WireShark로 MAC 주소를 찾는 방법

무료 오픈 소스 패킷 분석기인 Wireshark는 많은 편리한 기능을 제공합니다. 그 중 하나는 MAC(Media Access Control) 주소를 찾는 것인데, 이를 통해 네트워크의 다양한 패킷에 대한 자세한 정보를 알 수 있습니다.

Wireshark를 처음 사용하고 MAC 주소를 찾는 방법을 모른다면 잘 찾아오셨습니다. 여기에서는 MAC 주소에 대해 자세히 설명하고 주소가 유용한 이유를 설명하며 주소를 찾는 단계를 제공합니다.

MAC 주소란 무엇입니까?

MAC 주소는 컴퓨터, 스위치 및 라우터와 같은 네트워크 장치에 할당된 고유 식별자입니다. 이러한 주소는 일반적으로 제조업체에서 지정하며 2자리 16진수로 구성된 6개의 그룹으로 표시됩니다.

Wireshark에서 사용되는 MAC 주소는 무엇입니까?

MAC 주소의 주요 역할은 패킷의 소스와 대상을 표시하는 것입니다. 또한 이를 사용하여 네트워크를 통해 특정 패킷의 경로를 추적하고, 웹 트래픽을 모니터링하고, 악의적인 활동을 식별하고, 네트워크 프로토콜을 분석할 수 있습니다.

Wireshark MAC 주소를 찾는 방법

Wireshark에서 MAC 주소를 찾는 것은 상대적으로 쉽습니다. 여기에서는 Wireshark에서 소스 MAC 주소와 대상 MAC 주소를 찾는 방법을 보여줍니다.

Wireshark에서 소스 MAC 주소를 찾는 방법

소스 MAC 주소는 패킷을 보내는 장치의 주소이며 일반적으로 패킷의 이더넷 헤더에서 볼 수 있습니다. 소스 MAC 주소를 사용하여 네트워크를 통해 패킷의 경로를 추적하고 각 패킷의 소스를 식별할 수 있습니다.

이더넷 탭에서 패킷의 소스 MAC 주소를 찾을 수 있습니다. 접근 방법은 다음과 같습니다.

Wireshark를 열고 패킷을 캡처합니다.
관심 있는 패킷을 선택하고 세부 정보를 표시합니다.
패킷에 대한 자세한 정보를 보려면 "프레임"을 선택하고 확장합니다.
이더넷 세부 정보를 보려면 "이더넷" 헤더로 이동하십시오.
"소스" 필드를 선택합니다. 여기에 소스 MAC 주소가 표시됩니다.

Wireshark에서 대상 MAC 주소를 찾는 방법

대상 MAC 주소는 패킷을 수신하는 장치의 주소를 나타냅니다. 소스 주소와 마찬가지로 대상 MAC 주소는 이더넷 헤더에 있습니다. Wireshark에서 대상 MAC 주소를 찾으려면 아래 단계를 따르십시오.

Wireshark를 열고 패킷 캡처를 시작합니다.
세부 정보 창에서 분석하고 해당 세부 정보를 관찰하려는 패킷을 찾습니다.
더 많은 데이터를 얻으려면 "프레임"을 선택하십시오.
"이더넷"으로 이동합니다. "소스", "대상" 및 "유형"이 표시됩니다.
"대상" 필드를 선택하고 대상 MAC 주소를 봅니다.

이더넷 트래픽에서 MAC 주소를 확인하는 방법

네트워크 문제를 해결하거나 악의적인 트래픽을 식별하려는 경우 특정 패킷이 올바른 소스에서 전송되고 올바른 대상으로 라우팅되는지 여부를 확인할 수 있습니다. 이더넷 트래픽에서 MAC 주소를 확인하려면 아래 지침을 따르십시오.

ipconfig/all 또는 Getmac을 사용하여 컴퓨터의 물리적 주소를 표시합니다.
캡처한 트래픽의 소스 및 대상 필드를 보고 컴퓨터의 실제 주소를 비교하십시오. 관심 있는 항목에 따라 이 데이터를 사용하여 컴퓨터에서 보내거나 받은 프레임을 확인하십시오.
ARP(Address Resolution Protocol) 캐시를 보려면 arp-a를 사용하십시오.
명령 프롬프트에서 사용되는 기본 게이트웨이의 IP 주소를 찾아 물리적 주소를 봅니다. 게이트웨이의 물리적 주소가 캡처된 트래픽의 일부 "소스" 및 "대상" 필드와 일치하는지 확인하십시오.
Wireshark를 닫아 활동을 완료하십시오. 캡처된 트래픽을 삭제하려면 "저장하지 않고 종료"를 누르십시오.

