So finden Sie die MAC-Adresse mit WireShark

Als kostenloser und quelloffener Paketanalysator bietet Wireshark viele praktische Funktionen. Eine davon besteht darin, MAC-Adressen (Media Access Control) zu finden, die Ihnen weitere Informationen über verschiedene Pakete in einem Netzwerk liefern können.

Wenn Sie neu bei Wireshark sind und nicht wissen, wie Sie MAC-Adressen finden, sind Sie hier genau richtig. Hier erfahren Sie mehr über MAC-Adressen, erklären, warum sie nützlich sind, und geben Schritte zum Auffinden dieser Adressen an.

Was ist eine MAC-Adresse?

Eine MAC-Adresse ist eine eindeutige Kennung, die Netzwerkgeräten wie Computern, Switches und Routern zugewiesen wird. Diese Adressen werden normalerweise vom Hersteller zugewiesen und als sechs Gruppen mit zwei Hexadezimalziffern dargestellt.

Wofür wird eine MAC-Adresse in Wireshark verwendet?

Die Hauptaufgabe einer MAC-Adresse besteht darin, die Quelle und das Ziel eines Pakets zu kennzeichnen. Sie können sie auch verwenden, um den Pfad eines bestimmten Pakets durch ein Netzwerk zu verfolgen, den Webverkehr zu überwachen, böswillige Aktivitäten zu identifizieren und Netzwerkprotokolle zu analysieren.

Wireshark So finden Sie die MAC-Adresse

Das Finden der MAC-Adresse in Wireshark ist relativ einfach. Hier zeigen wir Ihnen, wie Sie in Wireshark eine Quell-MAC-Adresse und eine Ziel-MAC-Adresse finden.

So finden Sie eine Quell-MAC-Adresse in Wireshark

Eine Quell-MAC-Adresse ist die Adresse des Geräts, das das Paket sendet. Sie können sie normalerweise im Ethernet-Header des Pakets sehen. Mit der Quell-MAC-Adresse können Sie den Pfad eines Pakets durch das Netzwerk verfolgen und die Quelle jedes Pakets identifizieren.

Die Quell-MAC-Adresse eines Pakets finden Sie auf der Registerkarte „Ethernet“. So gelangen Sie dorthin:

1. Öffnen Sie Wireshark und erfassen Sie Pakete.
   
2. Wählen Sie das Paket aus, an dem Sie interessiert sind, und zeigen Sie dessen Details an.
   
3. Wählen und erweitern Sie „Frame“, um weitere Informationen zum Paket zu erhalten.
   
4. Gehen Sie zur Überschrift „Ethernet“, um Ethernet-Details anzuzeigen.
   
5. Wählen Sie das Feld „Quelle“ aus. Hier sehen Sie die Quell-MAC-Adresse.
   

So finden Sie eine Ziel-MAC-Adresse in Wireshark

Eine Ziel-MAC-Adresse stellt die Adresse des Geräts dar, das ein Paket empfängt. Die Ziel-MAC-Adresse befindet sich wie die Quelladresse im Ethernet-Header. Führen Sie die folgenden Schritte aus, um eine Ziel-MAC-Adresse in Wireshark zu finden:

1. Öffnen Sie Wireshark und beginnen Sie mit der Paketerfassung.
   
2. Suchen Sie das Paket, das Sie analysieren möchten, und beobachten Sie seine Details im Detailbereich.
   
3. Wählen Sie „Frame“, um weitere Daten darüber zu erhalten.
   
4. Gehen Sie zu „Ethernet“. Sie sehen „Quelle“, „Ziel“ und „Typ“.
   
5. Wählen Sie das Feld „Ziel“ aus und sehen Sie sich die Ziel-MAC-Adresse an.
   

So bestätigen Sie eine MAC-Adresse im Ethernet-Verkehr

Wenn Sie Netzwerkprobleme beheben oder böswilligen Datenverkehr identifizieren möchten, möchten Sie möglicherweise überprüfen, ob ein bestimmtes Paket von der richtigen Quelle gesendet und an das richtige Ziel weitergeleitet wird. Befolgen Sie die nachstehenden Anweisungen, um eine MAC-Adresse im Ethernet-Verkehr zu bestätigen:

1. Zeigen Sie die physische Adresse Ihres Computers an, indem Sie ipconfig/all oder Getmac verwenden.
   
2. Sehen Sie sich die Felder „Quelle“ und „Ziel“ im erfassten Datenverkehr an und vergleichen Sie die physische Adresse Ihres Computers damit. Anhand dieser Daten können Sie überprüfen, welche Frames von Ihrem Computer gesendet oder empfangen wurden, je nachdem, woran Sie interessiert sind.
   
