Wireshark est un outil puissant qui peut analyser le trafic entre les hôtes de votre réseau. Mais il peut également être utilisé pour vous aider à découvrir et à surveiller des hôtes inconnus, à trouver leurs adresses IP et même à en apprendre un peu plus sur l’appareil lui-même. Voici comment j’utilise Wireshark pour trouver l’adresse IP d’un hôte inconnu sur mon LAN.
Que sont les adresses Wireshark et IP?
Wireshark est un moniteur et analyseur de réseau. Il fonctionne en dessous du niveau du paquet, capturant des trames individuelles et les présentant à l’utilisateur pour inspection. En utilisant Wireshark, vous pouvez regarder le trafic en temps réel sur votre réseau et regarder à l’intérieur pour voir quelles données circulent sur le câble.
Une adresse IP est un identifiant unique utilisé pour acheminer le trafic sur la couche réseau du modèle OSI. Si vous considérez votre réseau local comme un quartier, une adresse IP est analogue à un numéro de maison. Lorsque vous connaissez l’adresse IP d’un hôte, il est possible d’y accéder et d’interagir avec lui.
Faire passer Wireshark au niveau supérieur
Wireshark est très bon dans ce qu’il fait, mais hors de la boîte, il n’offre que des fonctionnalités de base. Une fois que vous avez découvert l’adresse IP d’un hôte inconnu, vous souhaiterez peut-être pouvoir visualiser ses performances sur le réseau.
Visionneuse de temps de réponse SolarWinds pour Wireshark (OUTIL GRATUIT)
Visionneuse de temps de réponse SolarWinds pour Wireshark est un plugin gratuit pour Wireshark qui vous permet de surveiller le temps de latence sur votre réseau. Si vos machines fonctionnent lentement et que vous devez comprendre pourquoi, c’est un excellent outil pour le travail.
SolarWinds Response Time Viewer for WiresharkDownload 100% FREE Tool
Moniteur de performances réseau SolarWinds (ESSAI GRATUIT)
Ils offrent également une gamme complète Moniteur de performances réseau (NPM) pour les réseaux d’entreprise. le Moniteur de performances réseau SolarWinds peut calculer le temps de réponse des applications, envoyer une requête ping à vos appareils avec des alertes intelligentes, créer des références de performances et même surveiller l’ensemble de votre pile Cisco. Les lecteurs de Comparitech peuvent l’essayer sans risque pendant 30 jours.
SolarWinds Network Performance MonitorTéléchargez la version d’essai gratuite de 30 jours
Recherche d’une adresse IP avec Wireshark à l’aide de requêtes ARP
Les requêtes ARP (Address Resolution Protocol) peuvent être utilisées par Wireshark pour obtenir l’adresse IP d’un hôte inconnu sur votre réseau. ARP est une demande de diffusion destinée à aider la machine cliente à cartographier le réseau hôte.
ARP est légèrement plus infaillible que l’utilisation d’une requête DHCP – que je couvrirai ci-dessous – car même les hôtes avec une adresse IP statique généreront du trafic ARP au démarrage.
Pour obtenir une adresse IP d’un hôte inconnu via ARP, démarrez Wireshark et commencez une session avec le filtre de capture Wireshark défini sur arp, Comme montré ci-dessus.
Attendez ensuite que l’hôte inconnu se connecte. J’utilise mon téléphone portable et active et désactive la connexion WiFi. Quoi qu’il en soit, lorsqu’un hôte inconnu se connecte, il génère un ou plusieurs Demandes ARP. Ce sont les cadres que vous devez rechercher.
Une fois que vous avez repéré la demande, cliquez dessus. Utilisez Wireshark Affichage des détails du paquet pour analyser le cadre. Regarde le Protocole de résolution d’adresse section du cadre, en particulier la Adresse IP de l’expéditeur et Adresse MAC de l’expéditeur.
Dans ce cas, vous pouvez voir que mon téléphone a reçu une adresse IP de 192.168.1.182 du routeur, et vous pouvez identifier l’appareil comme un téléphone Apple en regardant le fournisseur OUI.
Recherche d’une adresse IP avec Wireshark à l’aide de requêtes DHCP
Un autre moyen simple de déterminer l’adresse IP d’un hôte inconnu sur votre réseau consiste à utiliser le trafic DHCP. Cette méthode ne fonctionne que si l’hôte demande une adresse IP.
Si vous faites face à une situation où quelqu’un a placé un appareil malveillant sur votre réseau d’entreprise; cette méthode n’est pas recommandée – ils ont probablement défini une adresse statique. Mais pour une utilisation normale, cela fonctionne aussi bien que ARP.
Pour capturer le trafic DHCP, j’aime démarrer une nouvelle session sans filtre de capture et définir le filtre d’affichage Wireshark sur udp.port == 67 Comme montré ci-dessus. Attendez ensuite que l’hôte inconnu se connecte et demandez une adresse IP à votre serveur DHCP.
Vous pouvez également forcer chaque hôte de votre réseau à demander une nouvelle adresse IP en définissant la durée du bail sur une heure ou deux et en capturant le trafic. Dans ce cas, vous souhaitez parcourir les noms d’hôte jusqu’à ce que vous trouviez le client cible.
Notez que la trame que j’ai capturée a une adresse IP source de 0.0.0.0. Ceci est normal jusqu’à ce que l’hôte se voit attribuer une adresse IP valide par le serveur DHCP.
Cliquez sur le cadre capturé et regardez le Affichage des détails du paquet. Naviguez jusqu’à ce que vous ayez trouvé l’entrée pour Protocole d’amorçage et cliquez sur la flèche pour l’agrandir.
Faites défiler la liste des options jusqu’à ce que vous trouviez Adresse IP demandée, qui montre ce que le serveur DHCP a tenté d’affecter. Dans presque tous les cas, cela correspond à l’adresse IP de la machine hôte, malgré le fait qu’elle soit formulée comme une demande.
Vous pouvez également trouver une poignée d’autres options utiles comme le Durée de location de l’adresse IP et Nom d’hôte du client inconnu demandant une adresse.
Obtenir l’adresse IP d’un hôte inconnu avec Wireshark
Ces deux méthodes sont des moyens infaillibles de trouver l’adresse IP d’un hôte inconnu. Selon votre réseau, il peut y en avoir d’autres. Par exemple, l’envoi d’un ping de diffusion fonctionnera dans certaines situations lorsque vous partagez un domaine de collision avec l’hôte. Mais en particulier pour les réseaux domestiques, où tous les appareils sont plus ou moins directement connectés à un commutateur, l’analyse des requêtes ARP et DHCP est le meilleur choix pour découvrir une adresse IP.
Wireshark est un outil très utile pour analyser le trafic sur votre réseau et découvrir des hôtes inconnus. En utilisant des requêtes ARP ou DHCP, vous pouvez facilement trouver ladresse IP dun hôte inconnu et en apprendre un peu plus sur lappareil lui-même. De plus, avec des outils tels que la Visionneuse de temps de réponse SolarWinds pour Wireshark ou le Moniteur de performances réseau SolarWinds, vous pouvez surveiller les performances de lhôte sur le réseau. En somme, Wireshark est un outil puissant pour les administrateurs réseau et les utilisateurs avancés qui cherchent à mieux comprendre leur réseau.