Wireshark visar den faktiska MAC -adressen för den lokala värden eftersom den direkt fångar ramarna i nätverksgränssnittet. Nätverksgränssnittskortet (NIC) ser de fysiska MAC -adresserna som är involverade i kommunikationen.
Wireshark kanske emellertid inte visar den faktiska MAC -adressen för fjärrvärden av flera skäl:
* arp -upplösning: För IPv4 -kommunikation måste Wireshark lösa IP -adressen för fjärrvärden till sin MAC -adress via Adress Resolution Protocol (ARP). Om ARP -begäran inte har skickats eller mottagits ännu (eller om den är cache och löpt ut) kommer Wireshark inte att ha MAC -adressinformationen. Det visar helt enkelt IP -adressen. Detta är mycket vanligt för intermittenta eller sällsynta förbindelser.
* Nätverksadressöversättning (NAT): Om fjärrvärden ligger bakom en NAT -enhet (som en router), kommer MAC -adressen som ses av ditt lokala nätverk att vara MAC -adressen för NAT -enheten, inte själva fjärrvärden. NAT -enheten översätter den externa IP -adressen och porten till den interna IP -adressen och porten för fjärrvärden. MAC -adressen som är synlig för ditt lokala nätverk är NAT GATEWAY.
* virtualisering: Om antingen den lokala eller fjärrvärden är en virtuell maskin, kan den visade MAC vara den för den virtuella NIC, inte den underliggande fysiska hårdvarans MAC -adress.
* Nätverkssäkerhet: Vissa säkerhetsåtgärder kan avsiktligt dölja MAC -adresser.
* ipv6: Med IPv6 ersätter grannens upptäcktsprotokoll (NDP) ARP. NDP kanske ännu inte har löst IPv6 -adressen till MAC -adressen vid den tiden Wireshark fångar paketet. Eller så kan fjärrvärden använda sekretessförlängningar, som ändrar sin IPv6 -adress och tillhörande MAC -adress ofta för förbättrad säkerhet.
* Wiresharks konfiguration: Även om det är mindre troligt, se till att Wireshark inte är konfigurerad för att dölja MAC -adresser eller annan nätverksskiktinformation.
Sammanfattningsvis: Skillnaden uppstår eftersom den lokala MAC -adressen direkt observeras, samtidigt som den avlägsna MAC -adressen får beror på olika nätverksprotokoll och enheter längs sökvägen. Avsaknaden av en fjärrmAC -adress indikerar ofta en ARP- eller NDP -upplösning har inte hänt ännu eller att en NAT -enhet är involverad, vilket döljer den verkliga MAC -adressen för fjärrvärden.