3. Verwenden Sie arp-a, um den ARP-Cache (Address Resolution Protocol) anzuzeigen.
   
4. Suchen Sie die IP-Adresse des Standard-Gateways, die in der Eingabeaufforderung verwendet wird, und sehen Sie sich seine physische Adresse an. Überprüfen Sie, ob die physische Adresse des Gateways mit einigen der Felder „Quelle“ und „Ziel“ im erfassten Datenverkehr übereinstimmt.
   
5. Schließen Sie die Aktivität ab, indem Sie Wireshark schließen. Wenn Sie den erfassten Datenverkehr verwerfen möchten, klicken Sie auf „Beenden ohne Speichern“.
   

So filtern Sie eine MAC-Adresse in Wireshark

Mit Wireshark können Sie Filter verwenden und große Informationsmengen schnell durchsuchen. Dies ist besonders nützlich, wenn bei einem bestimmten Gerät ein Problem vorliegt. In Wireshark können Sie nach der Quell-MAC-Adresse oder der Ziel-MAC-Adresse filtern.

So filtern Sie nach Quell-MAC-Adresse in Wireshark

Wenn Sie in Wireshark nach der Quell-MAC-Adresse filtern möchten, müssen Sie Folgendes tun:

1. Gehen Sie zu Wireshark und suchen Sie oben nach dem Feld „Filter“.
   
2. Geben Sie diese Syntax ein: „ether.src == macaddress“. Ersetzen Sie „macaddress“ durch die gewünschte Quelladresse. Denken Sie daran, beim Anwenden des Filters keine Anführungszeichen zu verwenden.
   

So filtern Sie nach der Ziel-MAC-Adresse in Wireshark

Mit Wireshark können Sie nach Ziel-MAC-Adresse filtern. So geht's:

1. Starten Sie Wireshark und suchen Sie das Filterfeld oben im Fenster.
   
2. Geben Sie diese Syntax ein: „ether.dst == macaddress“. Stellen Sie sicher, dass Sie „macaddress“ durch die Zieladresse ersetzen und beim Anwenden des Filters keine Anführungszeichen verwenden.
   

Weitere wichtige Filter in Wireshark

Anstatt Stunden damit zu verschwenden, große Mengen an Informationen zu durchsuchen, können Sie mit Wireshark eine Abkürzung mit Filtern nutzen.

ip.addr == xxxx

Dies ist einer der am häufigsten verwendeten Filter in Wireshark. Mit diesem Filter werden Ihnen nur erfasste Pakete angezeigt, die die gewählte IP-Adresse enthalten.

Der Filter ist besonders praktisch für diejenigen, die sich auf eine Art von Verkehr konzentrieren möchten.

Sie können nach Quell- oder Ziel-IP-Adresse filtern.

Wenn Sie nach Quell-IP-Adresse filtern möchten, verwenden Sie diese Syntax: „ip.src == xxxx“. Ersetzen Sie „xxxx“ durch die gewünschte IP-Adresse und entfernen Sie Anführungszeichen, wenn Sie die Syntax in das Feld eingeben.

Wer nach Quell-IP-Adresse filtern möchte, sollte diese Syntax in das Filterfeld eingeben: „ip.dst == xxxx“. Verwenden Sie statt „xxxx“ die gewünschte IP-Adresse und entfernen Sie Anführungszeichen.

Wenn Sie mehrere IP-Adressen filtern möchten, verwenden Sie diese Syntax: „ip.addr == xxxx und ip.addr == yyyy“.

ip.addr == xxxx && ip.addr == xxxx

Wenn Sie Daten zwischen zwei bestimmten Hosts oder Netzwerken identifizieren und analysieren möchten, kann dieser Filter äußerst hilfreich sein. Es entfernt unnötige Daten und zeigt in nur wenigen Sekunden die gewünschten Ergebnisse an.

http

Wenn Sie nur HTTP-Verkehr analysieren möchten, geben Sie „http“ in das Filterfeld ein. Denken Sie daran, beim Anwenden des Filters keine Anführungszeichen zu verwenden.

DNS

Mit Wireshark können Sie erfasste Pakete nach DNS filtern. Um nur den DNS-Verkehr anzuzeigen, müssen Sie lediglich „dns“ in das Feld „Filter“ eingeben.

Wenn Sie spezifischere Ergebnisse wünschen und nur DNS-Abfragen anzeigen möchten, verwenden Sie diese Syntax: „dns.flags.response == 0“. Achten Sie darauf, bei der Eingabe des Filters keine Anführungszeichen zu verwenden.

Wenn Sie DNS-Antworten filtern möchten, verwenden Sie diese Syntax: „dns.flags.response == 1“.

