Comment trouver une adresse MAC avec WireShark

En tant qu'analyseur de paquets gratuit et open source, Wireshark offre de nombreuses fonctionnalités pratiques. L'un d'eux consiste à trouver des adresses de contrôle d'accès au support (MAC), qui peuvent vous donner plus d'informations sur les différents paquets sur un réseau.

Si vous êtes nouveau sur Wireshark et que vous ne savez pas comment trouver des adresses MAC, vous êtes au bon endroit. Ici, nous vous en dirons plus sur les adresses MAC, vous expliquerons pourquoi elles sont utiles et vous fournirons les étapes pour les trouver.

Qu'est-ce qu'une adresse MAC ?

Une adresse MAC est un identifiant unique attribué aux périphériques réseau tels que les ordinateurs, les commutateurs et les routeurs. Ces adresses sont généralement attribuées par le fabricant et sont représentées par six groupes de deux chiffres hexadécimaux.

À quoi sert une adresse MAC dans Wireshark ?

Le rôle principal d'une adresse MAC est de marquer la source et la destination d'un paquet. Vous pouvez également les utiliser pour suivre le chemin d'un paquet spécifique sur un réseau, surveiller le trafic Web, identifier les activités malveillantes et analyser les protocoles réseau.

Wireshark Comment trouver l'adresse MAC

Trouver l'adresse MAC dans Wireshark est relativement facile. Ici, nous allons vous montrer comment trouver une adresse MAC source et une adresse MAC de destination dans Wireshark.

Comment trouver une adresse MAC source dans Wireshark

Une adresse MAC source est l'adresse de l'appareil qui envoie le paquet, et vous pouvez généralement la voir dans l'en-tête Ethernet du paquet. Avec l'adresse MAC source, vous pouvez suivre le chemin d'un paquet sur le réseau et identifier la source de chaque paquet.

Vous pouvez trouver l'adresse MAC source d'un paquet dans l'onglet Ethernet. Voici comment y accéder :

1. Ouvrez Wireshark et capturez les paquets.
   
2. Sélectionnez le paquet qui vous intéresse et affichez ses détails.
   
3. Sélectionnez et développez "Frame" pour obtenir plus d'informations sur le paquet.
   
4. Accédez à l'en-tête "Ethernet" pour afficher les détails Ethernet.
   
5. Sélectionnez le champ "Source". Ici, vous verrez l'adresse MAC source.
   

Comment trouver une adresse MAC de destination dans Wireshark

Une adresse MAC de destination représente l'adresse du périphérique recevant un paquet. Comme l'adresse source, l'adresse MAC de destination se trouve dans l'en-tête Ethernet. Suivez les étapes ci-dessous pour trouver une adresse MAC de destination dans Wireshark :

1. Ouvrez Wireshark et commencez à capturer des paquets.
   
2. Recherchez le paquet que vous souhaitez analyser et observez ses détails dans le volet de détails.
   
3. Choisissez "Frame" pour obtenir plus de données à ce sujet.
   
4. Allez dans "Ethernet". Vous verrez "Source", "Destination" et "Type".
   
5. Sélectionnez le champ "Destination" et affichez l'adresse MAC de destination.
   

Comment confirmer une adresse MAC dans le trafic Ethernet

Si vous résolvez des problèmes de réseau ou souhaitez identifier le trafic malveillant, vous pouvez vérifier si un paquet particulier est envoyé depuis la bonne source et acheminé vers la bonne destination. Suivez les instructions ci-dessous pour confirmer une adresse MAC dans le trafic Ethernet :

1. Affichez l'adresse physique de votre ordinateur en utilisant ipconfig/all ou Getmac.
   
2. Affichez les champs Source et Destination dans le trafic que vous avez capturé et comparez-y l'adresse physique de votre ordinateur. Utilisez ces données pour vérifier quelles trames ont été envoyées ou reçues par votre ordinateur, selon ce qui vous intéresse.
   
