Usando o Wireshark para obter o endereço IP de um host desconhecido

O Wireshark é uma ferramenta poderosa que pode analisar o tráfego entre hosts na sua rede. Mas também pode ser usado para ajudá-lo a descobrir e monitorar hosts desconhecidos, encontrar seus endereços IP e até aprender um pouco sobre o próprio dispositivo. Aqui está como eu uso o Wireshark para encontrar o endereço IP de um host desconhecido na minha LAN.

O que são endereços IP e Wireshark?

O Wireshark é um monitor e analisador de rede. Ele funciona abaixo do nível do pacote, capturando quadros individuais e apresentando-os ao usuário para inspeção. Usando o Wireshark, você pode assistir o tráfego em tempo real na rede e olhar para dentro para ver quais dados estão sendo movidos pela rede..

Um endereço IP é um identificador exclusivo usado para rotear o tráfego na camada de rede do modelo OSI. Se você pensa na sua rede local como um bairro, um endereço IP é análogo ao número da casa. Quando você conhece o endereço IP de um host, é possível acessar e interagir com ele.

Levando o Wireshark para o próximo nível

O Wireshark é muito bom no que faz, mas pronto para uso, oferece apenas funcionalidades básicas. Depois de descobrir o endereço IP de um host desconhecido, convém visualizar seu desempenho na rede.

Visualizador do tempo de resposta do SolarWinds para Wireshark (FERRAMENTA GRATUITA)

Visualizador do tempo de resposta do SolarWinds para Wireshark é um plugin gratuito para o Wireshark que permite monitorar o tempo de espera na sua rede. Se suas máquinas estão funcionando lentamente e você precisa descobrir o porquê, é uma excelente ferramenta para o trabalho.

SolarWinds Response Time Viewer for WiresharkFaça o download da ferramenta 100% GRATUITA

Monitor de desempenho de rede SolarWinds (TESTE GRATUITO)

Eles também oferecem um recurso completo Monitor de desempenho de rede (NPM) para redes corporativas. o Monitor de desempenho de rede SolarWinds pode calcular o tempo de resposta do aplicativo, executar ping nos dispositivos com alertas inteligentes, criar linhas de base de desempenho e até monitorar toda a sua pilha Cisco. Os leitores da Comparitech podem testá-lo sem riscos por 30 dias.

SolarWinds Network Performance MonitorDownload de 30 dias de teste GRATUITO

Localizando um endereço IP com o Wireshark usando solicitações ARP

As solicitações do Protocolo de resolução de endereço (ARP) podem ser usadas pelo Wireshark para obter o endereço IP de um host desconhecido na sua rede. ARP é uma solicitação de transmissão que visa ajudar a máquina cliente a mapear a rede host.

O ARP é um pouco mais infalível do que usar uma solicitação DHCP – que abordarei abaixo – porque mesmo hosts com um endereço IP estático irão gerar tráfego ARP na inicialização.

Para obter um endereço IP de um host desconhecido via ARP, inicie o Wireshark e inicie uma sessão com o filtro de captura do Wireshark definido como arp, como mostrado acima.

Depois, espere o host desconhecido ficar online. Estou usando meu telefone celular e alternando a conexão Wi-Fi. Independentemente disso, quando um host desconhecido fica online, ele gera um ou mais Solicitações de ARP. Esses são os quadros que você deve procurar.

Depois de encontrar a solicitação, clique nela. Use o Wireshark Visualização de detalhes do pacote para analisar o quadro. Olhe para a Protocolo de Resolução de Endereço seção do quadro, especialmente a Endereço IP do remetente e Endereço MAC do remetente.

Nesse caso, você pode ver meu telefone recebendo um endereço IP 192.168.1.182 do roteador e pode identificar o dispositivo como um telefone Apple olhando para o fornecedor OUI.

Localizando um endereço IP com o Wireshark usando solicitações DHCP

Outra maneira fácil de determinar o endereço IP de um host desconhecido na sua rede é usar o tráfego DHCP. Este método funciona apenas se o host solicitar um endereço IP.

Se você está lidando com uma situação em que alguém colocou um dispositivo malicioso na sua rede corporativa; esse método não é recomendado – eles provavelmente definiram um endereço estático. Mas, para uso normal, funciona tão bem quanto o ARP.

Para capturar o tráfego DHCP, gosto de iniciar uma nova sessão sem filtro de captura e defina o filtro de exibição do Wireshark como udp.port == 67 como mostrado acima. Em seguida, aguarde o host desconhecido ficar online e solicite um endereço IP do seu servidor DHCP.

Você também pode forçar todos os hosts da sua rede a solicitar um novo endereço IP, definindo o tempo de concessão para uma ou duas horas e capturando o tráfego. Nesse caso, você deseja navegar pelos nomes de host até encontrar o cliente de destino.

Observe que o quadro que eu capturei tem um endereço IP de origem 0.0.0.0. Isso é normal até que o host receba um endereço IP válido pelo servidor DHCP..

Clique no quadro capturado e veja o Visualização de detalhes do pacote. Navegue até encontrar a entrada para Protocolo de inicialização e clique na seta para expandi-la.

Role pela lista de opções até encontrar o Endereço IP solicitado, que mostra o que o servidor DHCP tentou atribuir. Em quase todos os casos, isso se correlaciona com o endereço IP da máquina host, apesar de ser formulada como uma solicitação.

Você também pode encontrar várias outras opções úteis, como a Tempo de concessão do endereço IP e Nome de anfitrião do cliente desconhecido solicitando um endereço.

Obtendo o endereço IP de um host desconhecido com o Wireshark

Esses dois métodos são maneiras seguras de encontrar o endereço IP de um host desconhecido. Dependendo da sua rede, pode haver outros. Por exemplo, o envio de um ping de difusão funcionará em algumas situações quando você compartilha um domínio de colisão com o host. Mas especialmente para redes domésticas, onde todos os dispositivos estão mais ou menos diretamente conectados a um switch, a análise de solicitações de ARP e DHCP é a melhor opção para descobrir um endereço IP..