如何使用 WireShark 查找 MAC 地址 – 数字指南

作为一款免费的开源数据包分析器，Wireshark 提供了许多方便的功能。 其中之一是查找媒体访问控制（MAC）地址，它可以告诉您有关网络上不同数据包的更多信息。

如果您是 Wireshark 新手并且不知道如何查找 MAC 地址，那么您来对地方了。 在这里，我们将向您介绍有关 MAC 地址的更多信息，解释它们为何有用，并提供查找它们的步骤。

MAC 地址是分配给计算机、交换机和路由器等网络设备的唯一标识符。 这些地址通常由制造商分配，并表示为六组两个十六进制数字。

MAC 地址在 Wireshark 中有何用途？

MAC 地址的主要作用是标记数据包的源和目的地。 您还可以使用它们来跟踪特定数据包通过网络的路径、监控网络流量、识别恶意活动并分析网络协议。

Wireshark 如何查找 MAC 地址

在 Wireshark 中查找 MAC 地址相对容易。 在这里，我们将向您展示如何在 Wireshark 中查找源 MAC 地址和目标 MAC 地址。

如何在 Wireshark 中查找源 MAC 地址

源 MAC 地址是发送数据包的设备的地址，通常可以在数据包的以太网标头中看到它。 利用源 MAC 地址，您可以跟踪数据包通过网络的路径并识别每个数据包的源。

您可以在“以太网”选项卡中找到数据包的源 MAC 地址。 获取方法如下：

1. 打开 Wireshark 并捕获数据包。
   
2. 选择您感兴趣的数据包并显示其详细信息。
   
3. 选择并展开“Frame”以获取有关数据包的更多信息。
   
4. 转至“以太网”标题查看以太网详细信息。
   
5. 选择“来源”字段。 在这里，您将看到源 MAC 地址。
   

如何在 Wireshark 中查找目标 MAC 地址

目的MAC地址代表接收数据包的设备的地址。 与源地址一样，目标 MAC 地址位于以太网报头中。 按照以下步骤在 Wireshark 中查找目标 MAC 地址：

1. 打开Wireshark并开始抓包。
   
2. 找到您要分析的数据包并在详细信息窗格中观察其详细信息。
   
3. 选择“框架”以获取更多有关它的数据。
   
4. 转到“以太网”。 您将看到“源”、“目标”和“类型”。
   
5. 选择“目标”字段并查看目标 MAC 地址。
   

如何确认以太网流量中的 MAC 地址

如果您正在排除网络问题或想要识别恶意流量，您可能需要检查特定数据包是否从正确的源发送并路由到正确的目的地。 请按照以下说明确认以太网流量中的 MAC 地址：

1. 使用 ipconfig/all 或 Getmac 显示计算机的物理地址。
   
2. 查看您捕获的流量中的源和目标字段，并将计算机的物理地址与它们进行比较。 使用此数据来检查您的计算机发送或接收了哪些帧，具体取决于您感兴趣的内容。
   
3. 使用 arp -a 查看地址解析协议 (ARP) 缓存。
   
4. 在命令提示符中找到使用的默认网关的 IP 地址并查看其物理地址。 检查网关的物理地址是否与捕获的流量中的某些“源”和“目标”字段匹配。
   
5. 通过关闭 Wireshark 来完成活动。 如果您想丢弃捕获的流量，请按“退出而不保存”。
   

如何在 Wireshark 中过滤 MAC 地址

Wireshark 允许您使用过滤器并快速浏览大量信息。 如果某个设备出现问题，这尤其有用。 在Wireshark中，您可以按源MAC地址或目标MAC地址进行过滤。