3. Utilisez arp-a pour voir le cache ARP (Address Resolution Protocol).
   
4. Recherchez l'adresse IP de la passerelle par défaut utilisée dans l'invite de commande et affichez son adresse physique. Vérifiez si l'adresse physique de la passerelle correspond à certains des champs « Source » et « Destination » du trafic capturé.
   
5. Terminez l'activité en fermant Wireshark. Si vous souhaitez supprimer le trafic capturé, appuyez sur "Quitter sans enregistrer".
   

Comment filtrer une adresse MAC dans Wireshark

Wireshark vous permet d'utiliser des filtres et de parcourir rapidement de grandes quantités d'informations. Ceci est particulièrement utile s'il y a un problème avec un certain appareil. Dans Wireshark, vous pouvez filtrer par l'adresse MAC source ou l'adresse MAC de destination.

Comment filtrer par adresse MAC source dans Wireshark

Si vous souhaitez filtrer par adresse MAC source dans Wireshark, voici ce que vous devez faire :

1. Accédez à Wireshark et recherchez le champ Filtre situé en haut.
   
2. Entrez cette syntaxe : « ether.src == macaddress ». Remplacez "macaddress" par l'adresse source souhaitée. N'oubliez pas de ne pas utiliser de guillemets lors de l'application du filtre.
   

Comment filtrer par adresse MAC de destination dans Wireshark

Wireshark vous permet de filtrer par adresse MAC de destination. Voici comment procéder :

1. Lancez Wireshark et localisez le champ Filtre en haut de la fenêtre.
   
2. Entrez cette syntaxe : « ether.dst == macaddress ». Assurez-vous de remplacer "macaddress" par l'adresse de destination et n'oubliez pas de ne pas utiliser de guillemets lors de l'application du filtre.
   

Autres filtres importants dans Wireshark

Au lieu de perdre des heures à parcourir de grandes quantités d'informations, Wireshark vous permet de prendre un raccourci avec des filtres.

ip.addr == xxxx

C'est l'un des filtres les plus couramment utilisés dans Wireshark. Avec ce filtre, vous n'affichez que les packages capturés contenant l'adresse IP choisie.

Le filtre est particulièrement pratique pour ceux qui souhaitent se concentrer sur un seul type de trafic.

Vous pouvez filtrer par adresse IP source ou destination.

Si vous souhaitez filtrer par adresse IP source, utilisez cette syntaxe : "ip.src == xxxx". Remplacez "xxxx" par l'adresse IP souhaitée et supprimez les guillemets lors de la saisie de la syntaxe dans le champ.

Ceux qui souhaitent filtrer par adresse IP source doivent saisir cette syntaxe dans le champ Filtre : "ip.dst == xxxx". Utilisez l'adresse IP souhaitée au lieu de "xxxx" et supprimez les guillemets.

Si vous souhaitez filtrer plusieurs adresses IP, utilisez cette syntaxe : "ip.addr == xxxx and ip.addr == yyyy".

ip.addr == xxxx && ip.addr == xxxx

Si vous souhaitez identifier et analyser des données entre deux hôtes ou réseaux spécifiques, ce filtre peut être extrêmement utile. Il supprimera les données inutiles et affichera les résultats souhaités en quelques secondes seulement.

http

Si vous souhaitez analyser uniquement le trafic HTTP, saisissez « http » dans la zone Filtre. N'oubliez pas de ne pas utiliser de guillemets lors de l'application du filtre.

DNS

Wireshark vous permet de filtrer les paquets capturés par DNS. Tout ce que vous avez à faire pour afficher uniquement le trafic DNS est de saisir "dns" dans le champ Filtre.

Si vous souhaitez des résultats plus précis et afficher uniquement les requêtes DNS, utilisez cette syntaxe : "dns.flags.response == 0". Assurez-vous de ne pas utiliser de guillemets lors de la saisie du filtre.

