Comment trouver l'adresse MAC avec Wireshark

Comment trouver l'adresse MAC avec Wireshark

En tant qu'analyseur de paquets gratuits et open-source, Wireshark propose de nombreuses fonctionnalités pratiques. L'un d'eux consiste à trouver des adresses de contrôle d'accès aux médias (Mac), qui peuvent vous dire plus d'informations sur les différents paquets sur un réseau.

Si vous êtes nouveau sur Wireshark et que vous ne savez pas comment trouver des adresses MAC, vous êtes venu au bon endroit. Ici, nous vous en dirons plus sur les adresses MAC, expliquez pourquoi elles sont utiles et fournissent des étapes pour les trouver.

Qu'est-ce qu'une adresse MAC?

Une adresse MAC est un identifiant unique affecté aux appareils réseau comme les ordinateurs, les commutateurs et les routeurs. Ces adresses sont généralement attribuées par le fabricant et sont représentées comme six groupes de deux chiffres hexadécimaux.

Qu'est-ce qu'une adresse MAC utilisée pour Wireshark?

Le rôle principal d'une adresse MAC est de marquer la source et la destination d'un paquet. Vous pouvez également les utiliser pour suivre le chemin d'un paquet spécifique via un réseau, surveiller le trafic Web, identifier l'activité malveillante et analyser les protocoles de réseau.

Wireshark Comment trouver l'adresse MAC

Trouver l'adresse MAC dans Wireshark est relativement facile. Ici, nous vous montrerons comment trouver une adresse MAC source et une adresse MAC de destination dans Wireshark.

Comment trouver une adresse MAC source dans Wireshark

Une adresse MAC source est l'adresse de l'appareil envoyant le paquet, et vous pouvez généralement le voir dans l'en-tête Ethernet du paquet. Avec l'adresse MAC source, vous pouvez suivre le chemin d'un paquet à travers le réseau et identifier la source de chaque paquet.

Vous pouvez trouver l'adresse MAC source d'un paquet dans l'onglet Ethernet. Voici comment y arriver:

  1. Open Wireshark et capture des paquets.
  2. Sélectionnez le paquet qui vous intéresse et affichez ses détails.
  3. Sélectionnez et développez «Frame» pour obtenir plus d'informations sur le paquet.
  4. Accédez à l'en-tête «Ethernet» pour afficher les détails Ethernet.
  5. Sélectionnez le champ «Source». Ici, vous verrez l'adresse MAC source.

Comment trouver une adresse MAC de destination dans Wireshark

Une adresse MAC de destination représente l'adresse de l'appareil recevant un paquet. Comme l'adresse source, l'adresse MAC de destination est située dans l'en-tête Ethernet. Suivez les étapes ci-dessous pour trouver une adresse MAC de destination dans Wireshark:

  1. Ouvrez Wireshark et commencez à capturer des paquets.
  2. Trouvez le paquet que vous souhaitez analyser et observer ses détails dans le volet détaillé.
  3. Choisissez «Frame» pour obtenir plus de données à ce sujet.
  4. Aller à «Ethernet.«Vous verrez« Source »,« Destination »et« Type."
  5. Sélectionnez le champ «Destination» et affichez l'adresse MAC de destination.

Comment confirmer une adresse MAC dans le trafic Ethernet

Si vous résumez les problèmes de réseau ou si vous souhaitez identifier le trafic malveillant, vous voudrez peut-être vérifier si un paquet particulier est envoyé à partir de la bonne source et acheminé vers la bonne destination. Suivez les instructions ci-dessous pour confirmer une adresse MAC dans le trafic Ethernet:

  1. Affichez l'adresse physique de votre ordinateur à l'aide d'IPConfig / All ou GetMac.
  2. Consultez les champs source et de destination dans le trafic que vous avez capturé et comparez l'adresse physique de votre ordinateur. Utilisez ces données pour vérifier les trames envoyées ou reçues par votre ordinateur, selon ce qui vous intéresse.
  3. Utilisez ARP-A pour voir le cache Protocole de résolution d'adresses (ARP).
  4. Trouvez l'adresse IP de la passerelle par défaut utilisée dans l'invite de commande et affichez son adresse physique. Vérifiez si l'adresse physique de la passerelle correspond à certains des champs «source» et «destination» dans le trafic capturé.
  5. Terminer l'activité en fermant Wireshark. Si vous souhaitez jeter le trafic capturé, appuyez sur «Arrêtez sans économiser."

