Technologische Neuigkeiten, Bewertungen und Tipps!
Blogs

So finden Sie die MAC-Adresse mit WireShark

August 24, 2024

Als kostenloser Open-Source-Paketanalysator bietet Wireshark viele praktische Funktionen. Eine davon ist das Auffinden von Media Access Control (MAC)-Adressen, die Ihnen weitere Informationen zu verschiedenen Paketen in einem Netzwerk liefern können.

Wenn Sie Wireshark noch nicht kennen und nicht wissen, wie Sie MAC-Adressen finden, sind Sie hier richtig. Hier erfahren Sie mehr über MAC-Adressen, wir erklären, warum sie nützlich sind, und zeigen Ihnen die Schritte zum Finden dieser Adressen.

Was ist eine MAC-Adresse?

Eine MAC-Adresse ist eine eindeutige Kennung, die Netzwerkgeräten wie Computern, Switches und Routern zugewiesen wird. Diese Adressen werden normalerweise vom Hersteller zugewiesen und bestehen aus sechs Gruppen von je zwei hexadezimalen Ziffern.

Wofür wird eine MAC-Adresse in Wireshark verwendet?

Die Hauptaufgabe einer MAC-Adresse besteht darin, die Quelle und das Ziel eines Pakets zu kennzeichnen. Sie können sie auch verwenden, um den Weg eines bestimmten Pakets durch ein Netzwerk zu verfolgen, den Webverkehr zu überwachen, bösartige Aktivitäten zu identifizieren und Netzwerkprotokolle zu analysieren.

Wireshark: So finden Sie die MAC-Adresse

Das Finden der MAC-Adresse in Wireshark ist relativ einfach. Hier zeigen wir Ihnen, wie Sie in Wireshark eine Quell-MAC-Adresse und eine Ziel-MAC-Adresse finden.

So finden Sie eine Quell-MAC-Adresse in Wireshark

Eine Quell-MAC-Adresse ist die Adresse des Geräts, das das Paket sendet. Sie ist normalerweise im Ethernet-Header des Pakets zu sehen. Mit der Quell-MAC-Adresse können Sie den Pfad eines Pakets durch das Netzwerk verfolgen und die Quelle jedes Pakets identifizieren.

Die Quell-MAC-Adresse eines Pakets finden Sie auf der Registerkarte „Ethernet“. So gelangen Sie dorthin:

  1. Öffnen Sie Wireshark und erfassen Sie Pakete.
  2. Wählen Sie das gewünschte Paket aus und zeigen Sie dessen Details an.
  3. Wählen und erweitern Sie „Frame“, um weitere Informationen zum Paket zu erhalten.
  4. Gehen Sie zur Überschrift „Ethernet“, um die Ethernet-Details anzuzeigen.
  5. Wählen Sie das Feld „Quelle“. Hier sehen Sie die Quell-MAC-Adresse.

So finden Sie eine Ziel-MAC-Adresse in Wireshark

Eine Ziel-MAC-Adresse stellt die Adresse des Geräts dar, das ein Paket empfängt. Wie die Quelladresse befindet sich die Ziel-MAC-Adresse im Ethernet-Header. Befolgen Sie die folgenden Schritte, um eine Ziel-MAC-Adresse in Wireshark zu finden:

  1. Öffnen Sie Wireshark und beginnen Sie mit der Erfassung von Paketen.
  2. Suchen Sie das Paket, das Sie analysieren möchten, und sehen Sie sich seine Details im Detailbereich an.
  3. Wählen Sie „Frame“, um weitere Daten dazu zu erhalten.
  4. Gehen Sie zu „Ethernet“. Sie sehen „Quelle“, „Ziel“ und „Typ“.
  5. Wählen Sie das Feld „Ziel“ und zeigen Sie die Ziel-MAC-Adresse an.

So bestätigen Sie eine MAC-Adresse im Ethernet-Verkehr

Wenn Sie Netzwerkprobleme beheben oder bösartigen Datenverkehr identifizieren möchten, sollten Sie überprüfen, ob ein bestimmtes Paket von der richtigen Quelle gesendet und an das richtige Ziel weitergeleitet wird. Befolgen Sie die nachstehenden Anweisungen, um eine MAC-Adresse im Ethernet-Datenverkehr zu bestätigen:

  1. Zeigen Sie die physikalische Adresse Ihres Computers mithilfe von ipconfig/all oder Getmac an.
  2. Sehen Sie sich die Quell- und Zielfelder im erfassten Datenverkehr an und vergleichen Sie die physische Adresse Ihres Computers mit ihnen. Verwenden Sie diese Daten, um zu überprüfen, welche Frames von Ihrem Computer gesendet oder empfangen wurden, je nachdem, was Sie interessiert.
  3. Verwenden Sie arp-a, um den ARP-Cache (Address Resolution Protocol) anzuzeigen.
  4. Suchen Sie die in der Eingabeaufforderung verwendete IP-Adresse des Standard-Gateways und zeigen Sie dessen physische Adresse an. Überprüfen Sie, ob die physische Adresse des Gateways mit einigen der Felder „Quelle“ und „Ziel“ im erfassten Datenverkehr übereinstimmt.
  5. Schließen Sie die Aktivität ab, indem Sie Wireshark schließen. Wenn Sie den erfassten Datenverkehr verwerfen möchten, klicken Sie auf „Beenden ohne Speichern“.

