Estaba tratando de capturar algunos paquetes usando Wireshark. Pude encontrar un montón de ip en la pestaña de la dirección de origen. ¿Qué ip representan? ¿Qué paquetes son visibles para Wirehark cuando lo ejecuto en mi sistema?
La pestaña de dirección de origen representa la dirección del paquete reclamaciones de la que proviene. Tenga en cuenta que esto se puede falsificar fácilmente, por lo que, de hecho, puede que no sea el remitente real del paquete.
En su caso, puede que no sea trivial saber quiénes son todas las direcciones IP. Sin embargo, si no son RFC1918 (direcciones IP privadas), puede ejecutarlas a través de un servicio geoip para obtener más información sobre las direcciones que vienen. para ti.
Si en realidad son direcciones RFC1918, analizaría más detenidamente su red para averiguar quiénes son las máquinas. En algunos casos, una búsqueda DNS inversa puede ayudarlo a identificar las máquinas.
Geoip usando netcat:
formato ip.txt:
begin
verbose
<ip address>
<ip address>
end
Construye tu archivo y haz el siguiente comando:
netcat whois.cymru.com 43 < ip.txt > result.txt
Salida de muestra:
Bulk mode; whois.cymru.com [2012-07-20 08:28:50 +0000]
8542 | xx.xx.xxx.xxx | xx.xx.xx.xx/18 | NO | ripencc | 2002-04-02 |
Internet service provider
Puede leer más sobre el servicio aquí: enlace
Búsqueda inversa de DNS con nslookup:
nslookup -type=PTR <IP in question> <IP to DNS server>
Wireshark captura todo el tráfico desde y hacia su computadora en la interfaz en la que está escuchando (si se ha configurado correctamente). Entonces, si por ejemplo solicita un sitio web, su computadora enviará una solicitud al servidor, que luego responde con el contenido de la página solicitada. Estas respuestas normalmente tendrán la IP del servidor web como la IP de origen.
Lea otras preguntas en las etiquetas ip-spoofing wireshark