Frame enthält Datenverkehr

Mit diesem praktischen Filter können Sie Pakete filtern, die das Wort „Verkehr“ enthalten. Dies ist besonders wertvoll für diejenigen, die nach einer bestimmten Benutzer-ID oder Zeichenfolge suchen möchten.

tcp.port == XXX

Sie können diesen Filter verwenden, wenn Sie den Datenverkehr analysieren möchten, der an einem bestimmten Port ein- oder ausgeht.

ip.addr >= xxxx und ip.addr <= yyyy

Mit diesem Wireshark-Filter können Sie nur Pakete mit einem bestimmten IP-Bereich anzeigen. Es lautet wie folgt: „IP-Adressen filtern, die größer oder gleich xxxx und kleiner oder gleich yyyy sind“. Ersetzen Sie „xxxx“ und „yyyy“ durch die gewünschten IP-Adressen. Anstelle von „und“ können Sie auch „&&“ verwenden.

Frame.time >= 12. August 2017 09:53:18 und Frame.time <= 12. August 2017 17:53:18

Wenn Sie den eingehenden Verkehr mit einer bestimmten Ankunftszeit analysieren möchten, können Sie diesen Filter verwenden, um die entsprechenden Informationen zu erhalten. Beachten Sie, dass es sich hierbei lediglich um Beispieldaten handelt. Sie sollten diese durch die gewünschten Daten ersetzen, je nachdem, was Sie analysieren möchten.

!(Filtersyntax)

Wenn Sie vor einer Filtersyntax ein Ausrufezeichen setzen, schließen Sie diese aus den Ergebnissen aus. Wenn Sie beispielsweise „!(ip.addr == 10.1.1.1)“ eingeben, werden alle Pakete angezeigt, die diese IP-Adresse nicht enthalten. Beachten Sie, dass Sie beim Anwenden des Filters keine Anführungszeichen verwenden sollten.

So speichern Sie Wireshark-Filter

Wenn Sie einen bestimmten Filter in Wireshark nicht oft verwenden, werden Sie ihn wahrscheinlich mit der Zeit vergessen. Der Versuch, sich die richtige Syntax zu merken und Zeit damit zu verschwenden, online danach zu suchen, kann sehr frustrierend sein. Glücklicherweise kann Wireshark Ihnen mit zwei wertvollen Optionen dabei helfen, solche Szenarien zu verhindern.

Die erste Option ist die automatische Vervollständigung und kann für diejenigen nützlich sein, die sich an den Anfang des Filters erinnern. Sie können beispielsweise „tcp“ eingeben und Wireshark zeigt eine Liste von Filtern an, die mit dieser Sequenz beginnen.

Die zweite Option sind Lesezeichenfilter. Dies ist eine unschätzbare Option für diejenigen, die häufig komplexe Filter mit langer Syntax verwenden. So können Sie Ihren Filter mit einem Lesezeichen versehen:

1. Öffnen Sie Wireshark und klicken Sie auf das Lesezeichensymbol. Sie finden es auf der linken Seite des Filterfelds.
2. Wählen Sie „Anzeigefilter verwalten“.
3. Suchen Sie den gewünschten Filter in der Liste und drücken Sie das Pluszeichen, um ihn hinzuzufügen.

Wenn Sie diesen Filter das nächste Mal benötigen, klicken Sie auf das Lesezeichensymbol und suchen Sie Ihren Filter in der Liste.

FAQ

Kann ich Wireshark in einem öffentlichen Netzwerk ausführen?

Wenn Sie sich fragen, ob der Betrieb von Wireshark in einem öffentlichen Netzwerk legal ist, lautet die Antwort „Ja“. Das bedeutet jedoch nicht, dass Sie Wireshark in jedem Netzwerk ausführen sollten. Lesen Sie unbedingt die Allgemeinen Geschäftsbedingungen des Netzwerks, das Sie nutzen möchten. Wenn das Netzwerk die Verwendung von Wireshark verbietet und Sie es trotzdem betreiben, kann es sein, dass Sie aus dem Netzwerk verbannt oder sogar verklagt werden.

Wireshark beißt nicht

Von der Fehlerbehebung in Netzwerken über die Verfolgung von Verbindungen bis hin zur Analyse des Datenverkehrs bietet Wireshark viele Einsatzmöglichkeiten. Mit dieser Plattform können Sie mit nur wenigen Klicks eine bestimmte MAC-Adresse finden. Da die Plattform kostenlos und auf mehreren Betriebssystemen verfügbar ist, genießen Millionen von Menschen weltweit ihre praktischen Optionen.

Wofür nutzen Sie Wireshark? Was ist Ihre Lieblingsoption? Sagen Sie es uns im Kommentarbereich unten.