| Wireshark toont het daadwerkelijke MAC-adres voor de lokale host, omdat het rechtstreeks de frames op de netwerkinterface vastlegt. De netwerkinterfacekaart (NIC) ziet de fysieke MAC-adressen die bij de communicatie betrokken zijn.
Wireshark toont echter om verschillende redenen mogelijk niet het daadwerkelijke MAC-adres van de externe host:
* ARP-resolutie: Voor IPv4-communicatie moet Wireshark het IP-adres van de externe host omzetten in zijn MAC-adres via het Address Resolution Protocol (ARP). Als het ARP-verzoek nog niet is verzonden of ontvangen (of als het in de cache is opgeslagen en is verlopen), beschikt Wireshark niet over de MAC-adresinformatie. Het toont eenvoudigweg het IP-adres. Dit is heel gebruikelijk bij intermitterende of onregelmatige verbindingen.
* Netwerkadresvertaling (NAT): Als de externe host zich achter een NAT-apparaat bevindt (zoals een router), is het MAC-adres dat door uw lokale netwerk wordt gezien het MAC-adres van het NAT-apparaat, en niet de externe host zelf. Het NAT-apparaat vertaalt het externe IP-adres en de poort naar het interne IP-adres en de poort van de externe host. Het MAC-adres dat zichtbaar is voor uw lokale netwerk is dat van de NAT-gateway.
* Virtualisatie: Als de lokale of externe host een virtuele machine is, kan het getoonde MAC-adres dat van de virtuele NIC zijn, en niet het MAC-adres van de onderliggende fysieke hardware.
* Netwerkbeveiliging: Sommige beveiligingsmaatregelen kunnen opzettelijk MAC-adressen verbergen.
* IPv6: Bij IPv6 vervangt Neighbour Discovery Protocol (NDP) ARP. NDP heeft het IPv6-adres mogelijk nog niet omgezet in het MAC-adres op het moment dat Wireshark het pakket vastlegt. Of de externe host gebruikt mogelijk privacy-extensies, die het IPv6-adres en het bijbehorende MAC-adres regelmatig wijzigen voor een betere beveiliging.
* Wireshark-configuratie: Hoewel dit minder waarschijnlijk is, moet u ervoor zorgen dat Wireshark niet is geconfigureerd om MAC-adressen of andere netwerklaaginformatie te verbergen.
Samengevat: Het verschil ontstaat doordat het lokale MAC-adres direct wordt waargenomen, terwijl het verkrijgen van het externe MAC-adres afhankelijk is van verschillende netwerkprotocollen en apparaten langs het pad. Het ontbreken van een extern MAC-adres geeft vaak aan dat er nog geen ARP- of NDP-resolutie heeft plaatsgevonden of dat er een NAT-apparaat bij betrokken is, waardoor het echte MAC-adres van de externe host onduidelijk wordt. |
