Como encontrar o endereço MAC com o WireShark

Como um analisador de pacotes gratuito e de código aberto, o Wireshark oferece muitos recursos convenientes. Um deles é encontrar endereços de controle de acesso à mídia (MAC), que podem fornecer mais informações sobre diferentes pacotes em uma rede.

Se você é novo no Wireshark e não sabe como encontrar endereços MAC, você veio ao lugar certo. Aqui, falaremos mais sobre endereços MAC, explicaremos por que eles são úteis e forneceremos as etapas para encontrá-los.

O que é um endereço MAC?

Um endereço MAC é um identificador exclusivo atribuído a dispositivos de rede, como computadores, switches e roteadores. Esses endereços geralmente são atribuídos pelo fabricante e são representados como seis grupos de dois dígitos hexadecimais.

Para que serve um endereço MAC no Wireshark?

A principal função de um endereço MAC é marcar a origem e o destino de um pacote. Você também pode usá-los para rastrear o caminho de um pacote específico através de uma rede, monitorar o tráfego da Web, identificar atividades maliciosas e analisar protocolos de rede.

Wireshark Como encontrar o endereço MAC

Encontrar o endereço MAC no Wireshark é relativamente fácil. Aqui, mostraremos como encontrar um endereço MAC de origem e um endereço MAC de destino no Wireshark.

Como encontrar um endereço MAC de origem no Wireshark

Um endereço MAC de origem é o endereço do dispositivo que está enviando o pacote e normalmente você pode vê-lo no cabeçalho Ethernet do pacote. Com o endereço MAC de origem, você pode rastrear o caminho de um pacote pela rede e identificar a origem de cada pacote.

Você pode encontrar o endereço MAC de origem de um pacote na guia Ethernet. Veja como chegar até ele:

1. Abra o Wireshark e capture os pacotes.
   
2. Selecione o pacote de seu interesse e exiba seus detalhes.
   
3. Selecione e expanda “Frame” para obter mais informações sobre o pacote.
   
4. Vá para o cabeçalho “Ethernet” para ver os detalhes da Ethernet.
   
5. Selecione o campo "Fonte". Aqui, você verá o endereço MAC de origem.
   

Como encontrar um endereço MAC de destino no Wireshark

Um endereço MAC de destino representa o endereço do dispositivo que recebe um pacote. Assim como o endereço de origem, o endereço MAC de destino está localizado no cabeçalho Ethernet. Siga as etapas abaixo para encontrar um endereço MAC de destino no Wireshark:

1. Abra o Wireshark e comece a capturar pacotes.
   
2. Encontre o pacote que deseja analisar e observe seus detalhes no painel de detalhes.
   
3. Escolha “Frame” para obter mais dados sobre ele.
   
4. Vá para “Ethernet”. Você verá "Fonte", "Destino" e "Tipo".
   
5. Selecione o campo “Destino” e visualize o endereço MAC de destino.
   

Como confirmar um endereço MAC no tráfego Ethernet

Se você estiver solucionando problemas de rede ou quiser identificar tráfego mal-intencionado, verifique se um determinado pacote está sendo enviado da origem correta e roteado para o destino correto. Siga as instruções abaixo para confirmar um endereço MAC no tráfego Ethernet:

1. Exiba o endereço físico do seu computador usando ipconfig/all ou Getmac.
   
2. Visualize os campos Origem e Destino no tráfego que você capturou e compare o endereço físico do seu computador com eles. Use esses dados para verificar quais frames foram enviados ou recebidos pelo seu computador, dependendo do seu interesse.
   
3. Use arp-a para ver o cache do Address Resolution Protocol (ARP).
   
4. Encontre o endereço IP do gateway padrão usado no prompt de comando e visualize seu endereço físico. Verifique se o endereço físico do gateway corresponde a algum dos campos “Origem” e “Destino” no tráfego capturado.
   
5. Conclua a atividade fechando o Wireshark. Se você deseja descartar o tráfego capturado, pressione “Sair sem salvar”.
   

Como filtrar um endereço MAC no Wireshark

O Wireshark permite que você use filtros e passe por grandes quantidades de informações rapidamente. Isso é especialmente útil se houver um problema com um determinado dispositivo. No Wireshark, você pode filtrar pelo endereço MAC de origem ou pelo endereço MAC de destino.

Como filtrar por endereço MAC de origem no Wireshark

Se você deseja filtrar por endereço MAC de origem no Wireshark, eis o que você precisa fazer:

1. Vá para Wireshark e encontre o campo Filter localizado na parte superior.
   
2. Digite esta sintaxe: “ether.src == macaddress”. Substitua “macaddress” pelo endereço de origem desejado. Lembre-se de não usar aspas ao aplicar o filtro.
   

Como filtrar por endereço MAC de destino no Wireshark

O Wireshark permite filtrar por endereço MAC de destino. Veja como fazer:

1. Inicie o Wireshark e localize o campo Filtro na parte superior da janela.
   
2. Digite esta sintaxe: “ether.dst == macaddress”. Certifique-se de substituir “macaddress” pelo endereço de destino e lembre-se de não usar aspas ao aplicar o filtro.
   

