Utiliser Wireshark pour obtenir l'adresse IP d'un hôte inconnu
Wireshark est un outil puissant qui peut analyser le trafic entre les hôtes de votre réseau. Mais il peut également être utilisé pour vous aider à découvrir et à surveiller des hôtes inconnus, à extraire leurs adresses IP et même à en apprendre un peu plus sur l'appareil lui-même. Voici comment j'utilise Wireshark pour trouver l'adresse IP d'un hôte inconnu sur mon réseau local.
Que sont Wireshark et les adresses IP ?
Wireshark est un moniteur et analyseur de réseau. Il fonctionne en dessous du niveau du paquet, capturant des trames individuelles et les présentant à l'utilisateur pour inspection. Grâce à Wireshark, vous pouvez surveiller le trafic réseau en temps réel et regarder à l'intérieur pour voir quelles données circulent sur le fil.
Une adresse IP est un identifiant unique utilisé pour acheminer le trafic sur la couche réseau du modèle OSI. Si vous considérez votre réseau local comme un quartier, une adresse réseau est analogue à un numéro de maison. Lorsque vous connaissez l’adresse IP d’un hôte, il est possible d’y accéder et d’interagir avec lui.
Trouver une adresse IP avec Wireshark à l'aide de requêtes ARP
Les requêtes ARP (Address Resolution Protocol) peuvent être utilisées par Wireshark pour obtenir l'adresse IP d'un hôte inconnu sur votre réseau. ARP est une requête de diffusion destinée à aider la machine cliente à cartographier l'ensemble du réseau hôte.
ARP est légèrement plus infaillible que l’utilisation d’une requête DHCP – que j’aborderai ci-dessous – car même les hôtes avec une adresse IP statique généreront du trafic ARP au démarrage.
Pour extraire l'adresse IP d'un hôte inconnu via ARP, démarrez Wireshark et démarrez une session avec le filtre de capture Wireshark défini sur arpège , Comme montré ci-dessus.
Attendez ensuite que l’hôte inconnu se connecte. J'utilise mon téléphone portable et j'active et désactive la connexion WiFi. Quoi qu'il en soit, lorsqu'un hôte inconnu se connecte, il génère un ou plusieurs Requêtes ARP . Ce sont les cadres que vous devriez rechercher.
Une fois que vous avez repéré la demande, cliquez dessus. Utilisez Wireshark Vue des détails du paquet pour analyser le cadre. Regarde le Protocole de résolution d'adresse section du cadre, en particulier la Adresse IP de l'expéditeur et Adresse MAC de l'expéditeur .
Dans ce cas, vous pouvez voir que mon téléphone a reçu une adresse IP de 192.168.1.182 du routeur, et vous pouvez identifier l'appareil comme un téléphone Apple en consultant l'OUI du fournisseur.
Extracteur d'adresse IP Wireshark utilisant des requêtes DHCP
Un autre moyen simple de déterminer l'adresse IP d'un hôte inconnu sur votre réseau consiste à utiliser le trafic DHCP. Cette méthode ne fonctionne que si l'hôte demande une adresse IP.
Si vous faites face à une situation dans laquelle quelqu'un a installé un périphérique réseau physique malveillant sur votre réseau d'entreprise ; cette méthode n’est pas recommandée – ils ont probablement défini une adresse statique. Mais pour une utilisation normale, cela fonctionne aussi bien qu’ARP.
Pour capturer le trafic DHCP, j'aime démarrer une nouvelle session sans filtre de capture et définir le filtre d'affichage Wireshark sur udp.port==67 Comme montré ci-dessus. Attendez ensuite que l'hôte inconnu se connecte et demandez une adresse IP à votre serveur DHCP.
Vous pouvez également forcer chaque hôte de votre réseau à demander une nouvelle adresse IP en définissant la durée du bail sur une heure ou deux et en capturant le trafic réseau. Dans ce cas, vous souhaiterez parcourir les noms d’hôtes jusqu’à ce que vous trouviez le client cible.
Notez que la trame que j'ai capturée a une adresse IP source de 0.0.0.0. Ceci est normal jusqu'à ce que l'hôte reçoive une adresse IP valide par le serveur DHCP.
Cliquez sur l'image capturée et regardez le Vue des détails du paquet . Parcourez jusqu'à ce que vous ayez trouvé l'entrée pour Protocole d'amorçage et cliquez sur la flèche pour le développer.
Faites défiler la liste des options jusqu'à ce que vous trouviez le Adresse IP demandée , qui montre ce que le serveur DHCP a tenté d'attribuer. Dans presque tous les cas, cela correspond à l’adresse IP de la machine hôte, même si elle est formulée sous forme de requête.
Vous pouvez également trouver une poignée d'autres options utiles comme le Durée de location de l'adresse IP et Nom d'hôte du client inconnu demandant une adresse.
Obtenir l'adresse IP d'un hôte inconnu avec Wireshark
Ces deux méthodes sont des moyens infaillibles pour trouver l’adresse IP d’un hôte inconnu. Selon votre réseau, il peut y en avoir d'autres. Par exemple, l'envoi d'un ping de diffusion fonctionnera dans certaines situations lorsque vous partagez un domaine de collision avec l'hôte. Mais surtout pour les réseaux domestiques, où tous les appareils sont plus ou moins directement connectés à un commutateur, l'analyse des requêtes ARP et DHCP est le meilleur choix pour découvrir une adresse IP.
FAQ sur l’extracteur IP Wireshark
Est-il illégal d’exécuter Wireshark sur un réseau public ?
Il n’est pas illégal d’exécuter Wireshark sur un réseau public. Cependant, faites attention aux conditions générales du réseau sur lequel vous souhaitez utiliser Wireshark. Ils peuvent interdire l’utilisation de Wireshark, auquel cas vous pourriez être banni du réseau ou même poursuivi en justice pour son utilisation.
Comment afficher l'adresse MAC d'un paquet reçu dans Wireshark ?
Pour afficher toutes les adresses MAC dans un flux de paquets capturé :
Ouvrir un fichier de capture de paquets dans Wireshark
Aller à Statistiques et puis Conversations .
Clique sur le Ethernet languette.
Vous verrez toutes les adresses MAC des paquets capturés.
Pouvez-vous extraire des OP avec Wireshark via Wi-Fi ?
Oui. Wireshark peut capturer des paquets hors d'un réseau WiFi tant que l'ordinateur sur lequel il est installé dispose d'un émetteur-récepteur WiFi et est en mode promiscuité. Wireshark utilise la norme Airpcap pour la capture de paquets sans fil.
Quels appareils Wireshark peut-il utiliser pour capturer des paquets ?
Wireshark capture les paquets via l'interface réseau de l'ordinateur sur lequel il est installé. Il peut fonctionner sous Windows, Linux, macOS, FreeBSD, OpenBSD, Solaris et Unix.