu chụp các gói.
   
2. Tìm gói bạn muốn phân tích và quan sát chi tiết của nó trong ngăn chi tiết.
   
3. Chọn “Khung” để có thêm dữ liệu về nó.
   
4. Chuyển đến “Ethernet”. Bạn sẽ thấy “Nguồn”, “Đích” và “Loại”.
   
5. Chọn trường “Destination” và xem địa chỉ MAC đích.
   

Cách xác nhận địa chỉ MAC trong lưu lượng Ethernet

Nếu bạn đang khắc phục sự cố mạng hoặc muốn xác định lưu lượng độc hại, bạn có thể muốn kiểm tra xem một gói cụ thể có được gửi từ đúng nguồn và được định tuyến đến đúng đích hay không. Thực hiện theo các hướng dẫn bên dưới để xác nhận địa chỉ MAC trong lưu lượng Ethernet:

1. Hiển thị địa chỉ thực của máy tính bằng cách sử dụng ipconfig/all hoặc Getmac.
   
2. Xem các trường Nguồn và Đích trong lưu lượng truy cập bạn đã nắm bắt và so sánh địa chỉ thực của máy tính với chúng. Sử dụng dữ liệu này để kiểm tra xem máy tính của bạn đã gửi hoặc nhận những khung hình nào, tùy thuộc vào những gì bạn quan tâm.
   
3. Sử dụng arp-a để xem bộ đệm Giao thức phân giải địa chỉ (ARP).
   
4. Tìm địa chỉ IP của cổng mặc định được sử dụng trong dấu nhắc lệnh và xem địa chỉ vật lý của nó. Kiểm tra xem địa chỉ thực của cổng có khớp với một số trường “Nguồn” và “Đích” trong lưu lượng truy cập đã thu được hay không.
   
5. Hoàn thành hoạt động bằng cách đóng Wireshark. Nếu bạn muốn loại bỏ lưu lượng truy cập đã chụp, hãy nhấn “Thoát mà không lưu”.
   

Cách lọc địa chỉ MAC trong Wireshark

Wireshark cho phép bạn sử dụng các bộ lọc và xem qua một lượng lớn thông tin một cách nhanh chóng. Điều này đặc biệt hữu ích nếu có sự cố với một thiết bị nhất định. Trong Wireshark, bạn có thể lọc theo địa chỉ MAC nguồn hoặc địa chỉ MAC đích.

Cách lọc theo địa chỉ MAC nguồn trong Wireshark

Nếu bạn muốn lọc theo địa chỉ MAC nguồn trong Wireshark, đây là những gì bạn cần làm:

1. Truy cập Wireshark và tìm trường Bộ lọc nằm ở trên cùng.
   
2. Nhập cú pháp này: “ether.src == macaddress”. Thay thế “macaddress” bằng địa chỉ nguồn mong muốn. Hãy nhớ không sử dụng dấu ngoặc kép khi áp dụng bộ lọc.
   

Cách lọc theo địa chỉ MAC đích trong Wireshark

Wireshark cho phép bạn lọc theo địa chỉ MAC đích. Đây là cách thực hiện:

cách hiển thị fps và ping trong lol

1. Khởi chạy Wireshark và tìm trường Bộ lọc ở đầu cửa sổ.
   
2. Nhập cú pháp này: “ether.dst == macaddress”. Đảm bảo thay thế “macaddress” bằng địa chỉ đích và nhớ không sử dụng dấu ngoặc kép khi áp dụng bộ lọc.
   

Các bộ lọc quan trọng khác trong Wireshark

Thay vì lãng phí hàng giờ để xem qua một lượng lớn thông tin, Wireshark cho phép bạn đi tắt bằng các bộ lọc.

ip.addr == x.x.x.x

Đây là một trong những bộ lọc được sử dụng phổ biến nhất trong Wireshark. Với bộ lọc này, bạn chỉ hiển thị các gói đã chụp có chứa địa chỉ IP đã chọn.

Bộ lọc đặc biệt thuận tiện cho những ai muốn tập trung vào một loại lưu lượng truy cập.

Bạn có thể lọc theo địa chỉ IP nguồn hoặc đích.

Nếu bạn muốn lọc theo địa chỉ IP nguồn, hãy sử dụng cú pháp sau: “ip.src == x.x.x.x”. Thay thế “x.x.x.x” bằng địa chỉ IP mong muốn và xóa dấu ngoặc kép khi nhập cú pháp vào trường.

Những người muốn lọc theo địa chỉ IP nguồn nên nhập cú pháp này vào trường Bộ lọc: “ip.dst == x.x.x.x”. Sử dụng địa chỉ IP mong muốn thay vì “x.x.x.x” và xóa dấu ngoặc kép.

Nếu bạn muốn lọc nhiều địa chỉ IP, hãy sử dụng cú pháp sau: “ip.addr == x.x.x.x và ip.addr == y.y.y.y”.

ip.addr == x.x.x.x && ip.addr == x.x.x.x

Nếu bạn muốn xác định và phân tích dữ liệu giữa hai máy chủ hoặc mạng cụ thể, bộ lọc này có thể cực kỳ hữu ích. Nó sẽ xóa dữ liệu không cần thiết và hiển thị kết quả mong muốn chỉ sau vài giây.

http

Nếu bạn chỉ muốn phân tích lưu lượng HTTP, hãy nhập “http” vào hộp Bộ lọc. Hãy nhớ không sử dụng dấu ngoặc kép khi áp dụng bộ lọc.

