如何使用Wireshark OUI查询功能夯实网络安全？

Wireshark OUI查询可以帮助网络防御者、渗透测试者以及红队识别和锁定网络端点，这种查询可以从任何浏览器来访问。

布加迪

Wireshark网络协议分析应用程序包括一项重要的功能：OUI查询。组织唯一标识符（OUI）是介质访问控制（MAC）地址的一部分，这种地址以独特方式被分配给每个网络接口控制器，即网卡（NIC）。在Wireshark中，OUI查询是MAC地址查询功能的一部分。

本教程介绍如何在Wireshark应用程序中使用Wireshark的OUI查询工具，以及如何从任何联网设备进行OUI查询。

大多数网络设备使用以太网或Wi-Fi网卡，拥有48位MAC地址。这些地址以独特方式识别物理网络上的网络接口，它由两部分组成：地址的前三个8位位组（字节）与设备网卡的制造商或供应商相关联，后三个8位位组以独特方式识别网卡本身。

什么是OUI？

现代网络接口（比如用于以太网或Wi-Fi的网络接口）用MAC地址的六个8位位组（48位）以独特方式标识。这些地址通常用6对12个十六进制数字表示，用冒号或连字符隔开，比如：

00:00:5E: AB: CD: EF

00-00-5E-12-34-56

前三个8位位组是IEEE注册机构分配给网卡供应商的OUI。OUI数据库最初用于将以太网卡与其制造商联系起来，但OUI已有所扩展，涵盖所有类型的网卡，包括Wi-Fi及其他有线和无线网络接口。

MAC地址中地址空间的前24位为OUI保留，后24位为OUI所有者制造的每块网卡保留唯一ID。因此，存在超过1600万个唯一的OUI，制造商可以将每个OUI用于超过1600万个网卡地址。这意味着像思科这样的大型制造商被分配了数百个OUI。

Wireshark OUI数据库包括以下内容：

•所有已知的OUI地址；

•为每个OUI地址登记的供应商名称；

•可选的扩展供应商名称及/或与每个地址相关联的注释。

OUI通过IEEE注册机构加以跟踪，Wireshark维护一个名为manuf的API，它提供了一种对照Wireshark制造商数据库进行搜索的机制，这是所有已知OUI前缀（MAC地址的前三个8位位组）的开源集合。OUI搜索通常查找像这样的十六进制MAC地址：

00-00-5E-00-53-99

该搜索查询Wireshark制造商数据库，并返回OUI供应商名称和为该OUI存储的任何其他描述性信息。在这个例子中，它使用了一个为说明文档保留的MAC地址，搜索返回OUI本身和该OUI的数据库信息：

00:00:5E ICANN, IANA Department

在这里，OUI已向互联网名称与数字地址分配机构（ICANN）注册，并保留供互联网数字分配机构（IANA）在说明文档中作为示例使用。

OUI有什么用途？

使用Wireshark OUI查询的好处有很多，包括以下功能：

•搜索同一家制造商的所有联网设备。如果组织使用来自单一供应商或数量有限的供应商的网卡，这种类型的搜索有助于标记使用外部供应商的设备。

•搜索网络链路上未经授权的设备。这种类型的搜索可用于识别未经授权的网络访问设备、路由器、摄像头或其他未经批准的设备。

•发现渗透测试或红队演习中相连接设备的更多信息。

比如说，Wireshark OUI查询可用于识别某家特定路由器供应商是否是被监控网络的首选路由器。通过跟踪发送到全球互联网的流量从哪里转发而来，网络工程师和安全专业人员可以识别路由器。如果使用OUI查询，很容易查看安装的路由器是由思科、瞻博网络还是另一家供应商提供。这些信息对于成功完成渗透测试或红队演习至关重要。

如何在应用程序中使用Wireshark OUI查询？

Wireshark OUI查询工具集成到Wireshark应用程序中，因此如果你使用Wireshark捕获或分析网络流量，它会自动显示OUI数据以及有关网络流量的其他元数据。这在运行Wireshark的Linux系统中显示在Wireshark协议分析屏幕中，如图1所示。

图1. Wireshark应用程序显示有关本地网络流量的所有协议信息，包括OUI查询、源主机和目的主机的IP地址以及TCP和UDP报头信息。

在图1中，注意MAC地址（高亮显示）显示为第2层协议层的一部分——这一层又叫数据链路层或就叫链路层，设备通过网络介质（比如以太网或Wi-Fi）进行通信。在本例中，以下是源MAC地址：

ec:f4: bb: 96:12:0e

然而，控制台自动将这个MAC地址中的OUI：ec:f4:bb识别为已登记在向制造商Dell注册的IEEE数据库中。Wireshark不是只显示MAC地址，而是将MAC地址显示为混合体，其中OUI被换成了IEEE数据库中的供应商名称：

Dell_96:12:0e

默认情况下，Wireshark以这种方式解析MAC地址，MAC地址显示已注册的制造商名称，以及唯一NIC地址前缀的下划线符号（_）。就本例中的目的地址而言，原始地址如下：

00:0c: 29: b4:90:14

解析后的目的MAC地址如下所示：

Vmware_b4:90:14

Wireshark默认采用这种方式解析MAC地址，但MAC解析可以关闭。

图2. 打开Wireshark应用程序首选项（Linux）

如何在Wireshark应用中配置MAC地址解析？

禁用MAC地址解析可能对于一些应用很有帮助，比如实时扫描忙碌的网络，因为需要实时解析MAC地址会影响性能。若要打开或关闭MAC地址解析，请进入Wireshark设置“首选项”对话框。图2显示了如何在Linux上运行的Wireshark应用程序中选择“编辑”下拉菜单，然后点击“首选项”来设置OUI解析处理。

一旦进入到Wireshark“首选项”对话框，如图3所示，从左侧的菜单中选择“名称解析”。默认情况下，第一个配置选项为“解析MAC地址”。选中或取消选中该框，然后点击“确定”，以启用或禁用MAC地址解析。

图3. 启用/禁用Wireshark Linux应用程序中的MAC地址解析。

如何在线交互式使用Wireshark OUI查询？

在目标网络上运行完整的Wireshark应用程序来识别MAC OUI并不总是实际的、可取的，甚至是可行的。在这种情况下，Wireshark在这个URL：https://www.wireshark.org/tools/oui-lookup.html为OUI查询提供了在线Web界面。

如图4所示，Web界面包括一组简单指令和查询实例、用于搜索的输入框和“查找”按钮。在该例子中，NIC地址00:0b:be:18:9a:41被输入到OUI搜索输入框中，随后的解析显示该地址属于思科。

图4. Wireshark OUI查询的交互式网页可以通过网络浏览器从任何联网设备来访问。

图5. Wireshark OUI查询字符串“cisco”返回OUI描述中用该字符串注册的所有OUI。

如网页界面所示，OUI搜索词可以包括以下类型的数据：

•OUI（三个8位位组的数据）

•MAC地址（六个8位位组的数据）

•描述数据

MAC值和OUI值中的8位位组必须用冒号、连字符或句号隔开。字符串（用于OUI描述数据）不区分大小写。按回车键在搜索输入字段中开始新行。要启动搜索，点击输入字段下面的“查找”按钮。可以通过拖动字段的右下角来调整输入字段的大小（变大或减小）。

图5显示了Wireshark OUI数据库中包含字符串“cisco”（不区分大小写）的前几个OUI，这几个OUI来自数百个已注册的Cisco OUI。

参考及来源：

https://www.techtarget.com/searchsecurity/tutorial/How-to-use-Wireshark-OUI-lookup-for-network-security