Sử dụng Wireshark để lấy địa chỉ IP của Máy chủ không xác định
Wireshark là một công cụ mạnh mẽ có thể phân tích lưu lượng giữa các máy chủ trên mạng của bạn. Nhưng nó cũng có thể được sử dụng để giúp bạn khám phá và giám sát các máy chủ không xác định, tìm địa chỉ IP của họ và thậm chí tìm hiểu một chút về chính thiết bị. Ở đây, cách tôi sử dụng Wireshark để tìm địa chỉ IP của một máy chủ không xác định trên mạng LAN của tôi.
Địa chỉ IP và Wireshark là gì?
Wireshark là một giám sát và phân tích mạng. Nó hoạt động dưới mức gói, chụp các khung riêng lẻ và trình bày chúng cho người dùng để kiểm tra. Sử dụng Wireshark, bạn có thể xem lưu lượng truy cập trong thời gian thực trên mạng của mình và nhìn vào bên trong để xem dữ liệu nào đang di chuyển trên dây.
Địa chỉ IP là một mã định danh duy nhất được sử dụng để định tuyến lưu lượng trên lớp mạng của mô hình OSI. Nếu bạn nghĩ về mạng cục bộ của mình như một vùng lân cận, một địa chỉ IP tương tự như số nhà. Khi bạn biết địa chỉ IP của máy chủ lưu trữ, bạn có thể truy cập và tương tác với nó.
Đưa Wireshark lên một tầm cao mới
Wireshark rất giỏi trong những gì nó làm, nhưng ngoài ra, nó chỉ cung cấp các chức năng cơ bản. Khi bạn phát hiện ra địa chỉ IP của một máy chủ không xác định, bạn có thể muốn có thể hình dung hiệu suất của nó trên mạng.
Trình xem thời gian phản hồi của SolarWinds cho Wireshark (CÔNG CỤ MIỄN PHÍ)
Trình xem thời gian phản hồi của SolarWinds cho Wireshark là một plugin miễn phí cho Wireshark cho phép bạn theo dõi thời gian trễ trên mạng của mình. Nếu máy móc của bạn chạy chậm và bạn cần tìm hiểu tại sao, thì nó lại là một công cụ tuyệt vời cho công việc.
Trình xem thời gian phản hồi của SolarWinds cho Wireshark Tải xuống công cụ MIỄN PHÍ 100%
Giám sát hiệu suất mạng SolarWinds (THỬ MIỄN PHÍ)
Họ cũng cung cấp một tính năng đầy đủ Giám sát hiệu suất mạng (NPM) cho mạng doanh nghiệp. Các Giám sát hiệu suất mạng SolarWinds có thể tính toán thời gian phản hồi của ứng dụng, ping thiết bị của bạn bằng các cảnh báo thông minh, tạo đường cơ sở hiệu suất và thậm chí giám sát toàn bộ ngăn xếp của Cisco. Độc giả so sánh có thể dùng thử miễn phí rủi ro trong 30 ngày.
Màn hình hiệu suất mạng SolarWinds Tải xuống bản dùng thử MIỄN PHÍ 30 ngày
Tìm địa chỉ IP bằng Wireshark bằng các yêu cầu ARP
Wireshark có thể sử dụng các yêu cầu Giao thức phân giải địa chỉ (ARP) để lấy địa chỉ IP của máy chủ không xác định trên mạng của bạn. ARP là một yêu cầu quảng bá mà có nghĩa là để giúp máy khách vạch ra mạng máy chủ.
ARP dễ đánh lừa hơn một chút so với sử dụng yêu cầu DHCP – mà tôi sẽ trình bày bên dưới – bởi vì thậm chí các máy chủ có địa chỉ IP tĩnh sẽ tạo ra lưu lượng ARP khi khởi động.
Để nhận địa chỉ IP của máy chủ không xác định qua ARP, hãy khởi động Wireshark và bắt đầu phiên với bộ lọc chụp Wireshark được đặt thành arp, như được trình bày ở trên.