如何在 Wireshark 中按源 MAC 地址过滤

如果您想在 Wireshark 中按源 MAC 地址进行过滤，您需要执行以下操作：

1. 转到 Wireshark 并找到位于顶部的“过滤器”字段。
   
2. Enter 这个语法：“ether.src == macaddress”。 将“macaddress”替换为所需的源地址。 请记住应用过滤器时不要使用引号。
   

如何在 Wireshark 中按目标 MAC 地址进行过滤

Wireshark 允许您按目标 MAC 地址进行过滤。 操作方法如下：

1. 启动 Wireshark 并找到窗口顶部的“过滤器”字段。
   
2. Enter 这个语法：“ether.dst == macaddress”。 确保将“macaddress”替换为目标地址，并记住在应用过滤器时不要使用引号。
   

Wireshark 中的其他重要过滤器

Wireshark 可以让您通过过滤器走捷径，而不是浪费时间浏览大量信息。

ip.addr == xxxx

这是 Wireshark 中最常用的过滤器之一。 使用此过滤器，您可以仅显示捕获的包含所选 IP 地址的包。

该过滤器对于那些想要专注于一种流量的人来说特别方便。

您可以按源或目标 IP 地址进行过滤。

如果要按源 IP 地址过滤，请使用以下语法：“ip.src == xxxx”。 将“xxxx”替换为所需的 IP 地址，并在字段中输入语法时删除引号。

想要按源 IP 地址过滤的人应在过滤器字段中输入以下语法：“ip.dst == xxxx”。 使用所需的 IP 地址而不是“xxxx”并删除引号。

如果要过滤多个 IP 地址，请使用以下语法：“ip.addr == xxxx and ip.addr == yyyy”。

ip.addr == xxxx && ip.addr == xxxx

如果您想识别和分析两个特定主机或网络之间的数据，此过滤器会非常有用。 它将删除不必要的数据并在几秒钟内显示所需的结果。

http

如果您只想分析 HTTP 流量，请在“过滤器”框中输入“http”。 请记住应用过滤器时不要使用引号。

域名服务器

Wireshark 允许您通过 DNS 过滤捕获的数据包。 要仅查看 DNS 流量，您只需在“过滤器”字段中输入“dns”即可。

如果您想要更具体的结果并仅显示 DNS 查询，请使用以下语法：“dns.flags.response == 0”。 确保在输入过滤器时不要使用引号。

如果要过滤 DNS 响应，请使用以下语法：“dns.flags.response == 1”。

帧包含流量

这个方便的过滤器可以让您过滤包含“流量”一词的数据包。 对于那些想要搜索特定用户 ID 或字符串的人来说，它特别有价值。

tcp.端口 == XXX

如果您想分析进出特定端口的流量，可以使用此过滤器。

ip.addr >= xxxx 且 ip.addr <= yyyy

此 Wireshark 过滤器允许您仅显示具有特定 IP 范围的数据包。 它的读作是“过滤大于或等于 xxxx 且小于或等于 yyyy 的 IP 地址”，将“xxxx”和“yyyy”替换为所需的 IP 地址。 您还可以使用“&&”代替“and”。

frame.time >= 2017 年 8 月 12 日 09:53:18 且frame.time <= 2017 年 8 月 12 日 17:53:18

如果您想分析具有特定到达时间的传入流量，您可以使用此过滤器来获取相关信息。 请记住，这些只是 example 日期。 您应该根据您想要分析的内容将它们替换为所需的日期。

!（过滤器语法）

如果您在任何过滤器语法前面放置感叹号，则会将其从结果中排除。 为了 example，如果您输入“!(ip.addr == 10.1.1.1)”，您将看到所有不包含此 IP 地址的数据包。 请记住，应用过滤器时不应使用引号。

如何保存 Wireshark 过滤器

如果您不经常在 Wireshark 中使用特定过滤器，您可能会及时忘记它。 试图记住正确的语法并浪费时间在网上搜索它可能会非常令人沮丧。 幸运的是，Wireshark 可以通过两个有价值的选项帮助您防止此类情况。

第一个选项是自动完成，对于那些记得过滤器开头的人来说可能很有用。 为了 example，您可以键入“tcp”，Wireshark 将显示以该序列开头的过滤器列表。

第二个选项是书签过滤器。 对于那些经常使用长语法的复杂过滤器的人来说，这是一个非常宝贵的选择。 以下是为过滤器添加书签的方法：

1. 打开 Wireshark 并按书签图标。 您可以在“过滤器”字段的左侧找到它。
2. 选择“管理显示过滤器”。
3. 在列表中找到所需的过滤器，然后按加号将其添加。

下次您需要该过滤器时，请按书签图标，然后在列表中找到您的过滤器。

常问问题

我可以在公共网络上运行 Wireshark 吗？

如果您想知道在公共网络上运行 Wireshark 是否合法，答案是肯定的。 但是，这并不意味着您应该在任何网络上运行 Wireshark。 确保阅读您要使用的网络的条款和条件。 如果网络禁止使用 Wireshark，而您仍然运行它，您可能会被禁止使用网络，甚至被起诉。

Wireshark不咬人

从排除网络故障到跟踪连接和分析流量，Wireshark 有很多用途。 有了这个平台，您只需点击几下即可找到特定的 MAC 地址。 由于该平台是免费的并且可在多个操作系统上使用，因此全球数百万人享受其便捷的选择。

你用 Wireshark 做什么？ 你最喜欢的选择是什么？ 请在下面的评论部分告诉我们。