Wireshark е мощен инструмент, който може да анализира трафика между хостове във вашата мрежа. Но може да се използва и за да ви помогне да откриете и следите неизвестни хостове, да намерите техните IP адреси и дори да научите малко за самото устройство. Ето как използвам Wireshark, за да намеря IP адреса на неизвестен хост в моята локална мрежа.
Какво представляват Wireshark и IP адреси?
Wireshark е мрежов монитор и анализатор. Той работи под нивото на пакета, улавя отделни кадри и ги представя на потребителя за проверка. Използвайки Wireshark, можете да наблюдавате трафика в реално време в мрежата си и да погледнете вътре, за да видите какви данни се движат по проводника.
IP адресът е уникален идентификатор, използван за маршрутизиране на трафика на мрежовия слой на OSI модела. Ако мислите за вашата локална мрежа като за квартал, IP адресът е аналог на домашен номер. Когато знаете IP адреса на хост, е възможен достъп и взаимодействие с него.
Преминаване на Wireshark към следващото ниво
Wireshark е много добър в това, което прави, но извън кутията, той предлага само основна функционалност. След като откриете IP адреса на неизвестен хост, може да искате да можете да визуализирате неговата ефективност в мрежата.
SolarWinds Viewer Time Response View for Wireshark (БЕЗПЛАТЕН ИНСТРУМЕНТ)
SolarWinds Viewer Time Response View for Wireshark е безплатен плъгин за Wireshark, който ви позволява да наблюдавате времето на забавяне в мрежата. Ако вашите машини работят бавно и трябва да разберете защо, това е отличен инструмент за работата.
SolarWinds View View Time Viewer for WiresharkDownload 100% БЕЗПЛАТЕН инструмент
Монитор за ефективност на SolarWinds (БЕЗПЛАТНА ПРОБА)
Те също предлагат пълнофункционален Монитор на ефективността на мрежата (NPM) за корпоративни мрежи. Най- SolarWinds Network Monitor Monitor може да изчисли времето за реакция на приложението, да изпраща вашите устройства с интелигентни сигнали, да създава основни показатели за ефективността и дори да наблюдава целия си стек на Cisco. Читателите на Comparitech могат да го изпробват без риск за 30 дни.
SolarWinds Network Performance MonitorDownload 30-дневна БЕЗПЛАТНА пробна версия
Намиране на IP адрес с Wireshark с помощта на ARP заявки
Заявките за протокол за разрешаване на адреси (ARP) могат да бъдат използвани от Wireshark за получаване на IP адреса на неизвестен хост във вашата мрежа. ARP е заявка за излъчване, която има за цел да помогне на клиентската машина да начертае хост мрежата.
ARP е малко по-глупав от използването на DHCP заявка – която ще покрия по-долу – защото дори хостовете със статичен IP адрес ще генерират ARP трафик при стартиране.
За да получите IP адрес на неизвестен хост чрез ARP, стартирайте Wireshark и започнете сесия с филтъра за улавяне на Wireshark, зададен на ARP, както е показано по-горе.
След това изчакайте неизвестния хост да дойде онлайн. Използвам мобилния си телефон и включвам и изключвам WiFi връзката. Независимо, когато неизвестен хост се появи онлайн, той ще генерира един или повече ARP заявки. Това са кадрите, които трябва да търсите.
След като забележите заявката, кликнете върху нея. Използвайте Wireshark Изглед на подробности за пакета да анализираме рамката. Погледни към Протокол за разрешаване на адрес секция на рамката, особено на IP адрес на подателя и MAC адрес на изпращача.
В този случай можете да видите, че телефонът ми получи IP адрес от 192.168.1.182 от рутера и можете да идентифицирате устройството като телефон на Apple, като погледнете OUI на доставчика.
Намиране на IP адрес с Wireshark с помощта на DHCP заявки
Друг лесен начин да определите IP адреса на неизвестен хост във вашата мрежа е да използвате DHCP трафик. Този метод работи само ако хостът поиска IP адрес.
Ако имате работа със ситуация, в която някой е поставил злонамерено устройство във вашата корпоративна мрежа; този метод не се препоръчва – вероятно ще зададат статичен адрес. Но за нормална употреба работи също толкова добре, колкото и ARP.
