A volte è utile conoscere il produttore di una determinata scheda di rete. Wireshark semplifica la ricerca di tali informazioni eseguendo una ricerca OUI automatica su ogni frame acquisito.
Ecco tutto ciò che devi sapere sull’OUI di Wireshark.
Che cos’è un OUI?
Un identificativo univoco organizzativo (OUI) è un codice incorporato nei primi tre byte di un indirizzo MAC. Identifica il fornitore del dispositivo. Ad esempio, se i primi tre byte della scheda di rete sono 3C: FD: FE, la scheda è stata venduta da Intel.
Per fare un esempio, l’indirizzo MAC del mio laptop è 54: 27: 1E: 44: EC: BA. Ciò significa che l’OUI è 54: 27: 1E e gli ultimi tre byte sono un identificatore univoco.
Un avvertimento da tenere a mente è che l’OUI indica il fornitore e non il produttore del chipset. Negli esempi seguenti, il fornitore OUI si presenta come AzureWave, ma Qualcomm ha prodotto il chipset. Questo perché AzureWave ha impacchettato un chipset Qualcomm su una mini card PCIe. Hanno registrato la scheda presso l’autorità di registrazione IEEE, quindi AzureWave è il fornitore.
Ricerca OUI a Wireshark
Wireshark automatizza la ricerca OUI, il che semplifica l’identificazione del fornitore di una determinata scheda di rete. È necessario conoscere l’indirizzo IP o il nome host del computer di destinazione. Wireshark fa il resto.
Ricerca ping
Uno dei modi più semplici per eseguire una ricerca OUI su un determinato host è eseguire il ping. Nell’esempio sopra, ho usato un filtro di visualizzazione per mostrare solo la risposta del ping.
Una volta che la sessione è stata acquisita e filtrata, fare clic su un frame acquisito e scorrere fino a Ethernet II intestazione del frame in Dettagli del pacchetto Visualizza.
Puoi vedere che Wireshark ha già eseguito una ricerca OUI e mostra il fornitore come Raspberr_b1 che identifica correttamente l’adattatore di destinazione creato da Raspberry Pi.
Ricerca manuale
Se per qualche motivo non sei convinto che Wireshark stia eseguendo correttamente la ricerca OUI o hai bisogno di ulteriori informazioni sul fornitore, utilizza il Byte di pacchetto per estrarre manualmente il codice ed eseguire una ricerca OUI manuale. I primi tre byte del frame sono i OUI di destinazione, mentre i byte 6 – 8 sono i sorgente OUI.
Tutto quello che devi fare è incollare il contenuto di questi tre byte in uno strumento di ricerca OUI online per confermare i risultati iniziali di Wireshark. È possibile visualizzare alcune informazioni aggiuntive sul fornitore.
In questo esempio ho usato l’utilità ping per generare traffico ICMP per esaminare il codice OUI. In pratica qualsiasi traffico funzionerà. Ad esempio, un server web potrebbe avere il ping disabilitato. Ma se serve HTTP, puoi utilizzare quel traffico per determinare il fornitore dell’adattatore di rete dell’host remoto.
Finché è possibile ottenere un computer per rispondere ai ping o ACK di una qualsiasi delle richieste, è possibile determinare chi ha effettuato la sua scheda di rete con una ricerca OUI. Anche se il traffico è crittografato, l’intestazione OUI viene trasmessa in testo normale.
Ricerca OUI IPv6 in Wireshark
Wireshark gestisce la ricerca OUI in IPv6 allo stesso modo di IPv4. Questo perché il codice OUI è incorporato nell’intestazione del frame, non nel pacchetto stesso.
Ecco un esempio di ping IPv6 allo stesso host di prima. Ho modificato i filtri di acquisizione e visualizzazione per presentare chiaramente i dati.
Puoi vedere i codici OUI esattamente nello stesso posto nell’intestazione del pacchetto. Wireshark esegue la ricerca OUI sul traffico IPv6 senza alcuna configurazione aggiuntiva.
Wireshark semplifica ogni ricerca OUI
È banale trovare il fornitore della scheda NIC di qualsiasi computer, poiché l’intestazione di ogni pacchetto include un codice OUI. Wireshark esegue la ricerca automaticamente. Non è un caso affermare che chiunque, indipendentemente dal proprio livello di esperienza, può eseguire una ricerca OUI con Wireshark. È una di quelle cose che funziona, fin da subito.
Relazionato:
Utilizzo di Wireshark per ottenere l’indirizzo IP di un host sconosciuto
Come eseguire un’acquisizione remota con Wireshark e tcpdump
ce OUI univoco che identifica il fornitore del dispositivo. Wireshark semplifica ulteriormente la ricerca di queste informazioni eseguendo automaticamente una ricerca OUI su ogni frame acquisito. In questo modo, è possibile identificare facilmente il produttore della scheda di rete di un determinato host. È importante tenere presente che lOUI indica il fornitore e non il produttore del chipset, ma è comunque uninformazione utile per la risoluzione dei problemi di rete. Wireshark è uno strumento potente e versatile che semplifica ogni ricerca OUI, sia in IPv4 che in IPv6.