Sau đó chờ đợi máy chủ không xác định đến trực tuyến. Tôi sử dụng điện thoại di động và bật và tắt kết nối WiFi. Bất kể, khi một máy chủ không xác định trực tuyến, nó sẽ tạo ra một hoặc nhiều Yêu cầu ARP. Đó là những khung hình bạn nên tìm kiếm.
Khi bạn phát hiện ra yêu cầu, nhấp vào nó. Sử dụng Wireshark từ Xem chi tiết gói để phân tích khung. Nhìn vào Địa chỉ Nghị quyết Nghị định thư phần của khung, đặc biệt là Địa chỉ IP người gửi và Địa chỉ MAC người gửi.
Trong trường hợp này, bạn có thể thấy điện thoại của tôi nhận được địa chỉ IP 192.168.1.182 từ bộ định tuyến và bạn có thể xác định thiết bị là điện thoại Apple bằng cách xem OUI của nhà cung cấp.
Tìm địa chỉ IP bằng Wireshark bằng các yêu cầu DHCP
Một cách dễ dàng khác để xác định địa chỉ IP của máy chủ không xác định trên mạng của bạn là sử dụng lưu lượng DHCP. Phương pháp này chỉ hoạt động nếu máy chủ yêu cầu địa chỉ IP.
Nếu bạn xử lý một tình huống trong đó ai đó đã đặt một thiết bị độc hại vào mạng công ty của bạn; phương pháp này được khuyến nghị – họ có thể thiết lập một địa chỉ tĩnh. Nhưng để sử dụng bình thường, nó hoạt động tốt như ARP.
Để nắm bắt lưu lượng DHCP, tôi muốn bắt đầu một phiên mới không có bộ lọc chụp và đặt bộ lọc hiển thị Wireshark thành udp.port == 67 như được trình bày ở trên. Sau đó đợi máy chủ không xác định trực tuyến và yêu cầu địa chỉ IP từ máy chủ DHCP của bạn.
Bạn cũng có thể buộc mọi máy chủ trên mạng của mình yêu cầu một địa chỉ IP mới bằng cách đặt thời gian thuê thành một hoặc hai giờ và nắm bắt lưu lượng truy cập. Trong trường hợp này, bạn muốn duyệt qua tên máy chủ cho đến khi bạn tìm thấy máy khách mục tiêu.
Lưu ý rằng khung tôi chụp có địa chỉ IP nguồn là 0,0.0.0. Điều này là bình thường cho đến khi máy chủ được gán một địa chỉ IP hợp lệ bởi máy chủ DHCP.
Nhấp vào khung đã chụp và nhìn vào Xem chi tiết gói. Duyệt cho đến khi bạn đã tìm thấy mục nhập cho Giao thức Bootstrap và nhấp vào mũi tên để mở rộng nó.
Cuộn qua danh sách các tùy chọn cho đến khi bạn tìm thấy Địa chỉ IP được yêu cầu, trong đó cho thấy những gì máy chủ DHCP đã cố gắng gán. Trong mọi trường hợp, điều này có liên quan đến địa chỉ IP của máy chủ, mặc dù thực tế nó đã diễn đạt như một yêu cầu.
Bạn cũng có thể tìm thấy một số tùy chọn hữu ích khác như Thời gian thuê địa chỉ IP và Tên máy chủ của khách hàng không xác định yêu cầu một địa chỉ.
Lấy địa chỉ IP của máy chủ không xác định bằng Wireshark
Hai phương pháp này là những cách chắc chắn để tìm địa chỉ IP của một máy chủ không xác định. Tùy thuộc vào mạng của bạn, có thể có những người khác. Chẳng hạn, việc gửi ping phát sóng sẽ hoạt động trong một số trường hợp khi bạn chia sẻ miền va chạm với máy chủ. Nhưng đặc biệt đối với mạng gia đình, nơi tất cả các thiết bị được kết nối trực tiếp với một bộ chuyển mạch, phân tích các yêu cầu ARP và DHCP là lựa chọn tốt nhất để khám phá địa chỉ IP.