За да улавя DHCP трафик, обичам да стартирам нова сесия без филтър за улавяне и да настроя филтъра на дисплея на Wireshark udp.port == 67 както е показано по-горе. След това изчакайте неизвестният хост да влезе в интернет и поиска IP адрес от вашия DHCP сървър.
Можете също така да принудите всеки хост от вашата мрежа да поиска нов IP адрес, като настроите времето за наемане на час или два и улавяте трафика. В този случай бихте искали да разглеждате имена на хостове, докато не намерите целевия клиент.
Обърнете внимание, че кадърът, който заснех, има източник IP адрес 0,0.0.0. Това е нормално, докато хостът не бъде валиден IP адрес от DHCP сървъра.
Щракнете върху заснетия кадър и погледнете Изглед на подробности за пакета. Прегледайте, докато не намерите записа Протокол за зареждане и щракнете върху стрелката, за да я разгънете.
Превъртете списъка с опции, докато не намерите Изискван IP адрес, което показва какво DHCP сървърът се е опитал да зададе. Почти във всеки случай това се свързва с IP адреса на хост машината, въпреки факта, че е изразено като заявка.
Можете също да намерите шепа други полезни опции като Време за лизинг на IP адрес и Име на домакин на неизвестния клиент, поискал адрес.
Получаване на IP адреса на неизвестен хост с Wireshark
Тези два метода са сигурни начини за намиране на IP адреса на неизвестен хост. В зависимост от вашата мрежа може да има други. Например изпращането на излъчващ пинг ще работи в някои ситуации, когато споделяте домейн на сблъсък с хоста. Но особено за домашната мрежа, където всички устройства са повече или по-малко директно свързани към комутатор, анализирането на ARP и DHCP заявките са най-добрият избор за откриване на IP адрес.
Wireshark е наистина мощен инструмент за анализ на мрежов трафик. Той не само може да помогне да откриете неизвестни хостове в мрежата, но и да намерите техните IP адреси и да научите повече за тях. Използването на Wireshark за намиране на IP адрес на неизвестен хост е много полезно и лесно. Просто трябва да използвате ARP или DHCP заявки и да анализирате трафика, за да намерите желания IP адрес. Също така, съществуват и други инструменти като SolarWinds Viewer Time Response View и SolarWinds Network Monitor, които могат да ви помогнат да визуализирате ефективността на мрежата. В крайна сметка, Wireshark е много полезен инструмент за всеки, който работи с мрежи и иска да разбере какво се случва в тях.
Wireshark es una herramienta poderosa que puede analizar el tráfico entre hosts en su red. Pero también se puede utilizar para ayudar a descubrir y rastrear hosts desconocidos, encontrar sus direcciones IP e incluso aprender un poco sobre el dispositivo en sí. Así es como uso Wireshark para encontrar la dirección IP de un host desconocido en mi red local. Wireshark es un monitor y analizador de red. Trabaja a nivel de paquete, capturando tramas individuales y presentándolas al usuario para su verificación. Usando Wireshark, puede observar el tráfico en tiempo real en su red y mirar adentro para ver qué datos se están moviendo a través del cable. La dirección IP es un identificador único utilizado para enrutar el tráfico en la capa de red del modelo OSI. Si piensa en su red local como un vecindario, la dirección IP es el equivalente al número de casa. Cuando conoce la dirección IP de un host, es posible acceder e interactuar con él. Wireshark es muy bueno en lo que hace, pero fuera de la caja, solo ofrece funcionalidad básica. Después de encontrar la dirección IP de un host desconocido, es posible que desee visualizar su rendimiento en la red.
Wireshark е наистина мощен инструмент за анализ на мрежов трафик. Той може да бъде използван не само за анализ на трафика между хостове в мрежата, но и за откриване на неизвестни хостове и намиране на техните IP адреси. ARP и DHCP заявките са две от методите, които могат да бъдат използвани за тази цел. SolarWinds Viewer Time Response View и SolarWinds Network Monitor са допълнителни инструменти, които могат да бъдат използвани за визуализиране на ефективността на мрежата. Всичко това прави Wireshark един от най-полезните инструменти за мрежови администратори.