Comment filtrer une adresse MAC dans Wireshark

Wireshark vous permet d'utiliser des filtres et de passer par de grandes quantités d'informations rapidement. Ceci est particulièrement utile s'il y a un problème avec un certain appareil. Dans Wireshark, vous pouvez filtrer par l'adresse MAC source ou l'adresse MAC de destination.

Comment filtrer par l'adresse MAC source dans Wireshark

Si vous souhaitez filtrer par adresse MAC source dans Wireshark, voici ce que vous devez faire:

  1. Allez à Wireshark et trouvez le champ de filtre situé en haut.
  2. Entrez cette syntaxe: «Ether.src == macaddress ». Remplacez «Macaddress» par l'adresse source souhaitée. N'oubliez pas de ne pas utiliser les marques de devis lors de l'application du filtre.

Comment filtrer par adresse MAC de destination dans Wireshark

Wireshark vous permet de filtrer par adresse MAC de destination. Voici comment le faire:

  1. Lancez Wireshark et localisez le champ de filtre en haut de la fenêtre.
  2. Entrez cette syntaxe: «Ether.dst == macaddress ». Assurez-vous de remplacer «MacAddress» par l'adresse de destination et n'oubliez pas de ne pas utiliser les marques de devis lors de l'application du filtre.

Autres filtres importants à Wireshark

Au lieu de perdre des heures à passer par de grandes quantités d'informations, Wireshark vous permet de prendre un raccourci avec des filtres.

IP.addr == x.X.X.X

C'est l'un des filtres les plus couramment utilisés dans Wireshark. Avec ce filtre, vous affichez uniquement des packages capturés contenant l'adresse IP choisie.

Le filtre est particulièrement pratique pour ceux qui souhaitent se concentrer sur un type de trafic.

Vous pouvez filtrer par adresse IP source ou destination.

Si vous souhaitez filtrer par adresse IP source, utilisez cette syntaxe: «IP.src == x.X.X.X". Remplacer «x.X.X.x ”avec l'adresse IP souhaitée et supprimer les marques de devis lors de la saisie de la syntaxe dans le champ.

Ceux qui souhaitent filtrer par l'adresse IP source doivent entrer cette syntaxe dans le champ Filtre: «IP.dst == x.X.X.X". Utilisez l'adresse IP souhaitée au lieu de «x.X.X.x ”et supprimer les marques de devis.

Si vous souhaitez filtrer plusieurs adresses IP, utilisez cette syntaxe: «IP.addr == x.X.X.X et IP.addr == y.y.y.y ".

IP.addr == x.X.X.x && ip.addr == x.X.X.X

Si vous souhaitez identifier et analyser les données entre deux hôtes ou réseaux spécifiques, ce filtre peut être incroyablement utile. Il supprimera les données inutiles et affichera les résultats souhaités en quelques secondes seulement.

http

Si vous souhaitez analyser uniquement le trafic HTTP, entrez «HTTP» dans la zone de filtre. N'oubliez pas de ne pas utiliser les marques de devis lors de l'application du filtre.

DNS

Wireshark vous permet de filtrer les paquets capturés par DNS. Tout ce que vous avez à faire pour afficher uniquement le trafic DNS est de saisir «DNS» dans le champ Filtre.

Si vous voulez des résultats plus spécifiques et affichez uniquement les requêtes DNS, utilisez cette syntaxe: «DNS.drapeaux.réponse == 0 ”. Assurez-vous de ne pas utiliser les marques de devis lors de la saisie du filtre.

Si vous souhaitez filtrer les réponses DNS, utilisez cette syntaxe: «DNS.drapeaux.réponse == 1 ”.

