Stavo cercando di acquisire alcuni pacchetti usando Wireshark. Potrei trovare un sacco di IP nella scheda dell'indirizzo sorgente. Quali ip rappresentano. Quali pacchetti sono visibili a wireshark quando lo eseguo nel mio sistema?
La scheda indirizzo sorgente rappresenta l'indirizzo da cui proviene il pacchetto attestazioni . Sappi che questo può essere facilmente falsificato, quindi potrebbe non essere il mittente effettivo del pacchetto.
Nel tuo caso potrebbe non essere banale sapere chi sono tutti gli indirizzi IP. Tuttavia, se non sono RFC1918 (indirizzi IP privati) puoi eseguirli attraverso un servizio geoip per saperne di più sugli indirizzi in arrivo a te.
Se si tratta di indirizzi RFC1918, darei un'occhiata più da vicino alla rete per scoprire chi sono le macchine. In alcuni casi una ricerca DNS inversa può aiutarti a identificare le macchine.
Geoip utilizzando netcat:
formato ip.txt:
begin
verbose
<ip address>
<ip address>
end
Crea il tuo file e fai il seguente comando:
netcat whois.cymru.com 43 < ip.txt > result.txt
Output di esempio:
Bulk mode; whois.cymru.com [2012-07-20 08:28:50 +0000]
8542 | xx.xx.xxx.xxx | xx.xx.xx.xx/18 | NO | ripencc | 2002-04-02 |
Internet service provider
Puoi leggere ulteriori informazioni sul servizio qui: link
Ricerca DNS inversa con nslookup:
nslookup -type=PTR <IP in question> <IP to DNS server>
Wireshark cattura tutto il traffico da e verso il tuo computer sull'interfaccia in ascolto (se è stato impostato correttamente). Pertanto, se per esempio si richiede un sito Web, il computer invierà una richiesta al server, che quindi risponderà con il contenuto della pagina richiesta. Queste risposte avranno solitamente l'IP del server web come IP di origine.
Leggi altre domande sui tag wireshark ip-spoofing