Às vezes, é útil conhecer o fabricante de um determinado adaptador de rede. O Wireshark facilita a localização dessas informações, realizando uma pesquisa OUI automática em todos os quadros capturados.
Aqui está tudo o que você precisa saber sobre OUI no Wireshark.
O que é um OUI?
Um identificador exclusivo organizacional (OUI) é um código incorporado nos três primeiros bytes de um endereço MAC. Identifica o fornecedor do dispositivo. Por exemplo, se os três primeiros bytes do seu adaptador de rede forem 3C: FD: FE, sua placa foi vendida pela Intel.
Para dar um exemplo, o endereço MAC do meu laptop é 54: 27: 1E: 44: EC: BA. Isso significa que a OUI é 54: 27: 1E e os três bytes finais são um identificador exclusivo.
Uma ressalva a ser lembrada é que a OUI indica o fornecedor e não o fabricante do chipset. Nos exemplos abaixo, o fornecedor da OUI aparece como AzureWave, mas a Qualcomm fabricou o chipset. Isso ocorre porque o AzureWave empacotou um chipset Qualcomm em uma miniplaca PCIe. Eles registraram o cartão na Autoridade de Registro IEEE, portanto, o AzureWave é o fornecedor.
Pesquisa OUI no Wireshark
O Wireshark automatiza a pesquisa OUI, o que facilita a identificação do fornecedor de qualquer adaptador de rede. Você precisa saber o endereço IP ou o nome do host da máquina de destino. Wireshark faz o resto.
Pesquisa de ping
Uma das maneiras mais fáceis de executar uma pesquisa OUI em um determinado host é fazer o ping. No exemplo acima, usei um filtro de exibição para mostrar apenas a resposta de ping.
Depois que a sessão for capturada e filtrada, clique em qualquer quadro capturado e role para baixo até o Ethernet II cabeçalho do quadro no Detalhes do pacote Visão.
Você pode ver que o Wireshark já executou uma pesquisa OUI e está mostrando o fornecedor como Raspberr_b1 que identifica corretamente o adaptador de destino como sendo feito pelo Raspberry Pi.
Pesquisa manual
Se, por algum motivo, você não estiver convencido de que o Wireshark está realizando a pesquisa OUI corretamente ou precisar de informações adicionais sobre o fornecedor, use o Bytes de pacote para obter o código você mesmo e executar uma pesquisa OUI manual. Os três primeiros bytes do quadro são os OUI de destino, enquanto os bytes 6 – 8 são os OUI de origem.
Tudo o que você precisa fazer é colar o conteúdo desses três bytes em uma ferramenta de pesquisa OUI on-line para confirmar os resultados iniciais do Wireshark. Você pode ver algumas informações adicionais sobre o fornecedor.
Neste exemplo, usei o utilitário ping para gerar tráfego ICMP para examinar o código OUI. Na prática, qualquer tráfego funcionará. Por exemplo, um servidor da web pode ter o ping desativado. Mas, se estiver servindo HTTP, você poderá usar esse tráfego para determinar o fornecedor do adaptador de rede do host remoto.
Contanto que você consiga que um computador responda a pings ou aceite ACK de qualquer uma das suas solicitações, você pode determinar quem fez seu adaptador de rede com uma pesquisa OUI. Mesmo se o tráfego estiver criptografado, o cabeçalho OUI é transmitido em texto sem formatação.
Pesquisa de OUI IPv6 no Wireshark
O Wireshark manipula a pesquisa OUI no IPv6 é da mesma maneira que o IPv4. Isso ocorre porque o código OUI está incorporado no cabeçalho do quadro, não no próprio pacote.
Aqui está um exemplo de um ping IPv6 no mesmo host de antes. Alterei os filtros de captura e exibição para apresentar os dados claramente.
Você pode ver os códigos OUI exatamente no mesmo local no cabeçalho do pacote. O Wireshark executa a pesquisa OUI no tráfego IPv6 sem configuração adicional.
O Wireshark facilita todas as pesquisas de OUI
É trivial encontrar o fornecedor da NIC de qualquer computador, pois o cabeçalho de cada pacote inclui um código OUI. O Wireshark realiza a pesquisa automaticamente. Não é exagero dizer que qualquer pessoa, independentemente do seu nível de experiência, pode realizar uma pesquisa OUI com o Wireshark. É uma daquelas coisas que simplesmente funciona, imediatamente.
Palavras-chave:
Usando o Wireshark para obter o endereço IP de um host desconhecido
Como executar uma captura remota com o Wireshark e o tcpdump
OUI exclusivo que identifica o fornecedor do dispositivo. O Wireshark é uma ferramenta útil para automatizar a pesquisa OUI em todos os quadros capturados, tornando mais fácil identificar o fabricante de um adaptador de rede. Além disso, o Wireshark permite realizar pesquisas OUI manualmente, caso seja necessário obter informações adicionais sobre o fornecedor. É importante lembrar que a OUI indica o fornecedor e não o fabricante do chipset, o que pode ser útil em casos em que o chipset foi empacotado por outro fabricante. O Wireshark também facilita a pesquisa de OUI em tráfego IPv6, tornando a identificação do fornecedor ainda mais fácil. Em resumo, o Wireshark é uma ferramenta valiosa para quem precisa identificar o fabricante de um adaptador de rede.