как узнать ip в дискорде через wireshark

Использование Wireshark для получения IP-адреса неизвестного хоста

как узнать ip в дискорде через wireshark. using wireshark to get the ip address of an unknown host. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-using wireshark to get the ip address of an unknown host. картинка как узнать ip в дискорде через wireshark. картинка using wireshark to get the ip address of an unknown host.

Что такое Wireshark и IP-адреса?

Вывод Wireshark на следующий уровень

Wireshark очень хорош в том, что он делает, но из коробки он предлагает только базовую функциональность. Как только вы обнаружите IP-адрес неизвестного хоста, вы можете захотеть увидеть его производительность в сети.

Средство просмотра времени отклика SolarWinds для Wireshark (БЕСПЛАТНЫЙ ИНСТРУМЕНТ)

Средство просмотра времени отклика SolarWinds для Wireshark бесплатный плагин для Wireshark, который позволяет вам отслеживать время задержки в вашей сети. Если ваши машины работают медленно, и вам нужно выяснить, почему, это отличный инструмент для работы.

как узнать ip в дискорде через wireshark. using wireshark to get the ip address of an unknown host 2. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-using wireshark to get the ip address of an unknown host 2. картинка как узнать ip в дискорде через wireshark. картинка using wireshark to get the ip address of an unknown host 2.

Средство просмотра времени отклика SolarWinds для WiresharkDownload 100% БЕСПЛАТНЫЙ инструмент

Монитор производительности сети SolarWinds (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

Они также предлагают полнофункциональный Монитор производительности сети (NPM) для корпоративных сетей. Монитор производительности сети SolarWinds может рассчитывать время отклика приложения, пинговать ваши устройства с помощью интеллектуальных оповещений, создавать базовые показатели производительности и даже отслеживать весь стек Cisco. Читатели Comparitech могут попробовать его без риска в течение 30 дней.

как узнать ip в дискорде через wireshark. using wireshark to get the ip address of an unknown host 3. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-using wireshark to get the ip address of an unknown host 3. картинка как узнать ip в дискорде через wireshark. картинка using wireshark to get the ip address of an unknown host 3.

Монитор производительности сети SolarWindsСкачать 30-дневную бесплатную пробную версию

Поиск IP-адреса с помощью Wireshark с использованием ARP-запросов

ARP немного более надежен, чем использование DHCP-запроса, о котором я расскажу ниже, потому что даже хосты со статическим IP-адресом будут генерировать трафик ARP при запуске.

как узнать ip в дискорде через wireshark. using wireshark to get the ip address of an unknown host 4. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-using wireshark to get the ip address of an unknown host 4. картинка как узнать ip в дискорде через wireshark. картинка using wireshark to get the ip address of an unknown host 4.

Чтобы получить IP-адрес неизвестного хоста через ARP, запустите Wireshark и начните сеанс с фильтром захвата Wireshark, установленным в агр, как показано выше.

как узнать ip в дискорде через wireshark. using wireshark to get the ip address of an unknown host 5. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-using wireshark to get the ip address of an unknown host 5. картинка как узнать ip в дискорде через wireshark. картинка using wireshark to get the ip address of an unknown host 5.

Затем дождитесь появления неизвестного хоста. Я использую свой мобильный телефон и включаю и выключаю соединение WiFi. Независимо от того, когда неизвестный хост подключается к сети, он генерирует один или несколько ARP запросы. Это те рамки, которые вы должны искать.

как узнать ip в дискорде через wireshark. using wireshark to get the ip address of an unknown host 6. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-using wireshark to get the ip address of an unknown host 6. картинка как узнать ip в дискорде через wireshark. картинка using wireshark to get the ip address of an unknown host 6.

Как только вы заметили запрос, нажмите на него. Используйте Wireshark’s Просмотр сведений о пакете проанализировать кадр. Посмотрите на Протокол разрешения адресов раздел рамы, особенно IP-адрес отправителя и MAC-адрес отправителя.

В этом случае вы можете видеть, что мой телефон получил IP-адрес 192.168.1.182 от маршрутизатора, и вы можете идентифицировать устройство как телефон Apple, посмотрев на OUI поставщика..

Поиск IP-адреса с помощью Wireshark с использованием запросов DHCP

как узнать ip в дискорде через wireshark. using wireshark to get the ip address of an unknown host 7. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-using wireshark to get the ip address of an unknown host 7. картинка как узнать ip в дискорде через wireshark. картинка using wireshark to get the ip address of an unknown host 7.
Чтобы захватить трафик DHCP, я хотел бы начать новый сеанс без фильтра захвата и установить фильтр отображения Wireshark на udp.port == 67 как показано выше. Затем дождитесь появления неизвестного хоста и запросите IP-адрес с вашего DHCP-сервера..

