Usando Wireshark para obtener la dirección IP de un host desconocido

Wireshark es una herramienta poderosa que puede analizar el tráfico entre hosts en su red. Pero también se puede usar para ayudarlo a descubrir y monitorear hosts desconocidos, encontrar sus direcciones IP e incluso aprender un poco sobre el dispositivo en sí. Así es como uso Wireshark para encontrar la dirección IP de un host desconocido en mi LAN.

¿Qué son las direcciones IP y Wireshark??

Wireshark es un monitor y analizador de red. Funciona por debajo del nivel del paquete, captura cuadros individuales y los presenta al usuario para su inspección. Con Wireshark, puede ver el tráfico en tiempo real a través de su red y mirar dentro para ver qué datos se mueven a través del cable.

Una dirección IP es un identificador único utilizado para enrutar el tráfico en la capa de red del modelo OSI. Si piensa en su red local como un vecindario, una dirección IP es análoga a un número de casa. Cuando conoce la dirección IP de un host, es posible acceder e interactuar con él..

Llevando Wireshark al siguiente nivel

Wireshark es muy bueno en lo que hace, pero listo para usar, solo ofrece una funcionalidad básica. Una vez que descubra la dirección IP de un host desconocido, es posible que desee visualizar su rendimiento en la red.

SolarWinds Response Time Viewer para Wireshark (herramienta gratuita)

Visor de tiempo de respuesta de SolarWinds para Wireshark es un complemento gratuito para Wireshark que le permite controlar el tiempo de retraso en su red. Si sus máquinas funcionan lentamente y necesita saber por qué, es una herramienta excelente para el trabajo.

SolarWinds Response Time Viewer para WiresharkDescargar herramienta 100% GRATUITA

SolarWinds Network Performance Monitor (PRUEBA GRATUITA)

También ofrecen un completo Monitor de rendimiento de red (NPM) para redes empresariales. los Monitor de rendimiento de red de SolarWinds puede calcular el tiempo de respuesta de la aplicación, hacer ping a sus dispositivos con alertas inteligentes, crear líneas de base de rendimiento e incluso monitorear toda su pila de Cisco. Los lectores de Comparitech pueden probarlo sin riesgo durante 30 días..

SolarWinds Network Performance Monitor: descargue una prueba GRATUITA de 30 días

Encontrar una dirección IP con Wireshark usando solicitudes ARP

Wireshark puede utilizar las solicitudes del Protocolo de resolución de direcciones (ARP) para obtener la dirección IP de un host desconocido en su red. ARP es una solicitud de difusión destinada a ayudar a la máquina cliente a mapear la red host.

ARP es un poco más infalible que usar una solicitud DHCP, que cubriré a continuación, porque incluso los hosts con una dirección IP estática generarán tráfico ARP al inicio.

Para obtener una dirección IP de un host desconocido a través de ARP, inicie Wireshark y comience una sesión con el filtro de captura de Wireshark configurado en arp, como se muestra arriba.

Luego, espere a que el host desconocido se conecte. Estoy usando mi teléfono celular y activando y desactivando la conexión WiFi. En cualquier caso, cuando un host desconocido se conecta, generará uno o más Solicitudes ARP. Esos son los marcos que debes buscar.

Una vez que haya detectado la solicitud, haga clic en ella. Usa Wireshark's Vista de detalles del paquete para analizar el marco. Mira el Protocolo de resolucion de DIRECCION sección del marco, especialmente el Dirección IP del remitente y Dirección MAC del remitente.

En este caso, puede ver que mi teléfono recibió una dirección IP de 192.168.1.182 del enrutador, y puede identificar el dispositivo como un teléfono de Apple mirando la OUI del proveedor.

Encontrar una dirección IP con Wireshark usando solicitudes DHCP

Otra forma fácil de determinar la dirección IP de un host desconocido en su red es usar el tráfico DHCP. Este método solo funciona si el host solicita una dirección IP.

Si está lidiando con una situación en la que alguien ha colocado un dispositivo malicioso en su red corporativa; No se recomienda este método, es probable que hayan configurado una dirección estática. Pero para un uso normal, funciona tan bien como ARP.

Para capturar el tráfico DHCP, me gusta comenzar una nueva sesión sin filtro de captura y establecer el filtro de pantalla Wireshark en udp.port == 67 como se muestra arriba. Luego, espere a que el host desconocido se conecte y solicite una dirección IP de su servidor DHCP.

También puede obligar a todos los hosts de su red a solicitar una nueva dirección IP configurando el tiempo de arrendamiento en una o dos horas y capturando el tráfico. En este caso, querrá examinar los nombres de host hasta que encuentre el cliente objetivo.

Tenga en cuenta que el marco que capturé tiene una dirección IP de origen de 0.0.0.0. Esto es normal hasta que el servidor DHCP asigna una dirección IP válida al host..

Haga clic en el marco capturado y mire el Vista de detalles del paquete. Navega hasta que encuentres la entrada para Protocolo Bootstrap y haga clic en la flecha para expandirlo.

Desplácese por la lista de opciones hasta que encuentre el Dirección IP solicitada, que muestra lo que el servidor DHCP ha intentado asignar. En casi todos los casos, esto se correlaciona con la dirección IP de la máquina host, a pesar de que está redactada como una solicitud.

También puede encontrar un puñado de otras opciones útiles como el Tiempo de arrendamiento de la dirección IP y Nombre del anfitrión del cliente desconocido que solicita una dirección.

Obtener la dirección IP de un host desconocido con Wireshark

Esos dos métodos son formas seguras de encontrar la dirección IP de un host desconocido. Dependiendo de su red, puede haber otros. Por ejemplo, enviar un ping de difusión funcionará en algunas situaciones cuando comparta un dominio de colisión con el host. Pero especialmente para las redes domésticas, donde todos los dispositivos están más o menos conectados directamente a un conmutador, analizar las solicitudes ARP y DHCP son las mejores opciones para descubrir una dirección IP.