บางครั้งการรู้ผู้ผลิตอะแดปเตอร์เครือข่ายนั้นเป็นประโยชน์ Wireshark ทำให้ข้อมูลนั้นหาง่ายโดยทำการค้นหา OUI อัตโนมัติในทุกเฟรมที่จับ.
นี่คือทุกสิ่งที่คุณต้องรู้เกี่ยวกับ OUI ใน Wireshark.
Contents
OUI คืออะไร?
Organizational Unique Identifier (OUI) เป็นรหัสที่ฝังอยู่ในสามไบต์แรกของที่อยู่ MAC มันระบุผู้ขายของอุปกรณ์ ตัวอย่างเช่นหากสามไบต์แรกของอะแดปเตอร์เครือข่ายของคุณคือ 3C: FD: FE แสดงว่าการ์ดของคุณถูกขายโดย Intel.
เพื่อยกตัวอย่างที่อยู่ MAC ของแล็ปท็อปของฉันคือ 54: 27: 1E: 44: EC: BA นั่นหมายความว่า OUI คือ 54: 27: 1E และสามไบต์สุดท้ายเป็นตัวระบุที่ไม่ซ้ำกัน.
ข้อควรระวังประการหนึ่งที่ต้องคำนึงถึงคือ OUI หมายถึงผู้ขายไม่ใช่ผู้ผลิตชิปเซ็ต ในตัวอย่างด้านล่างผู้จำหน่าย OUI แสดงเป็น AzureWave แต่ Qualcomm ผลิตชิปเซ็ต นั่นเป็นเพราะ AzureWave ได้บรรจุชิปเซ็ต Qualcomm ลงในมินิการ์ด PCIe พวกเขาลงทะเบียนบัตรกับผู้มีอำนาจลงทะเบียน IEEE ดังนั้น AzureWave จึงเป็นผู้จำหน่าย.
ค้นหา OUI ใน Wireshark
Wireshark ทำการค้นหา OUI โดยอัตโนมัติซึ่งทำให้ง่ายต่อการระบุผู้ขายของอะแดปเตอร์เครือข่ายที่กำหนด คุณจำเป็นต้องรู้ที่อยู่ IP หรือชื่อโฮสต์ของเครื่องเป้าหมาย Wireshark ทำส่วนที่เหลือ.
ค้นหาปิง
วิธีที่ง่ายที่สุดวิธีหนึ่งในการทำการค้นหา OUI บนโฮสต์ที่กำหนดคือการ ping ในตัวอย่างข้างต้นฉันใช้ตัวกรองการแสดงเพื่อแสดงเฉพาะคำตอบ ping.
เมื่อเซสชั่นถูกจับและกรองให้คลิกที่เฟรมใด ๆ ที่จับและเลื่อนลงไปที่ Ethernet II ส่วนหัวของเฟรมใน รายละเอียดแพ็คเก็ต ดู.
คุณจะเห็นว่า Wireshark ทำการค้นหา OUI แล้วและกำลังแสดงผู้ขายเป็น Raspberr_b1 ซึ่งระบุอะแดปเตอร์เป้าหมายอย่างถูกต้องว่าทำโดย Raspberry Pi.
ค้นหาด้วยตนเอง
หากด้วยเหตุผลบางอย่างคุณไม่เชื่อว่า Wireshark ทำการค้นหา OUI อย่างถูกต้องหรือคุณต้องการข้อมูลเพิ่มเติมเกี่ยวกับผู้ขายให้ใช้ แพ็คเก็ตไบต์ มุมมองเพื่อดึงรหัสด้วยตนเองและดำเนินการค้นหา OUI ด้วยตนเอง สามไบต์แรกของเฟรมคือ ปลายทาง OUI, ในขณะที่ไบต์ 6 - 8 คือ แหล่งข้อมูล OUI.
สิ่งที่คุณต้องทำคือวางเนื้อหาของทั้งสามไบต์ลงในเครื่องมือค้นหา OUI ออนไลน์เพื่อยืนยันผลลัพธ์เริ่มต้นของ Wireshark คุณสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับผู้ขายได้.
ในตัวอย่างนี้ฉันใช้ยูทิลิตี้ ping เพื่อสร้างทราฟฟิก ICMP เพื่อตรวจสอบรหัส OUI ในทางปฏิบัติการรับส่งข้อมูลใด ๆ จะทำงาน ตัวอย่างเช่นเว็บเซิร์ฟเวอร์อาจปิดการใช้งาน ping แต่ถ้าเป็นการให้บริการ HTTP คุณสามารถใช้ทราฟฟิกนั้นเพื่อพิจารณาผู้ขายอะแดปเตอร์เครือข่ายของโฮสต์ระยะไกล.
ตราบใดที่คุณสามารถให้คอมพิวเตอร์ตอบสนองต่อการ Ping หรือ ACK คำขอใด ๆ ของคุณคุณสามารถกำหนดได้ว่าใครทำอะแดปเตอร์เครือข่ายด้วยการค้นหา OUI. แม้ว่าการรับส่งข้อมูลจะถูกเข้ารหัสส่วนหัว OUI จะถูกส่งเป็นข้อความธรรมดา.
ค้นหา IPv6 OUI ใน Wireshark
Wireshark จัดการการค้นหา OUI ใน IPv6 เป็นวิธีเดียวกับ IPv4 นั่นเป็นเพราะรหัส OUI ถูกฝังอยู่ในส่วนหัวของเฟรมไม่ใช่ตัวแพ็กเก็ต.
นี่เป็นตัวอย่างของการ ping IPv6 ไปยังโฮสต์เดียวกันเหมือนเมื่อก่อน ฉันได้เปลี่ยนตัวกรองการจับภาพและการแสดงผลเพื่อนำเสนอข้อมูลอย่างชัดเจน.
คุณสามารถดูรหัส OUI ได้ในที่เดียวกันในส่วนหัวของแพ็กเก็ต Wireshark ทำการค้นหา OUI บนทราฟฟิก IPv6 โดยไม่มีการกำหนดค่าเพิ่มเติม.
Wireshark ทำให้การค้นหา OUI ทุกรายการเป็นเรื่องง่าย
เป็นการง่ายที่จะค้นหาผู้ขาย NIC ของคอมพิวเตอร์เครื่องใด ๆ เนื่องจากส่วนหัวของแต่ละแพ็คเก็ตมีรหัส OUI Wireshark ทำการค้นหาโดยอัตโนมัติ ไม่เป็นไรที่จะบอกว่าทุกคนไม่ว่าระดับประสบการณ์ของพวกเขาจะสามารถทำการค้นหา OUI ด้วย Wireshark ได้ มันเป็นหนึ่งในสิ่งเหล่านั้นที่ใช้งานได้ทันทีนอกกรอบ.
ที่เกี่ยวข้อง:
ใช้ Wireshark เพื่อรับที่อยู่ IP ของโฮสต์ที่ไม่รู้จัก
วิธีเรียกใช้การดักจับระยะไกลด้วย Wireshark และ tcpdump