Wireshark affiche l'adresse MAC réelle de l'hôte local car il capture directement les trames sur l'interface réseau. La carte d'interface réseau (NIC) voit les adresses MAC physiques impliquées dans la communication.
Cependant, Wireshark peut ne pas afficher l'adresse MAC réelle de l'hôte distant pour plusieurs raisons :
* Résolution ARP : Pour la communication IPv4, Wireshark doit résoudre l'adresse IP de l'hôte distant en son adresse MAC via le protocole de résolution d'adresse (ARP). Si la requête ARP n'a pas encore été envoyée ou reçue (ou si elle est mise en cache et expirée), Wireshark n'aura pas les informations d'adresse MAC. Il affichera simplement l'adresse IP. Ceci est très courant pour les connexions intermittentes ou peu fréquentes.
* Traduction d'adresses réseau (NAT) : Si l'hôte distant se trouve derrière un périphérique NAT (comme un routeur), l'adresse MAC vue par votre réseau local sera l'adresse MAC du périphérique NAT, et non l'hôte distant lui-même. Le périphérique NAT traduit l'adresse IP et le port externes en adresse IP et en port internes de l'hôte distant. L'adresse MAC visible sur votre réseau local est celle de la passerelle NAT.
* Virtualisation : Si l'hôte local ou distant est une machine virtuelle, l'adresse MAC affichée peut être celle de la carte réseau virtuelle, et non l'adresse MAC du matériel physique sous-jacent.
* Sécurité du réseau : Certaines mesures de sécurité peuvent intentionnellement masquer les adresses MAC.
* IPv6 : Avec IPv6, le Neighbour Discovery Protocol (NDP) remplace ARP. NDP n'a peut-être pas encore résolu l'adresse IPv6 en adresse MAC au moment où Wireshark capture le paquet. Ou encore, l'hôte distant peut utiliser des extensions de confidentialité, qui modifient fréquemment son adresse IPv6 et son adresse MAC associée pour améliorer la sécurité.
* Configuration de Wireshark : Bien que cela soit moins probable, assurez-vous que Wireshark n'est pas configuré pour masquer les adresses MAC ou d'autres informations sur la couche réseau.
En résumé : La différence vient du fait que l'adresse MAC locale est directement observée, tandis que l'obtention de l'adresse MAC distante dépend de divers protocoles réseau et périphériques le long du chemin. L'absence d'adresse MAC distante indique souvent qu'une résolution ARP ou NDP n'a pas encore eu lieu ou qu'un périphérique NAT est impliqué, masquant ainsi la véritable adresse MAC de l'hôte distant.
|