Wireshark – это мощный инструмент, который может анализировать трафик между хостами в вашей сети. Но его также можно использовать для обнаружения и мониторинга неизвестных хостов, определения их IP-адресов и даже небольшого изучения самого устройства. Вот как я использую Wireshark, чтобы найти IP-адрес неизвестного хоста в моей локальной сети.
Что такое Wireshark и IP-адреса?
Wireshark – это сетевой монитор и анализатор. Он работает ниже уровня пакета, захватывая отдельные кадры и представляя их пользователю для проверки. Используя Wireshark, вы можете наблюдать за трафиком в реальном времени через вашу сеть и заглядывать внутрь, чтобы увидеть, какие данные передаются по сети..
IP-адрес – это уникальный идентификатор, используемый для маршрутизации трафика на сетевом уровне модели OSI.. Если вы думаете о своей локальной сети как о соседстве, IP-адрес аналогичен номеру дома. Когда вы знаете IP-адрес хоста, вы можете получить к нему доступ и взаимодействовать с ним..
Вывод Wireshark на следующий уровень
Wireshark очень хорош в том, что он делает, но из коробки он предлагает только базовую функциональность. Как только вы обнаружите IP-адрес неизвестного хоста, вы можете захотеть увидеть его производительность в сети.
Средство просмотра времени отклика SolarWinds для Wireshark (БЕСПЛАТНЫЙ ИНСТРУМЕНТ)
Средство просмотра времени отклика SolarWinds для Wireshark бесплатный плагин для Wireshark, который позволяет вам отслеживать время задержки в вашей сети. Если ваши машины работают медленно, и вам нужно выяснить, почему, это отличный инструмент для работы.
Средство просмотра времени отклика SolarWinds для WiresharkDownload 100% БЕСПЛАТНЫЙ инструмент
Монитор производительности сети SolarWinds (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
Они также предлагают полнофункциональный Монитор производительности сети (NPM) для корпоративных сетей. Монитор производительности сети SolarWinds может рассчитывать время отклика приложения, пинговать ваши устройства с помощью интеллектуальных оповещений, создавать базовые показатели производительности и даже отслеживать весь стек Cisco. Читатели Comparitech могут попробовать его без риска в течение 30 дней.
Монитор производительности сети SolarWindsСкачать 30-дневную бесплатную пробную версию
Поиск IP-адреса с помощью Wireshark с использованием ARP-запросов
Wireshark может использовать запросы протокола разрешения адресов (ARP) для получения IP-адреса неизвестного хоста в вашей сети. ARP – это широковещательный запрос, предназначенный для помощи клиентскому компьютеру в планировании сети хоста..
ARP немного более надежен, чем использование DHCP-запроса, о котором я расскажу ниже, потому что даже хосты со статическим IP-адресом будут генерировать трафик ARP при запуске.
Чтобы получить IP-адрес неизвестного хоста через ARP, запустите Wireshark и начните сеанс с фильтром захвата Wireshark, установленным в агр, как показано выше.
Затем дождитесь появления неизвестного хоста. Я использую свой мобильный телефон и включаю и выключаю соединение WiFi. Независимо от того, когда неизвестный хост подключается к сети, он генерирует один или несколько ARP запросы. Это те рамки, которые вы должны искать.
Как только вы заметили запрос, нажмите на него. Используйте Wireshark’s Просмотр сведений о пакете проанализировать кадр. Посмотрите на Протокол разрешения адресов раздел рамы, особенно IP-адрес отправителя и MAC-адрес отправителя.
В этом случае вы можете видеть, что мой телефон получил IP-адрес 192.168.1.182 от маршрутизатора, и вы можете идентифицировать устройство как телефон Apple, посмотрев на OUI поставщика..
Поиск IP-адреса с помощью Wireshark с использованием запросов DHCP
Другой простой способ определить IP-адрес неизвестного хоста в вашей сети – использовать DHCP-трафик. Этот метод работает, только если хост запрашивает IP-адрес.
Если вы сталкиваетесь с ситуацией, когда кто-то поместил вредоносное устройство в вашу корпоративную сеть; этот метод не рекомендуется – скорее всего, он установил статический адрес. Но для нормального использования он работает так же хорошо, как ARP.
Чтобы захватить трафик DHCP, я хотел бы начать новый сеанс без фильтра захвата и установить фильтр отображения Wireshark на udp.port == 67 как показано выше. Затем дождитесь появления неизвестного хоста и запросите IP-адрес с вашего DHCP-сервера..
Вы также можете заставить каждый хост в вашей сети запрашивать новый IP-адрес, установив время аренды на час или два и захватив трафик. В этом случае вы хотите просматривать имена хостов, пока не найдете целевой клиент.
Обратите внимание, что у захваченного кадра IP-адрес источника равен 0.0.0.0. Это нормально, пока хост не назначит действительный IP-адрес сервером DHCP..
Нажмите на захваченный кадр и посмотрите на Просмотр сведений о пакете. Просматривайте, пока не найдете запись для Протокол начальной загрузки и нажмите на стрелку, чтобы развернуть ее.
Прокрутите список параметров, пока не найдете Запрашиваемый IP-адрес, который показывает, что DHCP-сервер попытался назначить. Практически в каждом случае это соотносится с IP-адресом хост-машины, несмотря на то, что он сформулирован как запрос.
Вы также можете найти несколько других полезных опций, таких как Время аренды IP-адреса и Имя хоста неизвестного клиента, запрашивающего адрес.
