Использование Wireshark для получения IP-адреса неизвестного хоста
Wireshark — это мощный инструмент, который может анализировать трафик между хостами в вашей сети. Но его также можно использовать для обнаружения и мониторинга неизвестных хостов, определения их IP-адресов и даже небольшого изучения самого устройства. Вот как я использую Wireshark, чтобы найти IP-адрес неизвестного хоста в моей локальной сети.
Contents
- 1 Что такое Wireshark и IP-адреса?
- 2 Вывод Wireshark на следующий уровень
- 2.1 Средство просмотра времени отклика SolarWinds для Wireshark (БЕСПЛАТНЫЙ ИНСТРУМЕНТ)
- 2.2 Монитор производительности сети SolarWinds (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
- 3 Поиск IP-адреса с помощью Wireshark с использованием ARP-запросов
- 4 Поиск IP-адреса с помощью Wireshark с использованием запросов DHCP
- 5 Получение IP-адреса неизвестного хоста с помощью Wireshark
Что такое Wireshark и IP-адреса?
Wireshark — это сетевой монитор и анализатор.
Он работает ниже уровня пакета, захватывая отдельные кадры и представляя их пользователю для проверки. Используя Wireshark, вы можете наблюдать за трафиком в реальном времени через вашу сеть и заглядывать внутрь, чтобы увидеть, какие данные передаются по сети..
IP-адрес — это уникальный идентификатор, используемый для маршрутизации трафика на сетевом уровне модели OSI.. Если вы думаете о своей локальной сети как о соседстве, IP-адрес аналогичен номеру дома. Когда вы знаете IP-адрес хоста, вы можете получить к нему доступ и взаимодействовать с ним..
Вывод Wireshark на следующий уровень
Wireshark очень хорош в том, что он делает, но из коробки он предлагает только базовую функциональность. Как только вы обнаружите IP-адрес неизвестного хоста, вы можете захотеть увидеть его производительность в сети.
Средство просмотра времени отклика SolarWinds для Wireshark (БЕСПЛАТНЫЙ ИНСТРУМЕНТ)
Средство просмотра времени отклика SolarWinds для Wireshark бесплатный плагин для Wireshark, который позволяет вам отслеживать время задержки в вашей сети.
Если ваши машины работают медленно, и вам нужно выяснить, почему, это отличный инструмент для работы.
Средство просмотра времени отклика SolarWinds для WiresharkDownload 100% БЕСПЛАТНЫЙ инструмент
Монитор производительности сети SolarWinds (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)
Они также предлагают полнофункциональный Монитор производительности сети (NPM) для корпоративных сетей. Монитор производительности сети SolarWinds может рассчитывать время отклика приложения, пинговать ваши устройства с помощью интеллектуальных оповещений, создавать базовые показатели производительности и даже отслеживать весь стек Cisco. Читатели Comparitech могут попробовать его без риска в течение 30 дней.
Монитор производительности сети SolarWindsСкачать 30-дневную бесплатную пробную версию
Поиск IP-адреса с помощью Wireshark с использованием ARP-запросов
Wireshark может использовать запросы протокола разрешения адресов (ARP) для получения IP-адреса неизвестного хоста в вашей сети.
ARP — это широковещательный запрос, предназначенный для помощи клиентскому компьютеру в планировании сети хоста..
ARP немного более надежен, чем использование DHCP-запроса, о котором я расскажу ниже, потому что даже хосты со статическим IP-адресом будут генерировать трафик ARP при запуске.
Чтобы получить IP-адрес неизвестного хоста через ARP, запустите Wireshark и начните сеанс с фильтром захвата Wireshark, установленным в агр, как показано выше.
Затем дождитесь появления неизвестного хоста. Я использую свой мобильный телефон и включаю и выключаю соединение WiFi. Независимо от того, когда неизвестный хост подключается к сети, он генерирует один или несколько ARP запросы. Это те рамки, которые вы должны искать.
Как только вы заметили запрос, нажмите на него. Используйте Wireshark’s Просмотр сведений о пакете проанализировать кадр. Посмотрите на Протокол разрешения адресов раздел рамы, особенно IP-адрес отправителя и MAC-адрес отправителя.
В этом случае вы можете видеть, что мой телефон получил IP-адрес 192.168.1.182 от маршрутизатора, и вы можете идентифицировать устройство как телефон Apple, посмотрев на OUI поставщика..
