Как я могу найти IP-адрес компьютера, который создал перехват в Wireshark?

Question

В основном я использую Wireshark , просматривая снимки, которые были созданы ранее.Как я могу найти IP-адрес компьютера, который создал захват?

Answer 1

Не существует гарантированного способа, поскольку для захвата пакетов пользователь будет находиться в «беспорядочном» режиме.Это состояние, когда все пакеты, обнаруженные интерфейсом, перехвачены.Следовательно, нет никакого способа определить, какие пакеты были предназначены для человека, который захватывает пакеты, если вы не знали, где они живут в топологии сети, поскольку тогда вы могли бы сделать некоторые предположения, которые могут помочь (например, беспроводные клиенты не будут получать пакеты, предназначенныедля Интернета, отправленного проводными клиентами, если он подключен к одному и тому же маршрутизатору).

Кроме того, если вы знали, что некоторые службы выполняются на компьютере перехвата, вы можете разумно определить IP-адрес пользователя, учитывая, что многиебыли получены пакеты, предназначенные для этой службы по этому адресу.

Answer 2

Возможный метод

очень хорошим способом было бы проверить значения TTL IP-пакетов .

пакетов, отправленных машиной, на которой производился захват, должны:

• имеют поле источника заголовка IP отправленного пакета, установленное на их IP-адрес.
• имеют поле TTL заголовка IP отправленного пакета, установленное на значение TTL ОС по умолчанию , (вам нужно угадать, какая ОС, если вы не знаете.)

соответствующая информация о TTL на этой странице википедии :

Поле TTL устанавливается отправителем дейтаграммы и уменьшается каждым маршрутизатором на маршруте к месту назначения.Если поле TTL достигает нуля до того, как дейтаграмма прибывает в место назначения, то дейтаграмма отбрасывается

Пример

Например, приведенный ниже захват был сделан на Windows 10 автомат с адресом 192.168.1.72 .Вы можете сказать, потому что все TTL являются 128 .

В отличие от этого, когда фильтр установлен на ip.dst == 192.168.1.72, выполучить всевозможные TTL, что подтверждает, что отправитель 192.168.1.72 .

Answer 3

Там нет гарантированного пути ...

Но есть некоторые показатели, если пакет отправляется компьютером, который использовался для захвата. Для этого необходимо, чтобы фильтр захвата не исключал эти пакеты.

Справочная информация: пакеты захватываются до того, как они покинут сетевой адаптер.

Если вы видите пакеты, которые имеют одно из этих свойств, у вас есть основание для обоснованного предположения:

• Пакет короче 64 байт, поэтому вызовите RUNT пакетов . Небольшие пакеты автоматически расширяются сетевым контроллером. Таким образом, вы редко получаете очень маленькие пакеты.
• Все контрольные суммы заголовков IP равны нулю. Они адаптированы во время передачи.

Вы можете настроить Wireshark на отображение этой контрольной суммы как неверной в настройках. Ищите другие настройки, которые отключают такую ​​(ложную) индикацию ошибки, чтобы расширить этот список.

Answer 4

Если хост захвата отправляет и получает трафик через тот же интерфейс, что и анализатор, вы ожидаете увидеть очень низкие значения RTT подтверждения TCP с IP-адреса хоста.Это связано с тем, что таймер RTT измеряет время между просмотром пакета и соответствующим подтверждением, а стек TCP хоста должен отправлять ACK почти мгновенно (если только он не находится под серьезной нагрузкой).

Если RTT меньше ~50 микросекунд, то это почти наверняка исходит от хоста захвата.

В Wireshark я бы добавил фильтр TCP-подтверждения приема-передачи (tcp.analysis.ack_rtt) в качестве пользовательского столбца, затем сортируйте этот столбец, чтобы найти минимальное значение.

На моем компьютере время tcp.analysis.ack_rtt меньше 15 мкс.Я считаю, что даже сети с малой задержкой, такие как InfiniBand, не дадут время от хост-хоста до такого низкого уровня.