So filtern Sie eine MAC-Adresse in Wireshark

Mit Wireshark können Sie Filter verwenden und große Mengen an Informationen schnell durchgehen. Dies ist besonders nützlich, wenn ein Problem mit einem bestimmten Gerät vorliegt. In Wireshark können Sie nach der Quell-MAC-Adresse oder der Ziel-MAC-Adresse filtern.

So filtern Sie in Wireshark nach der Quell-MAC-Adresse

Wenn Sie in Wireshark nach der Quell-MAC-Adresse filtern möchten, müssen Sie Folgendes tun:

  1. Gehen Sie zu Wireshark und suchen Sie oben nach dem Filterfeld.
  2. Geben Sie diese Syntax ein: „ether.src == macaddress“. Ersetzen Sie „macaddress“ durch die gewünschte Quelladresse. Denken Sie daran, beim Anwenden des Filters keine Anführungszeichen zu verwenden.

So filtern Sie in Wireshark nach Ziel-MAC-Adresse

Mit Wireshark können Sie nach Ziel-MAC-Adressen filtern. So gehts:

  1. Starten Sie Wireshark und suchen Sie das Filterfeld oben im Fenster.
  2. Geben Sie diese Syntax ein: „ether.dst == macaddress“. Achten Sie darauf, „macaddress“ durch die Zieladresse zu ersetzen, und denken Sie daran, beim Anwenden des Filters keine Anführungszeichen zu verwenden.

Andere wichtige Filter in Wireshark

Anstatt Stunden mit der Durchsicht großer Informationsmengen zu verschwenden, bietet Wireshark Ihnen mithilfe von Filtern eine Abkürzung.

ip.adresse == xxxx

Dies ist einer der am häufigsten verwendeten Filter in Wireshark. Mit diesem Filter zeigen Sie nur erfasste Pakete an, die die ausgewählte IP-Adresse enthalten.

Der Filter ist besonders praktisch für diejenigen, die sich auf eine Art von Verkehr konzentrieren möchten.

Sie können nach Quell- oder Ziel-IP-Adresse filtern.

Wenn Sie nach der Quell-IP-Adresse filtern möchten, verwenden Sie diese Syntax: „ip.src == xxxx“. Ersetzen Sie „xxxx“ durch die gewünschte IP-Adresse und entfernen Sie Anführungszeichen, wenn Sie die Syntax in das Feld eingeben.

Wer nach Quell-IP-Adresse filtern möchte, gibt in das Filter-Feld folgende Syntax ein: „ip.dst == xxxx“. Anstelle von „xxxx“ verwendet man die gewünschte IP-Adresse und entfernt die Anführungszeichen.

Wenn Sie mehrere IP-Adressen filtern möchten, verwenden Sie diese Syntax: „ip.addr == xxxx und ip.addr == yyyy“.

ip.Adresse == xxxx &038;&038; ip.Adresse == xxxx

Wenn Sie Daten zwischen zwei bestimmten Hosts oder Netzwerken identifizieren und analysieren möchten, kann dieser Filter unglaublich hilfreich sein. Er entfernt unnötige Daten und zeigt die gewünschten Ergebnisse in nur wenigen Sekunden an.

http

Wenn Sie nur den HTTP-Verkehr analysieren möchten, geben Sie „http“ in das Filterfeld ein. Denken Sie daran, beim Anwenden des Filters keine Anführungszeichen zu verwenden.

DNS

Mit Wireshark können Sie erfasste Pakete nach DNS filtern. Um nur den DNS-Verkehr anzuzeigen, müssen Sie lediglich „dns“ in das Filterfeld eingeben.

Wenn Sie spezifischere Ergebnisse wünschen und nur DNS-Abfragen anzeigen möchten, verwenden Sie diese Syntax: „dns.flags.response == 0“. Achten Sie darauf, beim Eingeben des Filters keine Anführungszeichen zu verwenden.

Wenn Sie DNS-Antworten filtern möchten, verwenden Sie diese Syntax: „dns.flags.response == 1“.