Поиск IP-адреса с помощью Wireshark с использованием запросов DHCP
Другой простой способ определить IP-адрес неизвестного хоста в вашей сети — использовать DHCP-трафик. Этот метод работает, только если хост запрашивает IP-адрес.
Если вы сталкиваетесь с ситуацией, когда кто-то поместил вредоносное устройство в вашу корпоративную сеть; этот метод не рекомендуется — скорее всего, он установил статический адрес. Но для нормального использования он работает так же хорошо, как ARP.
Чтобы захватить трафик DHCP, я хотел бы начать новый сеанс без фильтра захвата и установить фильтр отображения Wireshark на udp.port == 67 как показано выше. Затем дождитесь появления неизвестного хоста и запросите IP-адрес с вашего DHCP-сервера..
Вы также можете заставить каждый хост в вашей сети запрашивать новый IP-адрес, установив время аренды на час или два и захватив трафик.
В этом случае вы хотите просматривать имена хостов, пока не найдете целевой клиент.
Обратите внимание, что у захваченного кадра IP-адрес источника равен 0.0.0.0. Это нормально, пока хост не назначит действительный IP-адрес сервером DHCP..
Нажмите на захваченный кадр и посмотрите на Просмотр сведений о пакете. Просматривайте, пока не найдете запись для Протокол начальной загрузки и нажмите на стрелку, чтобы развернуть ее.
Прокрутите список параметров, пока не найдете Запрашиваемый IP-адрес, который показывает, что DHCP-сервер попытался назначить. Практически в каждом случае это соотносится с IP-адресом хост-машины, несмотря на то, что он сформулирован как запрос.
Вы также можете найти несколько других полезных опций, таких как Время аренды IP-адреса и Имя хоста неизвестного клиента, запрашивающего адрес.
Получение IP-адреса неизвестного хоста с помощью Wireshark
Эти два метода являются надежными способами найти IP-адрес неизвестного хоста.
В зависимости от вашей сети, могут быть и другие. Например, отправка широковещательного пинга будет работать в некоторых ситуациях, когда вы совместно используете домен коллизий с хостом. Но особенно для домашней сети, где все устройства более или менее напрямую подключены к коммутатору, анализ запросов ARP и DHCP — лучший выбор для определения IP-адреса..
Как определить неизвестные устройства, подключенные к вашей сети?
Много раз, когда вы входите в свою сеть и начинаете свою работу, вы можете обнаружить, что видео YouTube зависает в цикле буферизации, а иногда загрузка веб-сайта занимает больше времени, что замедляет вашу работу. Теперь, когда вы пытаетесь просмотреть устройства, подключенные к вашей сети, вы можете обнаружить неизвестную сеть или устройство, подключенное к вашей сети Wi-Fi, которое потребляет пропускную способность, что приводит к замедлению вашей сети. Итак, вы должны сначала попытаться идентифицировать эти неизвестные устройства, чтобы удалить их.
Содержание
- Причина подключения неизвестных устройств
- Найдите неизвестное устройство в вашем Wi-Fi
- Заключение
Причина подключения неизвестных устройств
Компьютеры, ноутбуки и некоторые другие устройства Wi-Fi, такие как устройства для умного дома, особенно смартфоны, постоянно сканируют доступные сети, пытаясь найти лучшую сеть, даже если они уже подключены к ней.
В результате эти устройства постоянно сканируют вашу сеть Wi-Fi, и даже ваша сеть Wi-Fi подтверждает ее доступность. Сеть Wi-Fi использует протокол WPA (Wi-Fi Protected Access), который используется для защиты беспроводного сетевого соединения с другими устройствами с помощью удаленной аутентификации. Но тем не менее к вашей сети подключаются хакеры, которые хотят получить доступ к вашим данным или ваш сосед, который не хочет платить за интернет-соединение.
Найдите неизвестное устройство в вашем Wi-Fi
Каждое устройство имеет уникальный адрес, называемый IP-адресом (интернет-протокол) в вашей сети, с помощью которого они подключаются к Интернету. Каждое устройство в вашей сети может быть идентифицировано, даже неизвестные IP-адреса на маршрутизаторах, с помощью IP-адреса.
Вы можете найти IP-адрес на окнах, выполнив следующие действия:
- Нажмите на кнопку «Пуск», затем перейдите к опции «Настройки».
