Використання Wireshark для отримання IP-адреси невідомого хоста

Використання Wireshark для отримання IP-адреси невідомого хоста

Wireshark – це потужний інструмент, який може аналізувати трафік між хостами у вашій мережі. Але він також може бути використаний, щоб допомогти вам виявити та відстежувати невідомих хостів, знайти їхні IP-адреси та навіть трохи дізнатися про сам пристрій. Ось як я використовую Wireshark, щоб знайти IP-адресу невідомого хоста в моїй локальній мережі.

Що таке Wireshark та IP адреси?

Wireshark – це мережевий монітор та аналізатор. Він працює нижче рівня пакетів, захоплюючи окремі кадри та представляючи їх користувачеві для перевірки. Використовуючи Wireshark, ви можете дивитися трафік у режимі реального часу по всій мережі та заглядати всередину, щоб побачити, які дані переміщуються по дроту.

IP-адреса – це унікальний ідентифікатор, який використовується для маршрутизації трафіку на мережевому шарі моделі OSI. Якщо ви думаєте про свою локальну мережу як про сусідство, IP-адреса є аналогом домашнього номера. Коли ви знаєте IP-адресу хоста, можна отримати доступ до нього та взаємодіяти з ним.

Виведення Wireshark на наступний рівень

Wireshark дуже хороший у тому, що робить, але поза межами коробки він пропонує лише базовий функціонал. Виявивши IP-адресу невідомого хоста, можливо, ви захочете візуалізувати його ефективність у мережі.

Переглядач часу реакції SolarWinds для Wireshark (БЕЗКОШТОВНИЙ ІНСТРУМЕНТ)

Переглядач часу реакції SolarWinds для Wireshark це безкоштовний плагін для Wireshark, який дозволяє відстежувати час затримки у вашій мережі. Якщо ваші машини працюють повільно, і вам потрібно зрозуміти, чому це, це відмінний інструмент для роботи.

Переглядач часу відгуку SolarWinds для Wireshark

Переглядач часу відповіді SolarWinds для WiresharkDownload 100% БЕЗКОШТОВНО

Монітор продуктивності мережі SolarWinds (БЕЗКОШТОВНА ПРОБЛЕМА)

Вони також пропонують повнофункціональний Монітор ефективності роботи мережі (НПМ) для корпоративних мереж. The Монітор продуктивності мережі SolarWinds Ви можете обчислити час реакції додатків, пінг ваших пристроїв за допомогою інтелектуальних сповіщень, створення базових показників продуктивності та навіть моніторити весь стек Cisco. Читачі Comparitech можуть спробувати це без ризику протягом 30 днів.

Зображення монітора продуктивності мережі SolarWinds

SolarWinds Network Performance MonitorDownload 30-денна безкоштовна пробна версія

Пошук IP-адреси за допомогою Wireshark за допомогою ARP-запитів

Wireshark може використовувати запити протоколу Resolution Protocol (ARP) для отримання IP-адреси невідомого хоста у вашій мережі. ARP – це запит на трансляцію, який повинен допомогти клієнтському апарату відобразити хост-мережу.

ARP трохи надійніше, ніж використання запиту DHCP – який я розповім нижче – тому що навіть хости зі статичною IP-адресою генеруватимуть ARP-трафік при запуску.

IP-адреса з Wireshard - Крок 1

Щоб отримати IP-адресу невідомого хоста через ARP, запустіть Wireshark і починайте сеанс, встановивши фільтр захоплення Wireshark у арп, як показано вище.

IP-адреса з Wireshard - крок 2

Потім зачекайте, поки невідомий хост прийде в Інтернет. Я використовую свій мобільний телефон і вмикаю та вимикаю підключення WiFi. Незалежно від того, коли невідомий хост з’явиться в Інтернеті, він генерує один або кілька ARP запити. Це кадри, які ви повинні шукати.

IP-адреса з Wireshard - крок 3

Виявивши запит, натисніть на нього. Використовуйте Wireshark Перегляд деталей про пакет проаналізувати кадр. Подивись на Протокол вирішення адреси секція рами, особливо IP-адреса відправника і MAC-адреса відправника.

У цьому випадку ви можете бачити, що мій телефон отримав IP-адресу 192.168.1.182 від маршрутизатора, і ви можете ідентифікувати пристрій як телефон Apple, переглянувши постачальника OUI.

Пошук IP-адреси за допомогою Wireshark за допомогою DHCP-запитів

Ще один простий спосіб визначити IP-адресу невідомого хоста у вашій мережі – це використовувати трафік DHCP. Цей метод працює лише в тому випадку, якщо хост запитує IP-адресу.

Якщо ви маєте справу з ситуацією, коли хтось розмістив шкідливий пристрій у вашій корпоративній мережі; цей метод не рекомендується – вони, ймовірно, встановлять статичну адресу. Але для нормального використання він працює так само добре, як і ARP.

IP-адреса з Wireshard - крок 4
Щоб захопити трафік DHCP, я хочу запустити новий сеанс без фільтра захоплення та встановити фільтр дисплея Wireshark на udp.port == 67 як показано вище Потім зачекайте, поки невідомий хост вийде в Інтернет і запитає IP-адресу від вашого DHCP-сервера.

Ви також можете змусити кожного хоста у вашій мережі запитувати нову IP-адресу, встановивши час оренди на годину-дві та захопивши трафік. У такому випадку вам слід переглядати імена хостів, поки не знайдете цільового клієнта.

IP-адреса з Wireshard - крок 5

Зауважте, що кадр, який я захопив, має вихідну IP-адресу 0,0.0.0. Це нормально, поки хост не призначить дійсну IP-адресу сервером DHCP.

Клацніть на захопленому кадрі та подивіться на Перегляд деталей про пакет. Переглядайте, поки не знайдете запис Протокол завантаження і натисніть стрілку, щоб розгорнути її.

IP-адреса з Wireshard - Крок 6

Прокрутіть список опцій, поки не знайдете Запитана IP-адреса, який показує, що DHCP-сервер намагався призначити. Приблизно у кожному випадку це співвідноситься з IP-адресою хост-машини, незважаючи на те, що це виражається як запит.

Ви також можете знайти кілька інших корисних варіантів, таких як Час оренди IP-адреси і Ім’я хоста невідомого клієнта, який запитує адресу.

Отримання IP-адреси невідомого хоста за допомогою Wireshark

Ці два способи є надійними способами знайти IP-адресу невідомого хоста. Залежно від вашої мережі, можуть бути й інші. Наприклад, надсилання пінг-трансляції працюватиме в деяких ситуаціях, коли ви ділитесь доменом зіткнення з хостом. Але особливо для домашніх мереж, де всі пристрої більш-менш безпосередньо підключені до комутатора, аналіз ARP та DHCP-запитів є найкращим вибором для виявлення IP-адреси.