Понякога е полезно да знаете производителя на даден мрежов адаптер. Wireshark прави тази информация лесна за намиране, като извършва автоматично търсене на OUI на всеки заснет кадър.
Ето всичко, което трябва да знаете за OUI в Wireshark.
Contents
Какво е OUI?
Организационен уникален идентификатор (OUI) е код, вграден в първите три байта на MAC адрес. Той идентифицира доставчика на устройството. Например, ако първите три байта на вашия мрежов адаптер са 3C: FD: FE, вашата карта е продадена от Intel.
За да дам пример, MAC адресът на моя лаптоп е 54: 27: 1E: 44: EC: BA. Това означава, че OUI е 54: 27: 1E и последните три байта са уникален идентификатор.
Едно предимство, което трябва да имате предвид е, че OUI обозначава доставчика, а не производителя на чипсета. В примерите по-долу доставчикът на OUI се показва като AzureWave, но Qualcomm произвежда чипсета. Това е така, защото AzureWave пакетира чипсет Qualcomm върху PCIe мини карта. Те регистрираха картата в IEEE Регистрационния орган, така че AzureWave е доставчикът.
Търсене на OUI в Wireshark
Wireshark автоматизира търсенето на OUI, което улеснява идентифицирането на доставчика на всеки даден мрежов адаптер. Трябва да знаете IP адреса или името на хоста на целевата машина. Wireshark прави останалото.
Ping търсене
Един от най-лесните начини за извършване на търсене на OUI на даден хост е да го ping. В горния пример използвах дисплей филтър, за да покажа само отговора на ping.
След като сесията е заснета и филтрирана, щракнете върху всеки заснета рамка и превъртете надолу към Ethernet II рамка заглавка в Подробности за пакета изглед.
Можете да видите, че Wireshark вече е извършил търсене в OUI и показва доставчика като Raspberr_b1 който правилно идентифицира целевия адаптер като направен от Raspberry Pi.
Ръчно търсене
Ако по някаква причина не сте убедени, че Wireshark извършва правилно търсене на OUI или имате нужда от допълнителна информация за доставчика, използвайте Пакетни байтове изглед, за да изтеглите кода сами и да извършите ръчно търсене на OUI. Първите три байта на рамката са дестинация OUI, докато байтове 6 - 8 са тези източник OUI.
Всичко, което трябва да направите, е да поставите съдържанието на тези три байта в онлайн инструмент за търсене на OUI, за да потвърдите първоначалните резултати на Wireshark. Можете да видите допълнителна информация за доставчика.
В този пример използвах услугата ping, за да генерирам ICMP трафик, за да разгледам OUI кода. На практика всеки трафик изобщо ще работи. Например, уеб сървър може да е деактивиран ping. Но ако той обслужва HTTP, можете да използвате този трафик, за да определите доставчика на мрежовия адаптер на отдалечения хост.
Докато можете да получите компютър, който да отговаря на pings или ACK на някое от вашите искания, можете да определите кой е направил неговия мрежов адаптер с OUI търсене. Дори ако трафикът е криптиран, заглавката на OUI се предава в незабележим текст.
IPv6 OUI търсене в Wireshark
Wireshark обработва търсенето на OUI в IPv6 по същия начин като IPv4. Това е така, защото OUI кодът е вграден в заглавката на рамката, а не в самия пакет.
Ето пример за IPv6 пинг към същия хост като преди. Промених филтрите за улавяне и показване, за да представя ясно данните.
Можете да видите OUI кодовете на точно същото място в заглавката на пакета. Wireshark извършва OUI търсене за IPv6 трафик без допълнителна конфигурация.
Wireshark прави лесно всяко търсене на OUI
Тривиално е да намерите доставчика на NIC на всеки компютър, тъй като заглавката на всеки пакет включва OUI код. Wireshark извършва търсенето автоматично. Не е трудно да се каже, че всеки, независимо от нивото на опит, може да извърши OUI търсене с Wireshark. Това е едно от онези неща, които просто работят, направо извън кутията.
Свързани:
Използване на Wireshark, за да получите IP адреса на неизвестен хост
Как да стартирате дистанционно заснемане с Wireshark и tcpdump