- Перейдите к опции «Сеть и Интернет».
- Здесь вы выбираете сетевое подключение и можете просмотреть IP-адрес рядом с «IP-адресом».
- Теперь нажмите на опцию «Wi-Fi», затем перейдите в «Дополнительные параметры», здесь IP-адрес будет отображаться рядом с «Адрес IPv4». Здесь вы можете найти IP-адреса устройств, подключенных к вашей сети, и, следовательно, проверить устройства, которые вам неизвестны.
Но, тем не менее, описанный выше метод не дает достаточной информации, поэтому есть другой способ найти неизвестные устройства, подключенные к вашей сети, независимо от того, какие устройства вы используете или к которым имеете доступ, если у вас есть Интернет дома и вы можете получить доступ к веб-браузеру.. Перед этим вам необходимо иметь данные для входа в роутер. Скорее всего, ваша информация для входа установлена по умолчанию. Обычно это комбинация «имя пользователя» для поля имени пользователя и «пароль» для поля пароля, но это зависит от вашего маршрутизатора, и, кроме того, вы можете указать свое собственное имя пользователя и пароль, поэтому убедитесь, что у вас есть правильная информация.
Найдите IP-адрес шлюза по умолчанию, который является IP-адресом вашего маршрутизатора (например, http://192.168.1.1), который вы можете использовать для входа в веб-браузер, например URL-адрес, для доступа к настройкам веб-управления вашего маршрутизатора.
Теперь вы можете найти устройства, подключенные к вашей сети Wi-Fi, выполнив следующие действия:
- Откройте любую вкладку веб-браузера на мобильном устройстве или компьютере; введите IP-адрес шлюза по умолчанию и нажмите Enter, чтобы он загрузился.
- Теперь войдите на веб-портал управления вашего маршрутизатора, введя свое имя пользователя и пароль.
- Перемещайтесь и ищите список, чтобы найти подключенные устройства. Много раз маршрутизаторы делят списки подключений по типу подключения, в зависимости от типа ваших устройств выбирают проводные устройства и устройства Wi-Fi.
Когда вы найдете свой список устройств, может возникнуть вероятность того, что вы не узнаете имя каждого устройства, подключенного к вашей сети.
Некоторые устройства ваших устройств будут иметь узнаваемые имена, но другие могут отображаться как неизвестная или случайная последовательность букв и цифр. Теперь подсчитайте свои устройства с доступом в Интернет, чтобы сравнить со списком, который вы найдете, чтобы узнать неизвестные устройства.
- Существует еще один способ найти все устройства в вашей сети, включая проводные устройства, выполнив следующие действия (для Windows): —
- С помощью команды cmdоткройте утилиту командной строки и запустите ее от имени администратора.
- Введите команду arp -aи нажмите Enter.
- Вы увидите список IP-адресови MAC -адресов подключенных устройств на своем экране.
Кроме того, вы можете идентифицировать устройство, используя его IP-адрес и MAC-адрес, информацию можно получить, проверив связь с устройством в командной строке на ваших устройствах Windows. Это делается с помощью следующих шагов (для Windows): —
- С помощью команды cmd откройте утилиту командной строки и обязательно запустите ее от имени администратора.
- Используйте команду ping и введите ping -a XYZ, где XYZ — это IP-адрес устройства, которое вы хотите найти.
- Теперь вы можете видеть, пингует ли он определенное сетевое имя. Но это не сработает, если вы повернули свои устройства.
Теперь вы можете использовать инструмент сетевого сканирования для мониторинга, обнаружения, сопоставления и сканирования сетевых устройств, чтобы защитить свою сеть от неизвестных устройств. Некоторые часто используемые инструменты:
- Auvik
- Intruder
- SolarWinds
- NetScan Tools Pro.
- NMap
Профилактика:
- Регулярно сканируйте домашнюю сеть, чтобы удалить устройства, которые считаете подходящими.
- Обновите пароль Wi-Fi на более надежный и попробуйте изменить его через некоторое время.
- Обновите SSIDWi-Fi по умолчанию (идентификатор набора услуг).
- Отключите WPS (Wi-Fi Protected Setup)через панель администратора вашего роутера.
- Включить одобрение нового устройства.
