Wireshark ist ein leistungsstarkes Tool, mit dem Sie den Datenverkehr zwischen Hosts in Ihrem Netzwerk analysieren können. Es kann aber auch verwendet werden, um unbekannte Hosts zu erkennen und zu überwachen, ihre IP-Adressen zu ermitteln und sogar ein wenig über das Gerät selbst zu lernen. So ermitteln Sie mit Wireshark die IP-Adresse eines unbekannten Hosts in meinem LAN.
Was sind Wireshark- und IP-Adressen??
Wireshark ist ein Netzwerkmonitor und -analysator. Es funktioniert unterhalb der Paketebene, erfasst einzelne Frames und präsentiert sie dem Benutzer zur Überprüfung. Mit Wireshark können Sie den Datenverkehr in Ihrem Netzwerk in Echtzeit verfolgen und nach innen schauen, um festzustellen, welche Daten über das Netzwerk übertragen werden.
Eine IP-Adresse ist eine eindeutige Kennung, die zum Weiterleiten des Datenverkehrs auf der Netzwerkschicht des OSI-Modells verwendet wird. Wenn Sie sich Ihr lokales Netzwerk als Nachbarschaft vorstellen, entspricht eine IP-Adresse einer Hausnummer. Wenn Sie die IP-Adresse eines Hosts kennen, können Sie darauf zugreifen und mit ihm interagieren.
Wireshark auf die nächste Stufe bringen
Wireshark ist sehr leistungsfähig, bietet jedoch nur grundlegende Funktionen. Sobald Sie die IP-Adresse eines unbekannten Hosts ermittelt haben, möchten Sie möglicherweise dessen Leistung im Netzwerk anzeigen.
SolarWinds Response Time Viewer für Wireshark (FREE TOOL)
SolarWinds Response Time Viewer für Wireshark ist ein kostenloses Plugin für Wireshark, mit dem Sie die Verzögerungszeit in Ihrem Netzwerk überwachen können. Wenn Ihre Maschinen langsam laufen und Sie herausfinden müssen, warum, ist dies ein hervorragendes Werkzeug für diesen Job.
SolarWinds Response Time Viewer für WiresharkDownload 100% KOSTENLOSES Tool
SolarWinds Network Performance Monitor (KOSTENLOSE TESTVERSION)
Sie bieten auch ein voll ausgestattetes Netzwerkleistungsüberwachung (NPM) für Unternehmensnetzwerke. Das SolarWinds Network Performance Monitor Sie können die Reaktionszeit von Anwendungen berechnen, Ihre Geräte mit intelligenten Warnungen anpingen, Leistungsbasislinien erstellen und sogar Ihren gesamten Cisco-Stack überwachen. Comparitech-Leser können es 30 Tage lang ohne Risiko ausprobieren.
SolarWinds Network Performance MonitorDownload 30-tägige KOSTENLOSE Testversion
Ermitteln einer IP-Adresse mit Wireshark mithilfe von ARP-Anforderungen
ARP-Anforderungen (Address Resolution Protocol) können von Wireshark verwendet werden, um die IP-Adresse eines unbekannten Hosts in Ihrem Netzwerk abzurufen. ARP ist eine Broadcast-Anforderung, die dem Client-Computer dabei helfen soll, das Host-Netzwerk zuzuordnen.
ARP ist etwas narrensicherer als die Verwendung einer DHCP-Anfrage, auf die ich weiter unten eingehen werde Selbst Hosts mit einer statischen IP-Adresse generieren ARP-Verkehr beim Start.
Um eine IP-Adresse eines unbekannten Hosts über ARP abzurufen, starten Sie Wireshark und starten Sie eine Sitzung, bei der der Wireshark-Erfassungsfilter auf eingestellt ist arp, wie oben gezeigt.
Warten Sie dann, bis der unbekannte Host online ist. Ich benutze mein Handy und schalte die WLAN-Verbindung ein und aus. Unabhängig davon werden ein oder mehrere Hosts generiert, wenn ein unbekannter Host online geht ARP-Anforderungen. Das sind die Rahmen, nach denen Sie suchen sollten.
Sobald Sie die Anfrage entdeckt haben, klicken Sie darauf. Verwenden Sie Wiresharks Paketdetailansicht den Rahmen zu analysieren. Schaue auf die Adressauflösungsprotokoll Ausschnitt des Rahmens, insbesondere der Absender IP-Adresse und Absender MAC-Adresse.
