So finden Sie eine MAC-Adresse mit WireShark

Als kostenloser und quelloffener Paketanalysator bietet Wireshark viele praktische Funktionen. Eine davon ist das Auffinden von MAC-Adressen (Media Access Control), die Ihnen mehr Informationen über verschiedene Pakete im Netzwerk liefern können.

So finden Sie eine MAC-Adresse mit WireShark

Wenn Sie neu bei Wireshark sind und nicht wissen, wie Sie MAC-Adressen finden, sind Sie hier genau richtig. Hier erzählen wir Ihnen mehr über MAC-Adressen, erklären, warum sie nützlich sind, und geben Ihnen Schritte, um sie zu finden.

Was ist eine MAC-Adresse?

Eine MAC-Adresse ist eine eindeutige Kennung, die Netzwerkgeräten wie Computern, Switches und Routern zugewiesen wird. Diese Adressen werden normalerweise vom Hersteller vergeben und als sechs Gruppen von zwei Hexadezimalziffern dargestellt.

Wofür wird eine MAC-Adresse in Wireshark verwendet?

Die Hauptaufgabe der MAC-Adresse besteht darin, die Quelle und das Ziel des Pakets zu markieren. Sie können sie auch verwenden, um den Pfad eines bestimmten Pakets durch ein Netzwerk zu verfolgen, den Webverkehr zu überwachen, schädliche Aktivitäten zu identifizieren und Netzwerkprotokolle zu analysieren.

Wireshark So finden Sie die MAC-Adresse

Das Auffinden einer MAC-Adresse in Wireshark ist relativ einfach. Hier zeigen wir Ihnen, wie Sie die Quell-MAC-Adresse und die Ziel-MAC-Adresse in Wireshark finden.

So finden Sie die Quell-MAC-Adresse in Wireshark

Die Quell-MAC-Adresse ist die Adresse des Geräts, das das Paket sendet, und Sie können sie normalerweise im Ethernet-Header des Pakets sehen. Anhand der Quell-MAC-Adresse können Sie den Pfad von Paketen durch das Netzwerk verfolgen und die Quelle jedes Pakets identifizieren.

Die ursprüngliche MAC-Adresse des Pakets finden Sie auf der Registerkarte Ethernet. So gelangen Sie dorthin:

  1. Öffnen Sie Wireshark und erfassen Sie die Pakete.
  2. Wählen Sie das Paket aus, an dem Sie interessiert sind, und sehen Sie sich die Details an.
  3. Wählen und erweitern Sie den „Rahmen“, um weitere Informationen über das Paket zu erhalten.
  4. Gehen Sie zur Kopfzeile „Ethernet“, um Ethernet-Details anzuzeigen.
  5. Wählen Sie das Feld „Quelle“ aus. Hier sehen Sie die ursprüngliche MAC-Adresse.

So finden Sie die Ziel-MAC-Adresse in Wireshark

Die Ziel-MAC-Adresse stellt die Adresse des Geräts dar, das das Paket empfängt. Wie die Quelladresse steht auch die Ziel-MAC-Adresse im Ethernet-Header. Führen Sie die folgenden Schritte aus, um die Ziel-MAC-Adresse in Wireshark zu finden:

  1. Öffnen Sie Wireshark und beginnen Sie mit der Paketerfassung.
  2. Suchen Sie das Paket, das Sie analysieren möchten, und zeigen Sie seine Details im Detailbereich an.
  3. Wählen Sie “Rahmen”, um weitere Informationen darüber zu erhalten.
  4. Gehen Sie auf „Ethernet“. Sie sehen „Quelle“, „Ziel“ und „Typ“.
  5. Wählen Sie das Feld „Ziel“ und sehen Sie sich die Ziel-MAC-Adresse an.

So bestätigen Sie die MAC-Adresse im Ethernet-Verkehr

Wenn Sie Netzwerkprobleme beheben oder schädlichen Datenverkehr identifizieren möchten, möchten Sie möglicherweise überprüfen, ob ein bestimmtes Paket von der richtigen Quelle gesendet und an das richtige Ziel geleitet wird. Befolgen Sie die nachstehenden Anweisungen, um die MAC-Adresse im Ethernet-Verkehr zu bestätigen:

  1. Zeigen Sie die physische Adresse Ihres Computers mit ipconfig/all oder Getmac an.
  2. Überprüfen Sie die Felder „Quelle“ und „Ziel“ im aufgezeichneten Datenverkehr und vergleichen Sie die physische Adresse Ihres Computers damit. Verwenden Sie diese Daten, um zu überprüfen, welche Frames Ihr Computer gesendet oder empfangen hat, je nachdem, was Sie interessiert.
  3. Verwenden Sie arp, um den Address Resolution Protocol (ARP)-Cache anzuzeigen.
  4. Suchen Sie die IP-Adresse des Standard-Gateways, das in der Befehlszeile verwendet wird, und sehen Sie sich seine physische Adresse an. Vergewissern Sie sich, dass die physische Adresse des Gateways mit einem der Felder „Quelle“ und „Ziel“ im aufgezeichneten Datenverkehr übereinstimmt.
  5. Schließen Sie die Aktivität ab, indem Sie Wireshark schließen. Wenn Sie den aufgezeichneten Verkehr verwerfen möchten, drücken Sie „Abbrechen ohne Speichern“.