Google Photos hiện đã chuyển đổi sang JPG

dns

Wireshark cho phép bạn lọc các gói đã chụp bằng DNS. Tất cả những gì bạn phải làm để chỉ xem lưu lượng DNS là nhập “dns” vào trường Bộ lọc.

Nếu bạn muốn có kết quả cụ thể hơn và chỉ hiển thị các truy vấn DNS, hãy sử dụng cú pháp sau: “dns.flags.response == 0”. Đảm bảo không sử dụng dấu ngoặc kép khi nhập bộ lọc.

Nếu bạn muốn lọc các phản hồi DNS, hãy sử dụng cú pháp sau: “dns.flags.response == 1”.

khung chứa lưu lượng truy cập

Bộ lọc tiện lợi này cho phép bạn lọc các gói có chứa từ “lưu lượng truy cập”. Nó đặc biệt có giá trị đối với những người muốn tìm kiếm một chuỗi hoặc ID người dùng cụ thể.

tcp.port == XXX

Bạn có thể sử dụng bộ lọc này nếu muốn phân tích lưu lượng truy cập vào hoặc ra khỏi một cổng cụ thể.

cách lật hình ảnh trong gimp

ip.addr >= x.x.x.x và ip.addr <= y.y.y.y

Bộ lọc Wireshark này cho phép bạn chỉ hiển thị các gói có dải IP cụ thể. Nó đọc là “lọc địa chỉ IP lớn hơn hoặc bằng x.x.x.x và nhỏ hơn hoặc bằng y.y.y.y.” Thay thế “x.x.x.x” và “y.y.y.y” bằng các địa chỉ IP mong muốn. Bạn cũng có thể sử dụng “&&” thay vì “và”.

frame.time >= ngày 12 tháng 8 năm 2017 09:53:18 và frame.time <= ngày 12 tháng 8 năm 2017 17:53:18

Nếu bạn muốn phân tích lưu lượng truy cập đến với thời gian đến cụ thể, bạn có thể sử dụng bộ lọc này để lấy thông tin liên quan. Hãy nhớ rằng đây chỉ là những ngày ví dụ. Bạn nên thay thế chúng bằng những ngày mong muốn, tùy thuộc vào những gì bạn muốn phân tích.

!(cú pháp lọc)

Nếu bạn đặt dấu chấm than trước bất kỳ cú pháp bộ lọc nào, bạn sẽ loại trừ cú pháp đó khỏi kết quả. Ví dụ: nếu bạn nhập “!(ip.addr == 10.1.1.1),” bạn sẽ thấy tất cả các gói không chứa địa chỉ IP này. Hãy nhớ rằng bạn không nên sử dụng dấu ngoặc kép khi áp dụng bộ lọc.

Cách lưu bộ lọc Wireshark

Nếu bạn không thường xuyên sử dụng một bộ lọc cụ thể trong Wireshark, bạn có thể sẽ quên nó theo thời gian. Cố gắng nhớ đúng cú pháp và lãng phí thời gian tìm kiếm trực tuyến có thể rất khó chịu. May mắn thay, Wireshark có thể giúp bạn ngăn chặn những tình huống như vậy với hai tùy chọn hữu ích.

Tùy chọn đầu tiên là tự động hoàn thành và nó có thể hữu ích cho những người nhớ phần đầu của bộ lọc. Ví dụ: bạn có thể nhập “tcp” và Wireshark sẽ hiển thị danh sách các bộ lọc bắt đầu bằng chuỗi đó.

Tùy chọn thứ hai là bộ lọc đánh dấu trang. Đây là một tùy chọn vô giá cho những người thường sử dụng các bộ lọc phức tạp với cú pháp dài. Đây là cách đánh dấu bộ lọc của bạn:

1. Mở Wireshark và nhấn vào biểu tượng dấu trang. Bạn có thể tìm thấy nó ở phía bên trái của trường Bộ lọc.
2. Chọn “Quản lý bộ lọc hiển thị”.
3. Tìm bộ lọc mong muốn trong danh sách và nhấn dấu cộng để thêm bộ lọc đó.

Lần tới khi bạn cần bộ lọc đó, hãy nhấn vào biểu tượng dấu trang và tìm bộ lọc của bạn trong danh sách.

Câu hỏi thường gặp

Tôi có thể chạy Wireshark trên mạng công cộng không?

Nếu bạn đang tự hỏi liệu việc chạy Wireshark trên mạng công cộng có hợp pháp hay không, thì câu trả lời là có. Tuy nhiên, điều đó không có nghĩa là bạn nên chạy Wireshark trên bất kỳ mạng nào. Đảm bảo đọc các điều khoản và điều kiện của mạng mà bạn muốn sử dụng. Nếu mạng cấm sử dụng Wireshark mà bạn vẫn chạy nó, bạn có thể bị cấm sử dụng mạng hoặc thậm chí bị kiện.

Wireshark không cắn

Từ khắc phục sự cố mạng đến theo dõi kết nối và phân tích lưu lượng, Wireshark có nhiều công dụng. Với nền tảng này, bạn có thể tìm thấy một địa chỉ MAC cụ thể chỉ sau vài cú nhấp chuột. Vì nền tảng này miễn phí và có sẵn trên nhiều hệ điều hành nên hàng triệu người trên toàn thế giới tận hưởng các tùy chọn tiện lợi của nó.

Bạn sử dụng Wireshark để làm gì? lựa chọn yêu thích của bạn là gì? Hãy cho chúng tôi biết trong phần bình luận bên dưới.