Xác định phần cứng với tra cứu OUI trong Wireshark
Đôi khi, rất hữu ích khi biết nhà sản xuất bộ điều hợp mạng nhất định. Wireshark làm cho thông tin đó dễ dàng tìm thấy bằng cách thực hiện tra cứu OUI tự động trên mọi khung hình đã chụp.
Tại đây, mọi thứ bạn cần biết về OUI trong Wireshark.
OUI là gì?
Mã định danh duy nhất tổ chức (OUI) là một mã được nhúng trong ba byte đầu tiên của địa chỉ MAC. Nó xác định nhà cung cấp thiết bị trên mạng. Chẳng hạn, nếu ba byte đầu tiên của bộ điều hợp mạng của bạn là 3C: FD: FE, thẻ của bạn đã được Intel bán ra.
Để đưa ra một ví dụ, địa chỉ MAC của máy tính xách tay của tôi là 54: 27: 1E: 44: EC: BA. Điều đó có nghĩa là OUI là 54: 27: 1E và ba byte cuối cùng là một định danh duy nhất.
Một lưu ý cần lưu ý là OUI biểu thị nhà cung cấp chứ không phải nhà sản xuất chipset. Trong các ví dụ bên dưới, nhà cung cấp OUI hiển thị dưới dạng AzureWave, nhưng Qualcomm đã sản xuất chipset. Đó là vì AzureWave đã đóng gói chipset Qualcomm vào thẻ mini PCIe. Họ đã đăng ký thẻ với Cơ quan đăng ký IEEE, vì vậy AzureWave là nhà cung cấp.
Tra cứu OUI trong Wireshark
Wireshark tự động hóa tra cứu OUI, giúp dễ dàng xác định nhà cung cấp của bất kỳ bộ điều hợp mạng cụ thể nào. Bạn cần biết địa chỉ IP hoặc tên máy chủ của máy đích. Wireshark làm phần còn lại.
Tra cứu Ping
Một trong những cách dễ nhất để thực hiện tra cứu OUI trên một máy chủ nhất định là ping nó. Trong ví dụ trên, tôi đã sử dụng bộ lọc hiển thị để chỉ hiển thị phản hồi ping.
Khi phiên được chụp và lọc, nhấp vào bất kỳ khung đã chụp nào và cuộn xuống Ethernet II tiêu đề khung trong Chi tiết gói lượt xem.
Bạn có thể thấy rằng Wireshark đã thực hiện tra cứu OUI và đang hiển thị cho nhà cung cấp dưới dạng Raspberr_b1 trong đó xác định chính xác bộ điều hợp đích được tạo bởi Raspberry Pi.
Tra cứu thủ công
Nếu vì lý do nào đó, bạn không tin rằng Wireshark đang thực hiện tra cứu OUI đúng cách hoặc bạn cần thêm thông tin về nhà cung cấp, hãy sử dụng Gói byte xem để tự kéo mã và thực hiện tra cứu OUI thủ công. Ba byte đầu tiên của khung là OUI đích, trong khi byte 6 – 8 là nguồn OUI.
Tất cả những gì bạn phải làm là dán nội dung của ba byte đó vào một công cụ tra cứu OUI trực tuyến để xác nhận kết quả ban đầu của Wireshark. Bạn có thể xem một số thông tin bổ sung về nhà cung cấp.
Trong ví dụ này, tôi đã sử dụng tiện ích ping để tạo lưu lượng ICMP để kiểm tra mã OUI. Trong thực tế, bất kỳ lưu lượng truy cập nào sẽ làm việc. Chẳng hạn, một máy chủ web có thể đã bị vô hiệu hóa ping. Nhưng nếu nó phục vụ HTTP, bạn có thể sử dụng lưu lượng đó để xác định nhà cung cấp bộ điều hợp mạng máy chủ từ xa.
Miễn là bạn có thể khiến máy tính phản hồi ping hoặc ACK bất kỳ yêu cầu nào của bạn, bạn có thể xác định ai đã thực hiện bộ điều hợp mạng với tra cứu OUI. Ngay cả khi lưu lượng được mã hóa, tiêu đề OUI vẫn được truyền trong bản rõ.
Tra cứu IPv6 OUI trong Wireshark
Wireshark xử lý tra cứu OUI trong IPv6 giống như IPv4. Điều đó vì mã OUI được nhúng trong tiêu đề khung chứ không phải chính gói.
Ở đây, một ví dụ về ping ping đến cùng một máy chủ như trước đây. Tôi đã thay đổi các bộ lọc chụp và hiển thị để trình bày dữ liệu rõ ràng.
Bạn có thể thấy các mã OUI ở cùng một vị trí trong tiêu đề gói. Wireshark thực hiện tra cứu OUI trên lưu lượng IPv6 mà không cần cấu hình bổ sung.
Wireshark làm cho mọi tra cứu OUI dễ dàng
Nó tầm thường để tìm nhà cung cấp của bất kỳ máy tính nào của NIC, vì mỗi tiêu đề gói dữ liệu bao gồm một mã OUI. Wireshark thực hiện tra cứu tự động. Nó không phải là một căng thẳng để nói rằng bất cứ ai, bất kể mức độ kinh nghiệm của họ, có thể thực hiện tra cứu OUI với Wireshark. Nó là một trong những thứ chỉ hoạt động, ra khỏi hộp.
Liên quan:
Sử dụng Wireshark để lấy địa chỉ IP của Máy chủ không xác định
Cách chạy chụp từ xa với Wireshark và tcpdump