So filtern Sie eine MAC-Adresse in Wireshark

Mit Wireshark können Sie Filter verwenden und große Informationsmengen schnell durchgehen. Dies ist besonders nützlich, wenn es ein Problem mit einem bestimmten Gerät gibt. In Wireshark können Sie nach Quell-MAC-Adresse oder Ziel-MAC-Adresse filtern.

So filtern Sie in Wireshark nach der Quell-MAC-Adresse

Wenn Sie in Wireshark nach der Quell-MAC-Adresse filtern möchten, müssen Sie Folgendes tun:

  1. Gehen Sie zu Wireshark und suchen Sie oben nach dem Filterfeld.
  2. Geben Sie diese Syntax ein: „ether.src == MAC-Adresse“. Ersetzen Sie “macaddress” durch Ihre gewünschte Quelladresse. Denken Sie daran, beim Anwenden eines Filters keine Anführungszeichen zu verwenden.

So filtern Sie in Wireshark nach der Ziel-MAC-Adresse

Mit Wireshark können Sie nach Ziel-MAC-Adresse filtern. So geht’s:

  1. Starten Sie Wireshark und suchen Sie das Filterfeld oben im Fenster.
  2. Geben Sie diese Syntax ein: „ether.dst == MAC-Adresse“. Achten Sie darauf, „macaddress“ durch die Zieladresse zu ersetzen, und denken Sie daran, beim Anwenden des Filters keine Anführungszeichen zu verwenden.

Weitere wichtige Filter in Wireshark

Anstatt Stunden damit zu verschwenden, große Informationsmengen zu durchsuchen, können Sie mit Wireshark eine Verknüpfung mit Filtern verwenden.

ip.adr == xxxx

Dies ist einer der am häufigsten verwendeten Filter in Wireshark. Mit diesem Filter zeigen Sie nur aufgezeichnete Pakete an, die die ausgewählte IP-Adresse enthalten.

Der Filter eignet sich besonders für diejenigen, die sich auf eine Art von Verkehr konzentrieren möchten.

Sie können nach Quell- oder Ziel-IP-Adresse filtern.

Wenn Sie nach der Quell-IP-Adresse filtern möchten, verwenden Sie diese Syntax: „ip.src == xxxx“. Ersetzen Sie „xxxx“ durch die gewünschte IP-Adresse und entfernen Sie die Anführungszeichen bei der Eingabe der Syntax in das Feld.

Wer nach Quell-IP-Adresse filtern möchte, sollte im Feld Filter diese Syntax eingeben: „ip.dst == xxxx“. Verwenden Sie statt „xxxx“ die gewünschte IP-Adresse und entfernen Sie die Anführungszeichen.

Wenn Sie mehrere IP-Adressen filtern möchten, verwenden Sie diese Syntax: „ip.addr == xxxx and ip.addr == yyyy“.

ip.addr == xxxx && ip.addr == xxxx

Wenn Sie Daten zwischen zwei bestimmten Computern oder Netzwerken identifizieren und analysieren möchten, kann dieser Filter unglaublich hilfreich sein. Es entfernt unnötige Daten und zeigt die gewünschten Ergebnisse in nur wenigen Sekunden an.

http

Wenn Sie nur den HTTP-Verkehr analysieren möchten, geben Sie „http“ in das Feld „Filter“ ein. Denken Sie daran, beim Anwenden eines Filters keine Anführungszeichen zu verwenden.

DNS

Mit Wireshark können Sie erfasste Pakete per DNS filtern. Alles, was Sie tun müssen, um nur den DNS-Verkehr zu sehen, ist „dns“ in das Filterfeld einzugeben.

Wenn Sie genauere Ergebnisse wünschen und nur DNS-Anfragen anzeigen möchten, verwenden Sie diese Syntax: „dns.flags.response == 0“. Achten Sie darauf, bei der Eingabe des Filters keine Anführungszeichen zu verwenden.

Wenn Sie DNS-Antworten filtern möchten, verwenden Sie diese Syntax: „dns.flags.response == 1“.