Wireshark에서 MAC 주소를 필터링하는 방법

Wireshark를 사용하면 필터를 사용하고 많은 양의 정보를 빠르게 검토할 수 있습니다. 특정 장치에 문제가 있는 경우 특히 유용합니다. Wireshark에서는 소스 MAC 주소 또는 대상 MAC 주소로 필터링할 수 있습니다.

Wireshark에서 소스 MAC 주소로 필터링하는 방법

Wireshark에서 소스 MAC 주소로 필터링하려면 다음을 수행해야 합니다.

Wireshark로 이동하여 상단에 있는 필터 필드를 찾으십시오.
이 구문을 입력하십시오: “ether.src == macaddress”. "macaddress"를 원하는 소스 주소로 바꾸십시오. 필터를 적용할 때 따옴표를 사용하지 마십시오.

Wireshark에서 대상 MAC 주소로 필터링하는 방법

Wireshark를 사용하면 대상 MAC 주소로 필터링할 수 있습니다. 방법은 다음과 같습니다.

Wireshark를 시작하고 창 상단에서 필터 필드를 찾습니다.
이 구문을 입력하십시오: “ether.dst == macaddress”. "macaddress"를 대상 주소로 바꾸고 필터를 적용할 때 따옴표를 사용하지 않도록 하십시오.

Wireshark의 기타 중요한 필터

많은 양의 정보를 처리하는 데 시간을 낭비하는 대신 Wireshark를 사용하면 필터를 사용하여 바로 가기를 사용할 수 있습니다.

ip.addr == xxxx

이것은 Wireshark에서 가장 일반적으로 사용되는 필터 중 하나입니다. 이 필터를 사용하면 선택한 IP 주소를 포함하는 캡처된 패키지만 표시됩니다.

이 필터는 한 종류의 트래픽에 집중하려는 사람들에게 특히 편리합니다.

소스 또는 대상 IP 주소로 필터링할 수 있습니다.

소스 IP 주소로 필터링하려면 "ip.src == xxxx" 구문을 사용합니다. 필드에 구문을 입력할 때 "xxxx"를 원하는 IP 주소로 바꾸고 따옴표를 제거하십시오.

소스 IP 주소로 필터링하려는 사용자는 필터 필드에 "ip.dst == xxxx" 구문을 입력해야 합니다. "xxxx" 대신 원하는 IP 주소를 사용하고 따옴표를 제거하십시오.

여러 IP 주소를 필터링하려면 "ip.addr == xxxx and ip.addr == yyyy" 구문을 사용하십시오.

ip.addr == xxxx && ip.addr == xxxx

두 개의 특정 호스트 또는 네트워크 간에 데이터를 식별하고 분석하려는 경우 이 필터가 매우 유용할 수 있습니다. 불필요한 데이터를 제거하고 단 몇 초 만에 원하는 결과를 표시합니다.

http

HTTP 트래픽만 분석하려면 필터 상자에 "http"를 입력합니다. 필터를 적용할 때 따옴표를 사용하지 마십시오.

DNS

Wireshark를 사용하면 캡처된 패킷을 DNS로 필터링할 수 있습니다. DNS 트래픽만 보려면 필터 필드에 "dns"를 입력하기만 하면 됩니다.

보다 구체적인 결과를 원하고 DNS 쿼리만 표시하려면 "dns.flags.response == 0" 구문을 사용하십시오. 필터를 입력할 때 따옴표를 사용하지 않도록 합니다.

DNS 응답을 필터링하려면 "dns.flags.response == 1" 구문을 사용합니다.

프레임에는 트래픽이 포함되어 있습니다.