Заключение
В большинстве случаев обнаружение какого-либо неизвестного устройства в вашей сети не вызовет у вас никаких проблем. Но недопустимо, чтобы кто-то использовал услугу, за которую вы платите, даже если этим устройством может быть кто-то, кому вы ранее предоставили доступ, и вы не узнаете его имя. Кроме того, существует вероятность того, что злоумышленники украдут ваши данные, поэтому следует всегда соблюдать все вышеупомянутые меры предосторожности.
networking — Найти неизвестный статический IP + маску подсети устройства?
спросил
Изменено 5 лет, 6 месяцев назад
Просмотрено 216 тысяч раз
У меня есть устройство со статическим IP-адресом и маской подсети.
Я не знаю IP или маску подсети. Как узнать IP-адрес устройства и маску подсети?
Это аппаратное обеспечение, а не ПК. Он не будет принимать IP от DHCP. Я также попытался напрямую подключить кабель LAN от моего ПК к устройству с запущенным Wireshark, чтобы посмотреть, смогу ли я перехватить какие-либо пакеты с устройства, когда оно запускается, или к нему подключен кабель Ethernet, но, похоже, ничего.
Устройство работает, поскольку мигает на портах Ethernet.
Есть ли какое-либо программное обеспечение для проверки связи между IP-адресами и сетями?
- сеть
- IP-адрес
10
3 шага
- Загрузите, установите и запустите wireshark
- Подключить устройство к компьютеру кабелем
- Перезагрузите устройство (отключите и снова подключите его к сети)
Если устройство имеет статический IP-адрес, оно должно (может) транслировать свой IP-адрес в сеть, что вы должны обнаружить с помощью wireshark.
Если устройство настроено с динамическим IP-адресом, оно запросит IP-адрес, и в этом случае подключение к маршрутизатору или компьютеру с DHCP-сервером решит проблему.
Обратите внимание, только сегодня я видел, как системный администратор использовал эти шаги, чтобы узнать неизвестный IP с устройства 🙂
2
Я рекомендую netdiscover. Вы можете использовать его в режиме пассивного прослушивания и обнаруживать входящие ARP-объявления (используя переключатель -p ) или просто применить перебор:
netdiscover -S -f -i eth0
Обратите внимание, что это невероятно быстро по сравнению с nmap (возможно, я недостаточно хорошо настроил nmap).
Кроме того, метод, предложенный в принятом в настоящее время ответе (отслеживание объявлений ARP с использованием Wireshark), по сути, является тем, что делает режим -p .
1
Вы можете попробовать Angry IP Scanner или, если у вас есть сервер Linux, использовать arp-scan.
1
это помогло мне несколько раз в Windows.
арп-а
Отображает кэш соседей сети. Это локальный кеш разрешений IP/MAC-адресов. Полезно для идентификации новых устройств, которые присоединились к сети и дублируют статические IP-адреса.
2
Попробуйте выполнить эту команду, она пропингует все возможные широковещательные адреса.
пинг 255.255.255.255
3
Предположим, что он подключен к управляемому коммутатору, найдите коммутатор, к которому он подключен, и отследите его до определенного порта. Войдите в коммутатор и посмотрите на mac-адрес, связанный с этим портом. В стране Cisco это было бы что-то вроде показать таблицу MAC-адресов | i 5/34 , где 5/34 — порт, к которому подключено устройство.
Когда у вас есть mac-адрес устройства, вы можете посмотреть таблицы ARP на коммутаторе, которые должны показать вам IP-адрес.
Опять же, в Cisco это будет что-то вроде sh arp | i FFFF , где FFFF — последние 4 символа mac-адреса устройства.
Это даст вам IP-адрес. Вы должны иметь возможность использовать такой инструмент, как wireshark, для просмотра трафика и получения сетевой маски из трафика.
2
В операционных системах, которые не позволяют пинговать широковещательный адрес всех единиц (255.255.255.255), обычно можно пинговать многоадресный адрес «Все хосты»:
ping 224.0.0.1
Все стеки IP в течение двух десятилетий поддерживали многоадресную рассылку, поэтому все они должны реагировать на это, если только у них нет чрезмерно усердного брандмауэра.
У меня был успех на моем компьютере с Linux с использованием адаптера USB-Ethernet (как этот) и выдача:
$ пинг -I eth3 -b 255.255.255.255
Используйте nmap:
Nmap («Network Mapper») — бесплатная утилита с открытым исходным кодом (лицензия).