Si vous souhaitez filtrer les réponses DNS, utilisez cette syntaxe : "dns.flags.response == 1".

le cadre contient du trafic

Ce filtre pratique vous permet de filtrer les paquets contenant le mot « trafic ». Il est particulièrement utile pour ceux qui souhaitent rechercher un ID utilisateur ou une chaîne spécifique.

tcp.port == XXX

Vous pouvez utiliser ce filtre si vous souhaitez analyser le trafic entrant ou sortant d'un port spécifique.

ip.addr >= xxxx et ip.addr <= yyyy

Ce filtre Wireshark vous permet d'afficher uniquement les paquets avec une plage IP spécifique. Il se lit comme "filtrer les adresses IP supérieures ou égales à xxxx et inférieures ou égales à yyyy" Remplacez "xxxx" et "yyyy" par les adresses IP souhaitées. Vous pouvez également utiliser "&&" au lieu de "et".

frame.time >= 12 août 2017 09:53:18 et frame.time <= 12 août 2017 17:53:18

Si vous souhaitez analyser le trafic entrant avec une heure d'arrivée spécifique, vous pouvez utiliser ce filtre pour obtenir les informations pertinentes. Gardez à l'esprit que ce ne sont que des exemples de dates. Vous devez les remplacer par les dates souhaitées, en fonction de ce que vous souhaitez analyser.

!(syntaxe de filtre)

Si vous placez un point d'exclamation devant une syntaxe de filtre, vous l'excluez des résultats. Par exemple, si vous tapez « !(ip.addr == 10.1.1.1) », vous verrez tous les paquets qui ne contiennent pas cette adresse IP. N'oubliez pas que vous ne devez pas utiliser de guillemets lors de l'application du filtre.

Comment enregistrer les filtres Wireshark

Si vous n'utilisez pas souvent un filtre particulier dans Wireshark, vous l'oublierez probablement avec le temps. Essayer de se souvenir de la syntaxe correcte et perdre du temps à la rechercher en ligne peut être très frustrant. Heureusement, Wireshark peut vous aider à éviter de tels scénarios grâce à deux options intéressantes.

La première option est l'auto-complétion, et elle peut être utile pour ceux qui se souviennent du début du filtre. Par exemple, vous pouvez taper "tcp" et Wireshark affichera une liste de filtres commençant par cette séquence.

La deuxième option est les filtres de signets. C'est une option inestimable pour ceux qui utilisent souvent des filtres complexes avec une longue syntaxe. Voici comment marquer votre filtre :

1. Ouvrez Wireshark et appuyez sur l'icône de signet. Vous pouvez le trouver sur le côté gauche du champ Filtre.
2. Sélectionnez "Gérer les filtres d'affichage".
3. Trouvez le filtre souhaité dans la liste et appuyez sur le signe plus pour l'ajouter.

La prochaine fois que vous aurez besoin de ce filtre, appuyez sur l'icône de signet et recherchez votre filtre dans la liste.

FAQ

Puis-je exécuter Wireshark sur un réseau public ?

Si vous vous demandez si l'exécution de Wireshark sur un réseau public est légale, la réponse est oui. Mais cela ne signifie pas que vous devez exécuter Wireshark sur n'importe quel réseau. Assurez-vous de lire les termes et conditions du réseau que vous souhaitez utiliser. Si le réseau interdit l'utilisation de Wireshark et que vous l'exécutez toujours, vous pourriez être banni du réseau ou même poursuivi en justice.

Wireshark ne mord pas

Du dépannage des réseaux au traçage des connexions et à l'analyse du trafic, Wireshark a de nombreuses utilisations. Avec cette plateforme, vous pouvez trouver une adresse MAC spécifique en quelques clics seulement. Étant donné que la plate-forme est gratuite et disponible sur plusieurs systèmes d'exploitation, des millions de personnes dans le monde profitent de ses options pratiques.

Pourquoi utilisez-vous Wireshark ? Quelle est votre option préférée ? Dites-nous dans la section commentaires ci-dessous.