Вы также можете заставить каждый хост в вашей сети запрашивать новый IP-адрес, установив время аренды на час или два и захватив трафик. В этом случае вы хотите просматривать имена хостов, пока не найдете целевой клиент.

как узнать ip в дискорде через wireshark. using wireshark to get the ip address of an unknown host 8. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-using wireshark to get the ip address of an unknown host 8. картинка как узнать ip в дискорде через wireshark. картинка using wireshark to get the ip address of an unknown host 8.

Обратите внимание, что у захваченного кадра IP-адрес источника равен 0.0.0.0. Это нормально, пока хост не назначит действительный IP-адрес сервером DHCP..

Нажмите на захваченный кадр и посмотрите на Просмотр сведений о пакете. Просматривайте, пока не найдете запись для Протокол начальной загрузки и нажмите на стрелку, чтобы развернуть ее.

как узнать ip в дискорде через wireshark. using wireshark to get the ip address of an unknown host 9. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-using wireshark to get the ip address of an unknown host 9. картинка как узнать ip в дискорде через wireshark. картинка using wireshark to get the ip address of an unknown host 9.

Прокрутите список параметров, пока не найдете Запрашиваемый IP-адрес, который показывает, что DHCP-сервер попытался назначить. Практически в каждом случае это соотносится с IP-адресом хост-машины, несмотря на то, что он сформулирован как запрос.

Вы также можете найти несколько других полезных опций, таких как Время аренды IP-адреса и Имя хоста неизвестного клиента, запрашивающего адрес.

Получение IP-адреса неизвестного хоста с помощью Wireshark

Источник

Wireshark фильтр по IP, по порту, по протоколу, по MAC

как узнать ip в дискорде через wireshark. wireshark filtr po ip portu protokolu mac. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-wireshark filtr po ip portu protokolu mac. картинка как узнать ip в дискорде через wireshark. картинка wireshark filtr po ip portu protokolu mac.

Любой анализатор протоколов должен иметь возможность не только захватить трафик, но и помочь эффективно его проанализировать. Основное отличие коммерческого анализатора протоколов от бесплатного – наличие встроенной экспертной системы, которая позволит быстро разобрать буфер по сервисам или типам ошибок. Что позволит существенно ускорить время локализации проблемы и работать с уже отсортированной и предварительно оцененной для вас информацией. Тут можно обратить внимание на решения от VIAVI Solutions под названием Observer или на ClearSight Analyzer от компании Netscout.

В случае если не выделяют бюджет, а проблемы есть, то остается запастись терпением и кофе и установить себе Wireshark. В сетях передачи данный на скоростях 1 Гбит/сек и выше буфер захвата трафика заполняется мгновенно и на выходе получается достаточно большой массив данных. Этот массив данных, понимая взаимодействие между различными устройствами в сети можно отфильтровать по разным параметрам. Для этого Wireshark имеет несколько возможностей:

Цветовая кодировка ошибочных пакетов — можно настроить под себя. Пакеты, которые несут в себе ошибку, будут выделены в буфере специальным цветом.

Фильтр через строку фильтрации. Вы имеете большой опыт в работе с Wireshark и протоколами и можете ввести фильтр самостоятельно. Большой выбор фильтров можно найти здесь.

Выделение любой области в пакете, правый клик мыши и «Применить как фильтр». Метод для начинающих: очень удобно, так как не надо ломать голову.

как узнать ip в дискорде через wireshark. wireshark filtr po ip portu protokolu mac01. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-wireshark filtr po ip portu protokolu mac01. картинка как узнать ip в дискорде через wireshark. картинка wireshark filtr po ip portu protokolu mac01.

Какие основные фильтры существуют для отображения трафика?

Wireshark фильтр по протоколу

Достаточно в строке фильтра ввести название протокола и нажать ввод. На экране останутся пакеты, которые относятся к искомому протоколу. Таким образом, фильтр выглядит:

как узнать ip в дискорде через wireshark. wireshark filtr po ip portu protokolu mac02. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-wireshark filtr po ip portu protokolu mac02. картинка как узнать ip в дискорде через wireshark. картинка wireshark filtr po ip portu protokolu mac02.