Rahmen enthält Verkehr

Mit diesem praktischen Filter können Sie Pakete filtern, die das Wort „Verkehr“ enthalten. Es ist besonders wertvoll für diejenigen, die nach einer bestimmten Benutzer-ID oder Zeichenfolge suchen möchten.

tcp.port == XXX

Sie können diesen Filter verwenden, wenn Sie Datenverkehr analysieren möchten, der einen bestimmten Port erreicht oder verlässt.

ip.addr >= xxxx und ip.addr <= yyyy

Dieser Wireshark-Filter lässt zu, dass nur Pakete mit einem bestimmten IP-Bereich angezeigt werden. Liest sich als „IP-Adressen filtern, die größer oder gleich xxxx und kleiner oder gleich yyyy sind“. Ersetzen Sie „xxxx“ und „yyyy“ durch die gewünschten IP-Adressen. Sie können statt “i” auch “&&” verwenden.

frame.time >= 12. August 2017 09:53:18 und frame.time <= 12. August 2017 17:53:18

Wenn Sie eingehenden Verkehr mit einer bestimmten Ankunftszeit analysieren möchten, können Sie diesen Filter verwenden, um relevante Informationen zu erhalten. Beachten Sie, dass dies nur Beispieldaten sind. Sie sollten sie durch die gewünschten Daten ersetzen, je nachdem, was Sie analysieren möchten.

!(Filtersyntax)

Wenn Sie ein Ausrufezeichen vor die Syntax eines Filters setzen, wird dieser von den Ergebnissen ausgeschlossen. Wenn Sie beispielsweise „!(ip.addr == 10.1.1.1)“ eingeben, sehen Sie alle Pakete, die diese IP-Adresse nicht enthalten. Beachten Sie, dass Sie beim Anwenden eines Filters keine Anführungszeichen verwenden sollten.

So speichern Sie Wireshark-Filter

Wenn Sie einen bestimmten Filter in Wireshark nicht oft verwenden, werden Sie ihn wahrscheinlich mit der Zeit vergessen. Es kann sehr frustrierend sein, sich an die korrekte Syntax zu erinnern und Zeit damit zu verschwenden, sie online nachzuschlagen. Glücklicherweise kann Wireshark Ihnen mit zwei wertvollen Optionen helfen, solche Szenarien zu verhindern.

Die erste Option ist die automatische Vervollständigung und kann für diejenigen nützlich sein, die sich an den Anfang des Filters erinnern. Sie können beispielsweise „tcp“ eingeben und Wireshark zeigt eine Liste von Filtern an, die mit dieser Zeichenfolge beginnen.

Eine weitere Option ist das Taggen von Filtern. Dies ist eine unschätzbare Option für diejenigen, die häufig komplexe Filter mit langer Syntax verwenden. So taggen Sie Ihren Filter:

  1. Öffnen Sie Wireshark und drücken Sie das Markierungssymbol. Sie finden es auf der linken Seite des Filterfelds.
  2. Wählen Sie „Anzeigefilter verwalten“.
  3. Suchen Sie den gewünschten Filter in der Liste und drücken Sie das Pluszeichen, um ihn hinzuzufügen.

Wenn Sie diesen Filter das nächste Mal benötigen, drücken Sie auf das Lesezeichensymbol und suchen Sie Ihren Filter in der Liste.

Fragen

Kann ich Wireshark in einem öffentlichen Netzwerk ausführen?

Wenn Sie sich fragen, ob das Ausführen von Wireshark in einem öffentlichen Netzwerk legal ist, lautet die Antwort ja. Aber das bedeutet nicht, dass Sie Wireshark in jedem beliebigen Netzwerk ausführen sollten. Lesen Sie unbedingt die Geschäftsbedingungen des Netzwerks, das Sie verwenden möchten. Wenn das Netzwerk die Verwendung von Wireshark verbietet und Sie es weiterhin verwenden, können Sie vom Netzwerk ausgeschlossen oder sogar verklagt werden.

Wireshark beißt nicht

Von der Fehlerbehebung in Netzwerken über die Überwachung von Verbindungen bis hin zur Analyse des Datenverkehrs hat Wireshark viele Verwendungsmöglichkeiten. Mit dieser Plattform können Sie mit nur wenigen Klicks eine bestimmte MAC-Adresse finden. Da die Plattform kostenlos und auf mehreren Betriebssystemen verfügbar ist, genießen Millionen von Menschen auf der ganzen Welt ihre praktischen Optionen.

Wofür verwenden Sie Wireshark? Was ist Ihre Lieblingsoption? Sagen Sie es uns im Kommentarbereich unten.

Published By
Categorized as News

Leave a comment

Your email address will not be published. Required fields are marked *