Получение IP-адреса неизвестного хоста с помощью Wireshark
Эти два метода являются надежными способами найти IP-адрес неизвестного хоста. В зависимости от вашей сети, могут быть и другие. Например, отправка широковещательного пинга будет работать в некоторых ситуациях, когда вы совместно используете домен коллизий с хостом. Но особенно для домашней сети, где все устройства более или менее напрямую подключены к коммутатору, анализ запросов ARP и DHCP – лучший выбор для определения IP-адреса..
, что IP-адрес отправителя – это IP-адрес моего мобильного телефона. Это означает, что неизвестный хост, который я искал, был моим мобильным телефоном.
Поиск IP-адреса с помощью Wireshark с использованием запросов DHCP
Еще один способ найти IP-адрес неизвестного хоста – это использовать запросы протокола динамической настройки хостов (DHCP). DHCP – это протокол, который используется для автоматической настройки IP-адресов на устройствах в сети.
Чтобы использовать DHCP для поиска IP-адреса неизвестного хоста, запустите Wireshark и начните сеанс с фильтром захвата Wireshark, установленным в dhcp. Затем дождитесь появления неизвестного хоста.
Как только вы заметили запрос DHCP, нажмите на него. Используйте Wiresharks Просмотр сведений о пакете проанализировать кадр. Посмотрите на поле Опции DHCP и найдите поле IP-адрес клиента. Это IP-адрес неизвестного хоста.
Получение IP-адреса неизвестного хоста с помощью Wireshark
Использование Wireshark для поиска IP-адреса неизвестного хоста может быть очень полезным, особенно если вы хотите узнать, какие устройства подключены к вашей сети. Чтобы найти IP-адрес неизвестного хоста, вы можете использовать запросы ARP или DHCP.
Wireshark – это мощный инструмент, который может помочь вам анализировать трафик в вашей сети и найти IP-адрес неизвестного хоста. Он также может использоваться для мониторинга производительности сети и обнаружения проблем. Если вы хотите узнать больше о Wireshark, я рекомендую изучить его документацию и пройти онлайн-курсы.
шрутизатора с MAC-адресом 00:1f:33:ab:cd:ef. Теперь я знаю IP-адрес моего телефона и могу использовать его для доступа к нему в сети. Wireshark – это действительно мощный инструмент, который может помочь вам не только анализировать трафик в вашей сети, но и находить неизвестные хосты и определять их IP-адреса. Я рекомендую его всем, кто работает с сетями и хочет улучшить свои навыки анализа трафика.
Wireshark es una herramienta poderosa que puede analizar el tráfico entre hosts en su red. Pero también se puede utilizar para detectar y monitorear hosts desconocidos, determinar sus direcciones IP e incluso estudiar el dispositivo en sí. Así es como uso Wireshark para encontrar la dirección IP de un host desconocido en mi red local. Wireshark es un monitor y analizador de red. Funciona por debajo del nivel de paquete, capturando tramas individuales y presentándolas al usuario para su verificación. Usando Wireshark, puede observar el tráfico en tiempo real a través de su red y mirar dentro para ver qué datos se están transmitiendo a través de la red. La dirección IP es un identificador único utilizado para enrutar el tráfico en el nivel de red del modelo OSI. Si piensa en su red local como un vecindario, la dirección IP es similar al número de casa. Cuando conoce la dirección IP del host, puede acceder a él e interactuar con él. Wireshark es muy bueno en lo que hace, pero de serie solo ofrece funcionalidad básica. Una vez que haya encontrado la dirección IP de un host desconocido, es posible que desee ver su rendimiento en la red. La herramienta de visualización de tiempo de respuesta de SolarWinds para Wireshark es un complemento gratuito para Wireshark que le permite rastrear el tiempo de retraso en su red. Si sus máquinas están funcionando lentamente y necesita saber por qué, esta es una excelente herramienta para trabajar. También ofrecen un Monitor de rendimiento de red (NPM) de plena funcionalidad para redes empresariales. El Monitor de rendimiento de red de SolarWinds puede calcular el tiempo de respuesta de la aplicación, hacer ping a sus dispositivos con alertas inteligentes, crear métricas de rendimiento básicas e incluso rastrear toda la pila de Cisco. Los lectores de Comparitech pueden probarlo sin riesgo durante 30 días. Wireshark puede utilizar solicitudes de resolución de direcciones (ARP) para obtener la dirección IP de un host desconocido en su red. ARP es una solicitud de difusión destinada a ayudar a la computadora cliente a planificar la red del host. ARP es un poco más confiable que el uso de una solicitud DHCP, que explicaré a continuación, porque incluso los hosts con direcciones IP estáticas generarán tráfico ARP al iniciarse. Para obtener la dirección IP de un host desconocido a través de ARP, inicie Wireshark y comience una sesión con el filtro de captura de Wireshark establecido en arp, como se muestra arriba. Luego, espere a que aparezca el host desconocido. Utilizo mi teléfono móvil y enciendo y apago la conexión WiFi. Independientemente de cuándo se conecte el host desconocido a la red, generará una o varias solicitudes ARP. Estas son las tramas que debe buscar. Una vez que haya notado la solicitud, haga clic en ella. Use la vista de detalles del paquete de Wireshark para analizar la trama. Mire la sección de marco de Protocolo de resolución de direcciones, especialmente la dirección IP del remitente y la dirección MAC del remitente. En este caso, puede ver que mi teléfono recibió.