Използване на Wireshark, за да получите IP адреса на неизвестен хост

Използване на Wireshark, за да получите IP адреса на неизвестен хост

Wireshark е мощен инструмент, който може да анализира трафика между хостове във вашата мрежа. Но може да се използва и за да ви помогне да откриете и следите неизвестни хостове, да намерите техните IP адреси и дори да научите малко за самото устройство. Ето как използвам Wireshark, за да намеря IP адреса на неизвестен хост в моята локална мрежа.

Какво представляват Wireshark и IP адреси?

Wireshark е мрежов монитор и анализатор. Той работи под нивото на пакета, улавя отделни кадри и ги представя на потребителя за проверка. Използвайки Wireshark, можете да наблюдавате трафика в реално време в мрежата си и да погледнете вътре, за да видите какви данни се движат по проводника.

IP адресът е уникален идентификатор, използван за маршрутизиране на трафика на мрежовия слой на OSI модела. Ако мислите за вашата локална мрежа като за квартал, IP адресът е аналог на домашен номер. Когато знаете IP адреса на хост, е възможен достъп и взаимодействие с него.

Преминаване на Wireshark към следващото ниво

Wireshark е много добър в това, което прави, но извън кутията, той предлага само основна функционалност. След като откриете IP адреса на неизвестен хост, може да искате да можете да визуализирате неговата ефективност в мрежата.

SolarWinds Viewer Time Response View for Wireshark (БЕЗПЛАТЕН ИНСТРУМЕНТ)

SolarWinds Viewer Time Response View for Wireshark е безплатен плъгин за Wireshark, който ви позволява да наблюдавате времето на забавяне в мрежата. Ако вашите машини работят бавно и трябва да разберете защо, това е отличен инструмент за работата.

SolarWinds визуализатор на времето за реакция за Wireshark

SolarWinds View View Time Viewer for WiresharkDownload 100% БЕЗПЛАТЕН инструмент

Монитор за ефективност на SolarWinds (БЕЗПЛАТНА ПРОБА)

Те също предлагат пълнофункционален Монитор на ефективността на мрежата (NPM) за корпоративни мрежи. Най- SolarWinds Network Monitor Monitor може да изчисли времето за реакция на приложението, да изпраща вашите устройства с интелигентни сигнали, да създава основни показатели за ефективността и дори да наблюдава целия си стек на Cisco. Читателите на Comparitech могат да го изпробват без риск за 30 дни.

Изображение на монитора за ефективност на мрежата SolarWinds

SolarWinds Network Performance MonitorDownload 30-дневна БЕЗПЛАТНА пробна версия

Намиране на IP адрес с Wireshark с помощта на ARP заявки

Заявките за протокол за разрешаване на адреси (ARP) могат да бъдат използвани от Wireshark за получаване на IP адреса на неизвестен хост във вашата мрежа. ARP е заявка за излъчване, която има за цел да помогне на клиентската машина да начертае хост мрежата.

ARP е малко по-глупав от използването на DHCP заявка - която ще покрия по-долу - защото дори хостовете със статичен IP адрес ще генерират ARP трафик при стартиране.

IP адрес с Wireshard - Стъпка 1

За да получите IP адрес на неизвестен хост чрез ARP, стартирайте Wireshark и започнете сесия с филтъра за улавяне на Wireshark, зададен на ARP, както е показано по-горе.

IP адрес с Wireshard - Стъпка 2

След това изчакайте неизвестния хост да дойде онлайн. Използвам мобилния си телефон и включвам и изключвам WiFi връзката. Независимо, когато неизвестен хост се появи онлайн, той ще генерира един или повече ARP заявки. Това са кадрите, които трябва да търсите.

IP адрес с Wireshard - Стъпка 3

След като забележите заявката, кликнете върху нея. Използвайте Wireshark Изглед на подробности за пакета да анализираме рамката. Погледни към Протокол за разрешаване на адрес секция на рамката, особено на IP адрес на подателя и MAC адрес на изпращача.

В този случай можете да видите, че телефонът ми получи IP адрес от 192.168.1.182 от рутера и можете да идентифицирате устройството като телефон на Apple, като погледнете OUI на доставчика.

Намиране на IP адрес с Wireshark с помощта на DHCP заявки

Друг лесен начин да определите IP адреса на неизвестен хост във вашата мрежа е да използвате DHCP трафик. Този метод работи само ако хостът поиска IP адрес.

Ако имате работа със ситуация, в която някой е поставил злонамерено устройство във вашата корпоративна мрежа; този метод не се препоръчва - вероятно ще зададат статичен адрес. Но за нормална употреба работи също толкова добре, колкото и ARP.

IP адрес с Wireshard - Стъпка 4
За да улавя DHCP трафик, обичам да стартирам нова сесия без филтър за улавяне и да настроя филтъра на дисплея на Wireshark udp.port == 67 както е показано по-горе. След това изчакайте неизвестният хост да влезе в интернет и поиска IP адрес от вашия DHCP сървър.

Можете също така да принудите всеки хост от вашата мрежа да поиска нов IP адрес, като настроите времето за наемане на час или два и улавяте трафика. В този случай бихте искали да разглеждате имена на хостове, докато не намерите целевия клиент.

IP адрес с Wireshard - Стъпка 5

Обърнете внимание, че кадърът, който заснех, има източник IP адрес 0,0.0.0. Това е нормално, докато хостът не бъде валиден IP адрес от DHCP сървъра.

Щракнете върху заснетия кадър и погледнете Изглед на подробности за пакета. Прегледайте, докато не намерите записа Протокол за зареждане и щракнете върху стрелката, за да я разгънете.

IP адрес с Wireshard - Стъпка 6

Превъртете списъка с опции, докато не намерите Изискван IP адрес, което показва какво DHCP сървърът се е опитал да зададе. Почти във всеки случай това се свързва с IP адреса на хост машината, въпреки факта, че е изразено като заявка.

Можете също да намерите шепа други полезни опции като Време за лизинг на IP адрес и Име на домакин на неизвестния клиент, поискал адрес.

Получаване на IP адреса на неизвестен хост с Wireshark

Тези два метода са сигурни начини за намиране на IP адреса на неизвестен хост. В зависимост от вашата мрежа може да има други. Например изпращането на излъчващ пинг ще работи в някои ситуации, когато споделяте домейн на сблъсък с хоста. Но особено за домашната мрежа, където всички устройства са повече или по-малко директно свързани към комутатор, анализирането на ARP и DHCP заявките са най-добрият избор за откриване на IP адрес.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 54 = 62

Adblock
detector