有时了解给定网络适配器的制造商很有用。通过在每个捕获的帧上执行自动OUI查找,Wireshark使该信息易于查找.
这是您在Wireshark中需要了解的有关OUI的所有信息.
什么是OUI?
组织唯一标识符(OUI)是嵌入在MAC地址的前三个字节中的代码。它标识设备的供应商。例如,如果您的网络适配器的前三个字节是3C:FD:FE,则您的卡是由Intel出售的.
举个例子,我的笔记本电脑的MAC地址是54:27:1E:44:EC:BA。这意味着OUI为54:27:1E,最后三个字节是唯一标识符.
需要牢记的一个警告是,OUI表示卖方,而不是芯片组制造商。在下面的示例中,OUI供应商显示为AzureWave,但高通制造了该芯片组。那是因为AzureWave将Qualcomm芯片组封装在PCIe迷你卡上。他们在IEEE注册机构中注册了卡,因此AzureWave是供应商.
Wireshark中的OUI查找
Wireshark自动执行OUI查找,这使识别任何给定网络适配器的供应商变得非常容易。您需要知道目标计算机的IP地址或主机名。 Wireshark负责其余的工作.
Ping查询
在给定主机上执行OUI查找的最简单方法之一是对其进行ping操作。在上面的示例中,我使用了显示过滤器来仅显示ping回复.
捕获并过滤会话后,单击任何捕获的帧,然后向下滚动到 乙太网路II 中的帧头 封包详细资料 视图.
您可以看到Wireshark已经执行了OUI查找,并且将供应商显示为 Raspberr_b1 可以正确识别目标适配器是由Raspberry Pi制造的.
手动查询
如果由于某种原因您不确定Wireshark是否在正确执行OUI查找,或者您需要有关供应商的其他信息,请使用 包字节 视图以自己提取代码并执行手动OUI查找。帧的前三个字节是 目的地OUI, 而字节6 – 8是 源OUI.
您要做的就是将这三个字节的内容粘贴到在线OUI查找工具中,以确认Wireshark的初始结果。您可以查看有关供应商的其他信息.
在此示例中,我使用ping实用程序生成ICMP通信以检查OUI代码。实际上,任何流量都将起作用。例如,Web服务器可能已禁用ping。但是,如果使用HTTP,则可以使用该流量来确定远程主机的网络适配器的供应商.
只要您可以让计算机响应ping或ACK您的任何请求,就可以通过OUI查找来确定谁制作了它的网络适配器. 即使流量被加密,OUI标头也将以纯文本格式传输.
Wireshark中的IPv6 OUI查找
Wireshark处理IPv6中的OUI查找的方式与IPv4相同。那是因为OUI代码是嵌入在帧头中的,而不是包本身的.
这是一个与以前相同的主机进行IPv6 ping的示例。我更改了捕获和显示过滤器,以便清楚地显示数据.
您可以在数据包头中的完全相同的位置看到OUI代码。 Wireshark无需额外配置即可对IPv6流量执行OUI查找.
Wireshark使每个OUI查找变得容易
找到任何计算机的NIC的供应商都很简单,因为每个数据包的标头都包含一个OUI代码。 Wireshark自动执行查找。可以说任何人,无论其经验水平如何,都可以使用Wireshark执行OUI查找。这就是开箱即用的工作之一.
有关:
使用Wireshark获取未知主机的IP地址
如何使用Wireshark和tcpdump运行远程捕获
这篇文章介绍了Wireshark中的OUI查找功能,它可以帮助我们了解给定网络适配器的制造商。OUI是组织唯一标识符,它嵌入在MAC地址的前三个字节中,用于标识设备的供应商。Wireshark自动执行OUI查找,使识别任何给定网络适配器的供应商变得非常容易。我们可以使用ping操作或手动查询来确认Wireshark的初始结果,并查看有关供应商的其他信息。即使流量被加密,OUI标头也将以纯文本格式传输。Wireshark还可以对IPv6流量执行OUI查找,这使得每个OUI查找变得容易。总之,Wireshark是一个非常有用的工具,可以帮助我们更好地了解网络适配器的制造商。