In diesem Fall sehen Sie, dass mein Telefon eine IP-Adresse von 192.168.1.182 vom Router erhalten hat, und Sie können das Gerät als Apple-Telefon identifizieren, indem Sie sich die OUI des Herstellers ansehen.
Ermitteln einer IP-Adresse mit Wireshark mithilfe von DHCP-Anforderungen
Eine weitere einfache Möglichkeit, die IP-Adresse eines unbekannten Hosts in Ihrem Netzwerk zu ermitteln, ist die Verwendung von DHCP-Datenverkehr. Diese Methode funktioniert nur, wenn der Host eine IP-Adresse anfordert.
Wenn Sie es mit einer Situation zu tun haben, in der jemand ein bösartiges Gerät in Ihr Unternehmensnetzwerk aufgenommen hat, Diese Methode wird nicht empfohlen. Sie haben wahrscheinlich eine statische Adresse festgelegt. Aber für den normalen Gebrauch funktioniert es genauso gut wie ARP.
Um den DHCP-Verkehr zu erfassen, möchte ich eine neue Sitzung ohne Erfassungsfilter starten und den Wireshark-Anzeigefilter auf einstellen udp.port == 67 wie oben gezeigt. Warten Sie dann, bis der unbekannte Host online ist und fordern Sie eine IP-Adresse von Ihrem DHCP-Server an.
Sie können auch jeden Host in Ihrem Netzwerk dazu zwingen, eine neue IP-Adresse anzufordern, indem Sie die Lease-Zeit auf ein oder zwei Stunden festlegen und den Datenverkehr erfassen. In diesem Fall möchten Sie die Hostnamen durchsuchen, bis Sie den Zielclient finden.
Beachten Sie, dass der von mir erfasste Frame eine Quell-IP-Adresse von 0.0.0.0 hat. Dies ist normal, bis dem Host vom DHCP-Server eine gültige IP-Adresse zugewiesen wurde.
Klicken Sie auf den aufgenommenen Rahmen und sehen Sie sich den an Paketdetailansicht. Blättern Sie, bis Sie den Eintrag für gefunden haben Bootstrap-Protokoll und klicken Sie auf den Pfeil, um ihn zu erweitern.
Blättern Sie durch die Liste der Optionen, bis Sie die finden Angeforderte IP-Adresse, Hier wird angezeigt, was der DHCP-Server zuzuweisen versucht hat. In fast allen Fällen korreliert dies mit der IP-Adresse des Host-Computers, obwohl dies als Anforderung formuliert ist.
Dort finden Sie auch eine Handvoll anderer nützlicher Optionen wie die IP-Adress-Lease-Zeit und Hostname des unbekannten Clients, der eine Adresse anfordert.
Abrufen der IP-Adresse eines unbekannten Hosts mit Wireshark
Diese beiden Methoden sind sichere Methoden, um die IP-Adresse eines unbekannten Hosts zu ermitteln. Abhängig von Ihrem Netzwerk gibt es möglicherweise andere. Das Senden eines Broadcast-Pings funktioniert beispielsweise in einigen Situationen, wenn Sie eine Kollisionsdomäne mit dem Host gemeinsam nutzen. Vor allem für Heimnetzwerke, bei denen alle Geräte mehr oder weniger direkt mit einem Switch verbunden sind, ist die Analyse von ARP- und DHCP-Anforderungen die beste Wahl, um eine IP-Adresse zu ermitteln.
Wireshark es una herramienta poderosa que permite analizar el tráfico de datos entre hosts en una red. También se puede utilizar para detectar y monitorear hosts desconocidos, determinar sus direcciones IP e incluso aprender un poco sobre el dispositivo en sí. Con Wireshark, se puede determinar la dirección IP de un host desconocido en mi LAN mediante solicitudes ARP o DHCP. Wireshark es un analizador y monitor de redes que funciona por debajo del nivel de paquete, capturando tramas individuales y presentándolas al usuario para su revisión. Una dirección IP es una identificación única utilizada para enrutar el tráfico de datos en la capa de red del modelo OSI. Una vez que se conoce la dirección IP de un host, se puede acceder a él e interactuar con él. Wireshark es una herramienta básica, pero se puede llevar al siguiente nivel con plugins como SolarWinds Response Time Viewer para Wireshark, que permite monitorear el tiempo de respuesta en la red, y SolarWinds Network Performance Monitor, que ofrece monitoreo completo de la red empresarial. Para determinar la dirección IP de un host desconocido, se pueden utilizar solicitudes ARP o DHCP. Las solicitudes ARP son una opción más segura y confiable que las solicitudes DHCP.