для исследования сети или аудита безопасности. Многие системы и сети
администраторы также находят его полезным для таких задач, как сетевые
инвентаризация, управление графиками обновления услуг и мониторинг хоста или
время безотказной работы службы. Nmap использует необработанные IP-пакеты новыми способами для определения
какие хосты доступны в сети, какие сервисы (приложение
имя и версия) эти хосты предлагают, какие операционные системы
(и версии ОС) они запущены, какой тип пакета
используются фильтры/брандмауэры и десятки других характеристик. Это
был разработан для быстрого сканирования больших сетей, но отлично работает против
одиночные хосты. Nmap работает на всех основных компьютерных операционных системах, и
официальные бинарные пакеты доступны для Linux, Windows и Mac OS
X. В дополнение к классическому исполняемому файлу Nmap из командной строки, Nmap
пакет включает расширенный графический интерфейс и средство просмотра результатов (Zenmap), гибкую
средство передачи, перенаправления и отладки данных (Ncat), утилита для
сравнение результатов сканирования (Ndiff) и генерации пакета и ответа
инструмент анализа (Nping).
1
Зарегистрируйтесь или войдите в систему
Зарегистрироваться через Facebook
Зарегистрируйтесь, используя электронную почту и пароль
Опубликовать как гость
Электронная почта
Требуется, но не отображается
Опубликовать как гость
Электронная почта
Требуется, но не отображается
Нажимая «Опубликовать свой ответ», вы соглашаетесь с нашими условиями обслуживания, политикой конфиденциальности и политикой использования файлов cookie
.
windows 7 — Определение IP-адреса устройства, подключенного к сети
Задавать вопрос
спросил
Изменено 7 лет, 1 месяц назад
Просмотрено 40 тысяч раз
В разделе «Сеть» Windows 7 я вижу новое устройство, подключенное к сети. Я не уверен, что это за устройство, поэтому я намерен заблокировать его от сети на уровне маршрутизатора — в основном, чтобы увидеть, если что-то пойдет не так, чтобы, по крайней мере, мы знали, что с ним связано.
Однако для этого мне понадобится его MAC-адрес, который я могу получить от самого маршрутизатора, при условии, что я каким-то образом получу его локальный IP-адрес.
Есть ли способ сделать это? У меня нет доступа к этому устройству, и я полагаю, что подключено слишком много устройств, и я не могу внести их в белый список. В основном я хочу превратить сетевой путь «\ …..» в IP-адрес.
РЕДАКТИРОВАТЬ:
Я пытался пропинговать его. Однако имя этого устройства — просто цифры, поэтому ping разрешает его на IP-адрес 0.0.0.x, что не удается.
РЕДАКТИРОВАТЬ (для уточнения):
Мне не нужно получать Mac/IP-адрес этой машины, на которой я работаю. Мне нужно получить адрес Mac/IP другого устройства, которое подключено к той же сети, что и эта машина, и которое я могу наблюдать из сети. Я понятия не имею, что это за устройство, и у меня нет к нему доступа.
- windows-7
- сеть
4
Я не понимаю, почему ваш пинг не работает, если Windows может видеть устройство, тогда пинг должен решить эту проблему. Можете ли вы показать нам сообщение об ошибке для вашего пинга?
В противном случае я бы предложил «nbtstat -c» или «ipconfig /displaydns» для просмотра разрешенных имен NetBios и DNS соответственно.
Для DNS вы можете сначала запустить «ipconfig /flushdns», а затем снова подключиться к устройству, прежде чем делать это, иначе вы увидите все кэшированные записи DNS.
3
Я могу перечислить два способа:
- Использование команды «arp -a»:
Он вернет вам таблицу кэша ARP (протокол разрешения адресов) из зарегистрированных интерфейсов, которые ваш компьютер недавно обменивался сообщениями:
- Использование анализатора (например, Wireshark):
Wireshark обнюхивает ваш интерфейс, и вы можете просто отфильтровать IP-адрес, который вы хотите узнать, его MAC-адреса (из уровня Ethernet обнюханного пакета TCP/IP):
7
вы можете использовать Advanced IP Scanner для этой цели
когда вы начнете сканирование, программа будет проверять сеть и контролировать все устройства. также вы можете видеть общую папку или принтеры
см.