Le cadre contient du trafic

Ce filtre pratique vous permet de filtrer les paquets contenant le mot «trafic."Il est particulièrement utile pour ceux qui souhaitent rechercher un ID utilisateur ou une chaîne spécifique.

TCP.port == xxx

Vous pouvez utiliser ce filtre si vous souhaitez analyser le trafic qui entre ou hors d'un port spécifique.

IP.addr> = x.X.X.X et IP.addr <= y.y.y.y

Ce filtre Wireshark vous permet d'afficher uniquement des paquets avec une plage IP spécifique. Il se lit comme «Filtre les adresses IP supérieures ou égales à x.X.X.x et inférieur ou égal à y.y.y.y."Remplacez" x.X.X.x ”et« y.y.y.y ”avec les adresses IP souhaitées. Vous pouvez également utiliser «&&» au lieu de «et."

cadre.Temps> = 12 août 2017 09:53:18 et cadre.temps <= August 12, 2017 17:53:18

Si vous souhaitez analyser le trafic entrant avec une heure d'arrivée spécifique, vous pouvez utiliser ce filtre pour obtenir les informations pertinentes. Gardez à l'esprit que ce ne sont que des dates d'exemples. Vous devez les remplacer par les dates souhaitées, selon ce que vous souhaitez analyser.

!(Syntaxe de filtre)

Si vous placez une marque d'exclamation devant toute syntaxe de filtre, vous l'excluerez des résultats. Par exemple, si vous tapez "!(IP.addr == 10.1.1.1), "Vous verrez tous les paquets qui ne contiennent pas cette adresse IP. Gardez à l'esprit que vous ne devez pas utiliser les marques de devis lors de l'application du filtre.

Comment enregistrer les filtres Wireshark

Si vous n'utilisez pas souvent un filtre particulier à Wireshark, vous l'oublierez probablement à temps. Essayer de se souvenir de la syntaxe correcte et de perdre du temps à le rechercher en ligne peut être très frustrant. Heureusement, Wireshark peut vous aider à empêcher de tels scénarios avec deux options précieuses.

La première option est la complétion automatique, et elle peut être utile pour ceux qui se souviennent du début du filtre. Par exemple, vous pouvez taper «TCP» et Wireshark affichera une liste de filtres à commencer par cette séquence.

La deuxième option est les filtres en signet. Il s'agit d'une option inestimable pour ceux qui utilisent souvent des filtres complexes avec une longue syntaxe. Voici comment mettre votre filtre en signet:

  1. Ouvrez Wireshark et appuyez sur l'icône de signet. Vous pouvez le trouver sur le côté gauche du champ de filtre.
  2. Sélectionnez «Gérer les filtres d'affichage."
  3. Trouvez le filtre souhaité sur la liste et appuyez sur le signe plus pour l'ajouter.

La prochaine fois que vous aurez besoin de ce filtre, appuyez sur l'icône de signet et trouvez votre filtre sur la liste.

FAQ

Puis-je exécuter Wireshark sur un réseau public?

Si vous vous demandez si l'exécution de Wireshark sur un réseau public est légale, la réponse est oui. Mais cela ne signifie pas que vous devriez exécuter Wireshark sur n'importe quel réseau. Assurez-vous de lire les termes et conditions du réseau que vous souhaitez utiliser. Si le réseau interdit l'utilisation de Wireshark et que vous l'exécutez toujours, vous pourriez être interdit du réseau ou même poursuivi.

Wireshark ne mord pas

Du dépannage des réseaux au traçage des connexions et à l'analyse du trafic, Wireshark a de nombreuses utilisations. Avec cette plate-forme, vous pouvez trouver une adresse MAC spécifique en quelques clics seulement. Étant donné que la plate-forme est gratuite et disponible sur plusieurs systèmes d'exploitation, des millions de personnes dans le monde profitent de ses options pratiques.

Pour quoi utilisez-vous Wireshark? Quelle est votre option préférée? Dites-nous dans la section commentaires ci-dessous.