Определите оборудование с поиском OUI в Wireshark

Иногда полезно знать производителя данного сетевого адаптера. Wireshark позволяет легко найти эту информацию, выполнив автоматический поиск OUI для каждого захваченного кадра..

Вот все, что вам нужно знать о OUI в Wireshark.

Что такое OUI?

Организационный уникальный идентификатор (OUI) – это код, встроенный в первые три байта MAC-адреса. Идентифицирует производителя устройства. Например, если первые три байта вашего сетевого адаптера 3C: FD: FE, ваша карта была продана Intel.

Например, MAC-адрес моего ноутбука составляет 54: 27: 1E: 44: EC: BA. Это означает, что OUI равен 54: 27: 1E, а последние три байта являются уникальным идентификатором..

Следует помнить, что OUI обозначает производителя, а не производителя чипсета. В приведенных ниже примерах поставщик OUI отображается как AzureWave, но Qualcomm изготовил чипсет. Это потому, что AzureWave упаковал набор микросхем Qualcomm на мини-карту PCIe. Они зарегистрировали карту в Центре регистрации IEEE, поэтому AzureWave является поставщиком.

Поиск OUI в Wireshark

Wireshark автоматизирует поиск OUI, что позволяет очень легко определить поставщика любого сетевого адаптера. Вам необходимо знать IP-адрес или имя хоста целевой машины. Wireshark делает все остальное.

Пинг поиска

Один из самых простых способов выполнить поиск OUI на данном хосте – это пропинговать его. В приведенном выше примере я использовал фильтр отображения, чтобы показать только ответ на пинг.

После того, как сеанс захвачен и отфильтрован, щелкните на любом захваченном кадре и прокрутите вниз до Ethernet II заголовок кадра в Детали пакета Посмотреть.

Вы можете видеть, что Wireshark уже выполнил поиск OUI и показывает поставщика как Raspberr_b1 который правильно идентифицирует целевой адаптер как созданный Raspberry Pi.

Ручной поиск

Если по какой-либо причине вы не уверены, что Wireshark правильно выполняет поиск OUI, или вам нужна дополнительная информация о поставщике, используйте Пакетные байты чтобы получить код самостоятельно и выполнить поиск OUI вручную. Первые три байта кадра являются OUI назначения, в то время как байты 6 – 8 являются источник OUI.

Все, что вам нужно сделать, это вставить содержимое этих трех байтов в онлайн-инструмент поиска OUI, чтобы подтвердить первоначальные результаты Wireshark. Вы можете увидеть дополнительную информацию о продавце.

В этом примере я использовал утилиту ping для генерации ICMP-трафика для проверки кода OUI. На практике любой трафик вообще будет работать. Например, на веб-сервере может быть отключен пинг. Но если он обслуживает HTTP, вы можете использовать этот трафик для определения поставщика сетевого адаптера удаленного хоста..

Пока вы можете заставить компьютер отвечать на запросы ping или ACK на любые ваши запросы, вы можете определить, кто сделал его сетевой адаптер с помощью поиска OUI.. Даже если трафик зашифрован, заголовок OUI передается в виде открытого текста..

Поиск IPv6 OUI в Wireshark

Wireshark обрабатывает поиск OUI в IPv6 так же, как IPv4. Это потому, что код OUI встроен в заголовок кадра, а не в сам пакет.

Вот пример проверки связи IPv6 с тем же хостом, что и раньше. Я изменил фильтры захвата и отображения для четкого представления данных.

Вы можете увидеть коды OUI в том же месте в заголовке пакета. Wireshark выполняет поиск OUI для трафика IPv6 без дополнительной настройки.

Wireshark делает каждый поиск OUI простым

Найти поставщика сетевой карты любого компьютера тривиально, поскольку заголовок каждого пакета содержит код OUI. Wireshark выполняет поиск автоматически. Нетрудно сказать, что любой, независимо от уровня опыта, может выполнить поиск OUI с помощью Wireshark. Это одна из тех вещей, которая просто работает, прямо из коробки.

Связанный:
Использование Wireshark для получения IP-адреса неизвестного хоста
Как запустить удаленный захват с помощью Wireshark и tcpdump