Если буфер захвата необходимо отфильтровать по нескольким протоколам, то необходимо перечислить все желаемые протоколы и разделить их знаком ||. Например:

как узнать ip в дискорде через wireshark. wireshark filtr po ip portu protokolu mac03. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-wireshark filtr po ip portu protokolu mac03. картинка как узнать ip в дискорде через wireshark. картинка wireshark filtr po ip portu protokolu mac03.

Wireshark фильтр по IP адресу и фильтр по MAC

В зависимости от направления трафика фильтр будет немного отличаться. Например, мы хотим отфильтровать по IP адресу отправителя 50.116.24.50:

как узнать ip в дискорде через wireshark. wireshark filtr po ip portu protokolu mac04. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-wireshark filtr po ip portu protokolu mac04. картинка как узнать ip в дискорде через wireshark. картинка wireshark filtr po ip portu protokolu mac04.

По получателю фильтр будет выглядеть ip.dst == x.x.x.x, а если хотим увидеть пакеты в независимости от направления трафика, то достаточно ввести:

как узнать ip в дискорде через wireshark. wireshark filtr po ip portu protokolu mac04. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-wireshark filtr po ip portu protokolu mac04. картинка как узнать ip в дискорде через wireshark. картинка wireshark filtr po ip portu protokolu mac04.

Если мы анализируем трафик внутри локальной сети и знаем MAC адрес пользователя, то можно указать в качестве фильтра Wireshark его MAC адрес, например:

Wireshark фильтр по номеру порта

При анализе трафика мы можем настроить фильтр по номеру порта, по которому осуществляет передачу трафика тот или иной протокол. Номера всех зарегистрированных портов можно узнать здесь. Пример:

Так же как и с адресами IP и MAС мы можем отдельно фильтровать по портам получения или отправления tcp.srcport и tcp.dstport. Кроме указания номеров портов Wireshark дает отличную возможность отфильтровать буфер по флагам в TCP протоколе. Например, если мы хотим увидеть TCP пакеты с флагом SYN (установление соединения между устройствами), то вводим в строке поиска:

как узнать ip в дискорде через wireshark. wireshark filtr po ip portu protokolu mac05. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-wireshark filtr po ip portu protokolu mac05. картинка как узнать ip в дискорде через wireshark. картинка wireshark filtr po ip portu protokolu mac05.

Популярные фильтры

В таблице ниже приведены наиболее популярные фильтры для отображения содержимого буфера захвата:

Источник

Основы Wireshark. Расшифровка и захват трафика

Привет, начинающий хакер.

В одном из прошлых материалов мы с тобой разбирались как данные передаются в сетях и как разные сетевые элементы взаимодействуют между собой, если ты пропустил эту статью она здесь:

Всё это нам было нужно, чтобы подготовится к практической части изучения такой непростой темы как перехват и анализ трафика. И начнём мы изучать практическую часть с изучения утилиты Wireshark. Возникает логичный вопрос: почему именно Wireshark? Всё просто, он обладает несколькими особенностями которые выделяют его среди конкурентов:

Теперь давай запустим Wireshark и начнём с ним работать. Кстати в таких системах как Kali Linux и Parrot Security он уже предустановлен, а для винды и яблока его можно скачать на официальном сайте https://www.wireshark.org/. Ну, а я буду использовать его на Parrot Security. Кстати есть мнение, в том числе разработчиков Wireshark, что использовать его на Windows – тот ещё тот мазохизм, особенно для перехвата wi-fi трафика, во первых нужно устанавливать дополнительные драйвера – WinPcap, но самая главная проблема в том, что режим мониторинга сетевого адаптера в Windows работает максимально криво.

Небольшое отступление: в этом гайде, в процессе использования Wireshark нас в первую очередь будет интересовать трафик передаваемый через беспроводные сети, причём желательно чужой трафик, мы ведь тут собрались не для того чтоб неисправности в сети искать, правда? И ты правильно догадался (если догадался) что я плавно подвожу к режиму мониторинга wi-fi адаптера, если ты забыл то он нужен чтобы видеть весь трафик, а не только предназначенный нашей сетевой карте. Включаем:

Ну а теперь точно можно запускать Wireshark, это можно сделать из вкладки “Приложения”, а можно из терминала:

как узнать ip в дискорде через wireshark. wsh1. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-wsh1. картинка как узнать ip в дискорде через wireshark. картинка wsh1.

сразу после запуска, нам предложат выбрать сетевой интерфейс для запуска захвата. Можем так и сделать, или, если мы хотим поработать с ранее захваченным трафиком, сохраненным в файл, можем нажать File->Open и выбрать нужный файл.

