Wireshark IP-Adressen anderer Geräte auf dem Subnetz herausfinden?
Moin moin! Wir arbeiten von der Uni gerade mit Wireshark und sollen dazu einige Aufgaben erledigen. Ich bin bei dem Thema ein absoluter Anfänger und lerne gerade erst die Grundzüge.
Das meiste konnte ich bisher ganz gut bewältigen, nun wurde gefragt, ob man die IP-Adressen anderer Computer im selben Subnetz über Wireshark herausfinden kann und falls ja, wie das gehen soll.
Ich habe jetzt schon versucht im Internet was dazu zu finden, habe aber bisher nicht das gefunden was ich suche. Vielleicht kann mir ja einer von euch dabei helfen.
Vielen Dank im Vorraus!
2 Antworten
Das meiste konnte ich bisher ganz gut bewältigen, nun wurde gefragt, ob man die IP-Adressen anderer Computer im selben Subnetz über Wireshark herausfinden kann und falls ja, wie das gehen soll.
Du musst doch nur der Reihe nach alle Adressen im Subnetz anpingen. Dazu braucht es noch nicht einmal den Wireshark.
Alternativ kannst Du auch einfach längere Zeit im Netz nur lauschen. Viele Betriebssysteme schicken früher oder später irgendwelche Broadcasts und Multicasts. Diese siehst Du im Wireshark.
Das kannst Du auch mit Wireshark mitschneiden. Alternativ lässt Du Wireshark mal fünf Minuten laufen und schaust, wer sich alles meldet.
Möglich ist auch, ARP Requests abzusenden und zu schauen, wer alles antwortet. Das sieht man mit Wireshark oder in der Eingabeaufforderung mit arp -a
Jop, geht. Wie darfst du selbst rausfinden. Als Tipp: Google dein Problem bzw. vorhaben mal auf English ;)
Dass es möglich ist habe ich mir fast schon gedacht. Finde auch auf Englisch kein genaues Ergebnis wie ich das im Subnet mache. Mal eine wilde Theorie von mir: könnte man einfach Wireshark bei einem Neustart des Routers laufen lassen, dann als Filter "ip.addr == (Subnetz IP)" eingeben und gucken welche IP´s so über DHCP verbunden werden? Oder gäbe es da eine bessere Lösung?
Mal eine wilde Theorie von mir: könnte man einfach Wireshark bei einem Neustart des Routers laufen lassen,
Du denkst offensichtlich in Heimnetzdimensionen, wo der Router gleichzeitig Switch und alles mögliche anderes ist. In einem Unternehmensnetz nützt ein Neustart eines Routers ziemlich wenig. Abgesehen davon ist der Neustart einer Netzwerkkomponente ziemlich unschön im laufenden Produktivbetrieb. Du müsstest also eher den Switch starten.
dann als Filter "ip.addr == (Subnetz IP)" eingeben
(Subnetz IP) inklusive Maskenlänge: 192.168.1.0/24 als Beispiel.
und gucken welche IP´s so über DHCP verbunden werden?
Über DHCP wird niemand und nichts verbunden. DHCP ist ein Protokoll für die automatische IP-Konfiguration. Du siehst also DHCP-Pakete und kannst dann erkennen, welche Geräte eine IP-Adresse anfordern und welche Adresse sie bekommen. Das funktioniert nur, wenn die DHCP Offer-Pakete nicht per Unicast gesendet werden. Statisch konfigurierte Geräte erfasst Du so naturgemäß nicht.
Oder gäbe es da eine bessere Lösung?
Auf jeden Fall. Die Methode ist nicht unterbrechungsfrei, funktioniert nur unter bestimmten Voraussetzungen und erfasst nicht zwingend alle Geräte.
Das macht alles Sinn. Könntest du mir denn vielleicht einen Tipp geben, wie man das besser lösen könnte? Eigentlich sollte uns der ganze Kram im Labor gezeigt werden, dieses ist allerdings ausgefallen und jetzt sollen wir uns selber darum kümmern. Es würde mich also sehr freuen, wenn du mir dabei behilflich sein könntest. :)
FOR /L %i in (5,1,63) do ping -n 1 -w 1 192.168.10.%i | find "Antwort"
Das gibst Du in die Eingabeaufforderung von Windows ein. Damit baust Du eine Schleife, die Pings an alle angegebenen Adressen absetzt. Fangen wir mit dem Ping-Befehl an:
ping -n 1 -w 1 192.168.1.%i
-n 1: Anzahl, 1 Ping. Default wäre 4.
-w 3: wait, also Wartezeit. Hier eine Sekunde. Default wäre 2 Sekunden.
192.168.1.%i ist die Zieladresse, wobei %i eine Variable ist. Diese wird von der Schleife gefüllt:
FOR /L %i in (5,1,63) do
5 ist die erste Adresse, 63 die letzte, die 1 dazwischen ist der Inkrement. Es wird also von 5 bis 63 in 1er-Schritten hochgezählt. Mit (1,1,254) würdest Du ein /24er-Subnetz durchtesten.
| find "Antwort"
filtert die Ausgabe auf das Wesentliche.
Wow, vielen Dank für die Erklärung! Das ist leider allerdings nicht das was gefragt ist. Es wird von dem Modul zu diesem Zeitpunkt mit Sicherheit noch nicht erwartet, dass wir das können. Außerdem sollen wir die IP-Adressen nicht per CMD, sondern durch Wireshark auslesen. Trotzdem Danke für die ausführliche Erklärung von deiner Methode!
Wie du aber vielleicht in der Frage gelesen hast geht es hier um eine Aufgabe von der Uni. Es ist also eine Vorraussetzung, dass Wireshark benutzt wird.