Outros filtros importantes no Wireshark

Em vez de perder horas analisando grandes quantidades de informações, o Wireshark permite que você pegue um atalho com filtros.

ip.addr == xxxx

Este é um dos filtros mais usados ​​no Wireshark. Com este filtro, você exibe apenas pacotes capturados contendo o endereço IP escolhido.

O filtro é particularmente conveniente para quem deseja se concentrar em um tipo de tráfego.

Você pode filtrar por endereço IP de origem ou destino.

Se você deseja filtrar por endereço IP de origem, use esta sintaxe: “ip.src == xxxx”. Substitua “xxxx” pelo endereço IP desejado e remova as aspas ao inserir a sintaxe no campo.

Aqueles que desejam filtrar por endereço IP de origem devem inserir esta sintaxe no campo Filtro: “ip.dst == xxxx”. Use o endereço IP desejado em vez de “xxxx” e remova as aspas.

Se você deseja filtrar vários endereços IP, use esta sintaxe: “ip.addr == xxxx and ip.addr == yyyy”.

ip.addr == xxxx && ip.addr == xxxx

Se você deseja identificar e analisar dados entre dois hosts ou redes específicas, esse filtro pode ser incrivelmente útil. Ele removerá dados desnecessários e exibirá os resultados desejados em apenas alguns segundos.

http

Se você deseja analisar apenas o tráfego HTTP, insira “http” na caixa Filtro. Lembre-se de não usar aspas ao aplicar o filtro.

DNS

O Wireshark permite filtrar pacotes capturados por DNS. Tudo o que você precisa fazer para visualizar apenas o tráfego DNS é inserir “dns” no campo Filtro.

Se você quiser resultados mais específicos e exibir apenas consultas DNS, use esta sintaxe: “dns.flags.response == 0”. Certifique-se de não usar aspas ao inserir o filtro.

Se você deseja filtrar as respostas DNS, use esta sintaxe: “dns.flags.response == 1”.

quadro contém tráfego

Este conveniente filtro permite filtrar pacotes contendo a palavra “tráfego”. É particularmente valioso para aqueles que desejam pesquisar um ID de usuário ou string específico.

tcp.port == XXX

Você pode usar esse filtro se quiser analisar o tráfego que entra ou sai de uma porta específica.

ip.addr >= xxxx e ip.addr <= aaaa

Este filtro Wireshark permite exibir apenas pacotes com um intervalo de IP específico. Ele lê como “filtrar endereços IP maiores ou iguais a xxxx e menores ou iguais a yyyy” Substitua “xxxx” e “yyyy” pelos endereços IP desejados. Você também pode usar “&&” em vez de “e”.

frame.time >= 12 de agosto de 2017 09:53:18 e frame.time <= 12 de agosto de 2017 17:53:18

Se você deseja analisar o tráfego de entrada com um horário de chegada específico, pode usar este filtro para obter as informações relevantes. Tenha em mente que estas são apenas datas de exemplo. Você deve substituí-los pelas datas desejadas, dependendo do que deseja analisar.

!(sintaxe do filtro)

Se você colocar um ponto de exclamação na frente de qualquer sintaxe de filtro, você o excluirá dos resultados. Por exemplo, se você digitar “!(ip.addr == 10.1.1.1),” verá todos os pacotes que não contêm este endereço IP. Lembre-se de que você não deve usar aspas ao aplicar o filtro.

Como salvar filtros Wireshark

Se você não usa um filtro específico no Wireshark com frequência, provavelmente o esquecerá com o tempo. Tentar lembrar a sintaxe correta e perder tempo procurando por ela online pode ser muito frustrante. Felizmente, o Wireshark pode ajudá-lo a evitar tais cenários com duas opções valiosas.

A primeira opção é o preenchimento automático, e pode ser útil para quem se lembra do início do filtro. Por exemplo, você pode digitar “tcp” e o Wireshark exibirá uma lista de filtros começando com essa sequência.

A segunda opção são os filtros de favoritos. Esta é uma opção inestimável para aqueles que costumam usar filtros complexos com sintaxe longa. Veja como marcar seu filtro:

1. Abra o Wireshark e pressione o ícone de marcador. Você pode encontrá-lo no lado esquerdo do campo Filtro.
2. Selecione "Gerenciar filtros de exibição".
3. Encontre o filtro desejado na lista e pressione o sinal de mais para adicioná-lo.

Na próxima vez que precisar desse filtro, pressione o ícone de marcador e encontre seu filtro na lista.

Perguntas frequentes

Posso executar o Wireshark em uma rede pública?

Se você está se perguntando se a execução do Wireshark em uma rede pública é legal, a resposta é sim. Mas isso não significa que você deva executar o Wireshark em qualquer rede. Certifique-se de ler os termos e condições da rede que deseja usar. Se a rede proibir o uso do Wireshark e você ainda o executar, poderá ser banido da rede ou até processado.

Wireshark não morde

Desde a solução de problemas de redes até o rastreamento de conexões e análise de tráfego, o Wireshark tem muitos usos. Com esta plataforma, você pode encontrar um endereço MAC específico com apenas alguns cliques. Como a plataforma é gratuita e está disponível em vários sistemas operacionais, milhões de pessoas em todo o mundo desfrutam de suas opções convenientes.

Para que você usa o Wireshark? Qual é a sua opção favorita? Conte-nos na seção de comentários abaixo.