A veces es útil conocer al fabricante de un adaptador de red determinado. Wireshark hace que esa información sea fácil de encontrar al realizar una búsqueda automática de OUI en cada cuadro capturado.
Aquí está todo lo que necesita saber sobre OUI en Wireshark.
¿Qué es un OUI??
Un Identificador Único Organizacional (OUI) es un código incrustado en los primeros tres bytes de una dirección MAC. Identifica el proveedor del dispositivo. Por ejemplo, si los primeros tres bytes de su adaptador de red son 3C: FD: FE, Intel vendió su tarjeta.
Para dar un ejemplo, la dirección MAC de mi computadora portátil es 54: 27: 1E: 44: EC: BA. Eso significa que el OUI es 54: 27: 1E y los tres bytes finales son un identificador único.
Una advertencia a tener en cuenta es que el OUI denota al vendedor y no al fabricante del chipset. En los ejemplos a continuación, el proveedor de OUI aparece como AzureWave, pero Qualcomm fabricó el conjunto de chips. Esto se debe a que AzureWave empaquetó un chipset Qualcomm en una minitarjeta PCIe. Registraron la tarjeta con la Autoridad de registro de IEEE, por lo que AzureWave es el proveedor.
Búsqueda de OUI en Wireshark
Wireshark automatiza la búsqueda de OUI, lo que facilita la identificación del proveedor de cualquier adaptador de red. Necesita saber la dirección IP o el nombre de host de la máquina de destino. Wireshark hace el resto.
Búsqueda de ping
Una de las formas más fáciles de realizar una búsqueda de OUI en un host determinado es hacer un ping. En el ejemplo anterior, utilicé un filtro de pantalla para mostrar solo la respuesta de ping.
Una vez que la sesión se haya capturado y filtrado, haga clic en cualquier fotograma capturado y desplácese hacia abajo Ethernet II encabezado de marco en el Detalles del paquete ver.
Puede ver que Wireshark ya realizó una búsqueda de OUI y muestra al proveedor como Raspberr_b1 que identifica correctamente el adaptador de destino como hecho por Raspberry Pi.
Búsqueda manual
Si por alguna razón no está convencido de que Wireshark esté realizando la búsqueda de OUI correctamente, o si necesita información adicional sobre el proveedor, use el Bytes del paquete ver para extraer el código usted mismo y realizar una búsqueda manual de OUI. Los primeros tres bytes de la trama son los destino OUI, mientras que los bytes 6 a 8 son los fuente OUI.
Todo lo que tiene que hacer es pegar el contenido de esos tres bytes en una herramienta de búsqueda de OUI en línea para confirmar los resultados iniciales de Wireshark. Puede ver información adicional sobre el proveedor..
En este ejemplo, utilicé la utilidad ping para generar tráfico ICMP para examinar el código OUI. En la práctica, cualquier tráfico funcionará. Por ejemplo, un servidor web puede tener ping deshabilitado. Pero si está sirviendo HTTP, puede usar ese tráfico para determinar el proveedor del adaptador de red del host remoto.
Siempre que pueda hacer que una computadora responda a pings o ACK cualquiera de sus solicitudes, puede determinar quién hizo su adaptador de red con una búsqueda OUI. Incluso si el tráfico está encriptado, el encabezado OUI se transmite en texto sin formato.
Búsqueda de IPv6 OUI en Wireshark
Wireshark maneja la búsqueda de OUI en IPv6 de la misma manera que IPv4. Esto se debe a que el código OUI está incrustado en el encabezado del marco, no en el paquete en sí.
Aquí hay un ejemplo de ping IPv6 al mismo host que antes. He cambiado los filtros de captura y visualización para presentar los datos claramente.
Puede ver los códigos OUI exactamente en el mismo lugar en el encabezado del paquete. Wireshark realiza la búsqueda de OUI en el tráfico IPv6 sin configuración adicional.
Wireshark hace que cada búsqueda de OUI sea fácil
Es trivial encontrar el proveedor de la NIC de cualquier computadora, ya que el encabezado de cada paquete incluye un código OUI. Wireshark realiza la búsqueda automáticamente. No es difícil decir que cualquiera, independientemente de su nivel de experiencia, puede realizar una búsqueda OUI con Wireshark. Es una de esas cosas que simplemente funciona, desde el primer momento..
Relacionado:
Usando Wireshark para obtener la dirección IP de un host desconocido
Cómo ejecutar una captura remota con Wireshark y tcpdump
de un adaptador de red específico gracias a la función de búsqueda automática de OUI en Wireshark. Un OUI es un código incrustado en los primeros tres bytes de una dirección MAC que identifica al proveedor del dispositivo. Wireshark automatiza la búsqueda de OUI, lo que facilita la identificación del proveedor de cualquier adaptador de red. Además, Wireshark maneja la búsqueda de OUI en IPv6 de la misma manera que IPv4. En resumen, Wireshark hace que cada búsqueda de OUI sea fácil y eficiente.