이 편리한 필터를 사용하면 "트래픽"이라는 단어가 포함된 패킷을 필터링할 수 있습니다. 특정 사용자 ID 또는 문자열을 검색하려는 사용자에게 특히 유용합니다.

tcp.port == XXX

특정 포트로 들어오고 나가는 트래픽을 분석하려는 경우 이 필터를 사용할 수 있습니다.

ip.addr >= xxxx 및 ip.addr <= yyyy

이 Wireshark 필터를 사용하면 특정 IP 범위의 패킷만 표시할 수 있습니다. "xxxx보다 크거나 같고 yyyy보다 작거나 같은 IP 주소 필터링"으로 읽습니다. "xxxx" 및 "yyyy"를 원하는 IP 주소로 바꿉니다. "and" 대신 "&&"를 사용할 수도 있습니다.

frame.time >= 2017년 8월 12일 09:53:18 및 frame.time <= 2017년 8월 12일 17:53:18

특정 도착 시간으로 들어오는 트래픽을 분석하려는 경우 이 필터를 사용하여 관련 정보를 얻을 수 있습니다. 이는 예시 날짜일 뿐이라는 점을 명심하세요. 분석하려는 항목에 따라 원하는 날짜로 바꿔야 합니다.

!(필터 구문)

필터 구문 앞에 느낌표를 표시하면 결과에서 제외됩니다. 예를 들어 "!(ip.addr == 10.1.1.1)"을 입력하면 이 IP 주소를 포함하지 않는 모든 패킷이 표시됩니다. 필터를 적용할 때 따옴표를 사용하면 안 됩니다.

Wireshark 필터를 저장하는 방법

Wireshark에서 특정 필터를 자주 사용하지 않으면 시간이 지나면 잊어버릴 수 있습니다. 올바른 구문을 기억하려고 노력하고 온라인에서 검색하는 데 시간을 낭비하는 것은 매우 실망스러울 수 있습니다. 다행스럽게도 Wireshark는 두 가지 중요한 옵션을 통해 이러한 시나리오를 방지하는 데 도움을 줄 수 있습니다.

첫 번째 옵션은 자동 완성이며 필터의 시작을 기억하는 사람들에게 유용할 수 있습니다. 예를 들어 "tcp"를 입력하면 Wireshark가 해당 시퀀스로 시작하는 필터 목록을 표시합니다.

두 번째 옵션은 필터를 북마크하는 것입니다. 구문이 긴 복잡한 필터를 자주 사용하는 사용자에게는 매우 유용한 옵션입니다. 필터를 북마크하는 방법은 다음과 같습니다.

Wireshark를 열고 북마크 아이콘을 누릅니다. 필터 필드의 왼쪽에서 찾을 수 있습니다.
"디스플레이 필터 관리"를 선택합니다.
목록에서 원하는 필터를 찾고 더하기 기호를 눌러 추가합니다.

다음에 해당 필터가 필요할 때 책갈피 아이콘을 누르고 목록에서 필터를 찾으십시오.

자주하는 질문

공용 네트워크에서 Wireshark를 실행할 수 있습니까?

공용 네트워크에서 Wireshark를 실행하는 것이 합법적인지 궁금하다면 대답은 '예'입니다. 그러나 이것이 모든 네트워크에서 Wireshark를 실행해야 한다는 의미는 아닙니다. 사용하려는 네트워크의 이용 약관을 읽으십시오. 네트워크에서 Wireshark 사용을 금지했는데도 계속 실행하면 네트워크에서 차단되거나 고소당할 수도 있습니다.

Wireshark는 물지 않습니다

네트워크 문제 해결에서 연결 추적 및 트래픽 분석에 이르기까지 Wireshark는 많은 용도로 사용됩니다. 이 플랫폼을 사용하면 몇 번의 클릭만으로 특정 MAC 주소를 찾을 수 있습니다. 이 플랫폼은 무료이며 여러 운영 체제에서 사용할 수 있기 때문에 전 세계 수백만 명의 사람들이 편리한 옵션을 즐깁니다.

Wireshark는 무엇을 위해 사용합니까? 가장 좋아하는 옵션은 무엇입니까? 아래 의견란에 알려주십시오.

Tags: #HOME PC & MOBILE DEVICES MAC