Frame enthält Verkehr

Mit diesem praktischen Filter können Sie Pakete filtern, die das Wort „traffic“ enthalten. Er ist besonders nützlich für diejenigen, die nach einer bestimmten Benutzer-ID oder Zeichenfolge suchen möchten.

tcp.port == XXX

Sie können diesen Filter verwenden, wenn Sie den Datenverkehr analysieren möchten, der über einen bestimmten Port ein- oder ausgeht.

ip.addr >= xxxx und ip.addr

Mit diesem Wireshark-Filter können Sie nur Pakete mit einem bestimmten IP-Bereich anzeigen. Der Text lautet: „Filtere IP-Adressen, die größer oder gleich xxxx und kleiner oder gleich yyyy sind.“ Ersetzen Sie „xxxx“ und „yyyy“ durch die gewünschten IP-Adressen. Sie können auch „&038;&038;“ anstelle von „and“ verwenden.

frame.time >= 12. August 2017 09:53:18 und frame.time

Wenn Sie eingehenden Verkehr mit einer bestimmten Ankunftszeit analysieren möchten, können Sie diesen Filter verwenden, um die relevanten Informationen zu erhalten. Beachten Sie, dass dies nur Beispieldaten sind. Sie sollten sie durch die gewünschten Daten ersetzen, je nachdem, was Sie analysieren möchten.

!(Filtersyntax)

Wenn Sie vor eine Filtersyntax ein Ausrufezeichen setzen, schließen Sie diese aus den Ergebnissen aus. Wenn Sie beispielsweise „!(ip.addr == 10.1.1.1)“ eingeben, werden alle Pakete angezeigt, die diese IP-Adresse nicht enthalten. Denken Sie daran, dass Sie beim Anwenden des Filters keine Anführungszeichen verwenden sollten.

So speichern Sie Wireshark-Filter

Wenn Sie einen bestimmten Filter in Wireshark nicht oft verwenden, werden Sie ihn wahrscheinlich mit der Zeit vergessen. Der Versuch, sich die richtige Syntax zu merken und Zeit damit zu verschwenden, online danach zu suchen, kann sehr frustrierend sein. Glücklicherweise kann Wireshark Ihnen mit zwei wertvollen Optionen helfen, solche Szenarien zu verhindern.

Die erste Option ist die automatische Vervollständigung. Sie kann für diejenigen nützlich sein, die sich an den Anfang des Filters erinnern. Sie können beispielsweise „tcp“ eingeben und Wireshark zeigt eine Liste der Filter an, die mit dieser Sequenz beginnen.

Die zweite Möglichkeit besteht darin, Filter als Lesezeichen zu speichern. Dies ist eine unschätzbare Option für diejenigen, die häufig komplexe Filter mit langer Syntax verwenden. So speichern Sie Ihren Filter als Lesezeichen:

  1. Öffnen Sie Wireshark und drücken Sie auf das Lesezeichensymbol. Sie finden es auf der linken Seite des Filterfelds.
  2. Wählen Sie „Anzeigefilter verwalten“.
  3. Suchen Sie in der Liste nach dem gewünschten Filter und drücken Sie das Pluszeichen, um ihn hinzuzufügen.

Wenn Sie diesen Filter das nächste Mal benötigen, drücken Sie auf das Lesezeichensymbol und suchen Sie Ihren Filter in der Liste.

Häufig gestellte Fragen

Kann ich Wireshark in einem öffentlichen Netzwerk ausführen?

Wenn Sie sich fragen, ob es legal ist, Wireshark in einem öffentlichen Netzwerk auszuführen, lautet die Antwort: Ja. Das heißt aber nicht, dass Sie Wireshark in jedem Netzwerk ausführen sollten. Lesen Sie unbedingt die Geschäftsbedingungen des Netzwerks, das Sie verwenden möchten. Wenn das Netzwerk die Verwendung von Wireshark verbietet und Sie es trotzdem ausführen, könnten Sie aus dem Netzwerk ausgeschlossen oder sogar verklagt werden.

Wireshark beißt nicht

Von der Netzwerkfehlerbehebung über die Verbindungsverfolgung bis hin zur Verkehrsanalyse ist Wireshark vielseitig einsetzbar. Mit dieser Plattform können Sie eine bestimmte MAC-Adresse mit nur wenigen Klicks finden. Da die Plattform kostenlos und auf mehreren Betriebssystemen verfügbar ist, profitieren Millionen von Menschen weltweit von ihren praktischen Optionen.

Wofür verwenden Sie Wireshark? Was ist Ihre bevorzugte Option? Teilen Sie es uns unten im Kommentarbereich mit.

Your Header Sidebar area is currently empty. Hurry up and add some widgets.