Выбираем интересующий нас сетевой интерфейс (wlan0mon) и дважды давим на него.

как узнать ip в дискорде через wireshark. wsh2. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-wsh2. картинка как узнать ip в дискорде через wireshark. картинка wsh2.

Перед нами появится основное окно программы с которым мы будем проводить больше всего времени и сразу начнут перехватываться данные, пока что нажмём “Стоп” (красный квадратик в левом верхнем углу) и порассматриваем интерфейс программы.

Пройдёмся по интерфейсу сверху вниз:

Настройка Wireshark

Общие параметры самого приложения WIreshark находятся во вкладке Edit->Preferences. Их можно настроить в зависимости от своих потребностей или предпочтений, но я бы, на стадии знакомства с программой, не рекомендовал туда лезть. С опытом использования программы и работы с трафиком понимание что тебе нужно подкрутить для удобства придет само, а потому просто кратко перечислим какие здесь есть разделы:

как узнать ip в дискорде через wireshark. image 11. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image 11. картинка как узнать ip в дискорде через wireshark. картинка image 11.

Если ты планируешь в большей мере работать с трафиком беспроводных сетей, то есть смысл немного кастомизировать рабочие области Wireshark для большего удобства, а именно добавить несколько дополнительных столбцов, информация из которых поможет значительно сэкономить время.

Перейдем в Edit->Preferences и во вкладке Appearance выберем раздел Columns, здесь жмем на плюсик и добавляем такие колонки, с такими параметрами:

как узнать ip в дискорде через wireshark. image 17. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image 17. картинка как узнать ip в дискорде через wireshark. картинка image 17.

Расшифровка беспроводного трафика

Когда мы запустили захват трафика на интерфейсе wlan0mon ты наверняка обратил внимание, что в Packet List отображается всё что угодно кроме того что нужно, а именно из полезной информации там можно найти только название сети (SSID) и MAC адреса (на самом деле кое-что ещё есть), а какой-нибудь интересной информации нет, от слова “совсем”. На самом деле она есть, просто она зашифрована. Почему так? Ответ банален – потому что трафик шифруется. Соответственно надо его расшифровать, а для этого надо понимать некоторые процессы которые происходят в wi-fi сетях.

При передаче данных по wi-fi трафик шифруется с использованием ключа PTK (Pairwise Transient Key). При этом этот ключ динамичный, то есть создаётся заново для каждого нового соединения, а соответственно трафик для каждого соединения в одной и той же сети зашифрован разными PTK. Когда какой-нибудь клиент переподключается, то и PTK тоже меняется. Что бы этот самый PTK узнать необходимо перехватить четырёх этапное рукопожатие, ну и знать пароль, имя (SSID) wi-fi сети и канал на котором она работает. Как узнать пароль wi-fi сети я статью уже писал, поэтому примем за аксиому что он у тебя есть, а SSID и канал мы и так видим в Wireshark, вопрос остаётся только в PTK. Соответственно нужно перехватить рукопожатие и не какое-нибудь, а именно то которое произошло между интересующим нас клиентом и точкой доступа непосредственно перед обменом интересующей нас информацией. Так как наш адаптер уже в режиме мониторинга, а необходимые нам данные мы видим в Packet Details при нажатии на пакет из интересующей нас сети:

как узнать ip в дискорде через wireshark. image 12. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image 12. картинка как узнать ip в дискорде через wireshark. картинка image 12.

То сразу открываем терминал и запускаем перехват рукопожатия:

ждать повторных подключений мы не будем, поэтому помогаем отключится всем устройствам в сети:

и спустя небольшой промежуток времени видим в правом верхнем углу нашего терминала появилась надпись: WPA handshake

как узнать ip в дискорде через wireshark. image 13. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image 13. картинка как узнать ip в дискорде через wireshark. картинка image 13.

это означает, что рукопожатие мы получили, а значит успех близок. Вернемся в Wireshark.

В Filter Toolbar нужно написать:

как узнать ip в дискорде через wireshark. image 14. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image 14. картинка как узнать ip в дискорде через wireshark. картинка image 14.

Это необходимо что бы убедится что рукопожатие действительно у нас, если это так – можем продолжать. Теперь сделаем то, что я чуть раньше предупреждал не делать, а именно поменяем настройки протоколов. Идём Edit-> Preferences и выбираем вкладку Protocols, в ней нам надо найти IEEE 802.11 и поставить галку Enable decryption после чего нажать Edit

как узнать ip в дискорде через wireshark. image 15. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image 15. картинка как узнать ip в дискорде через wireshark. картинка image 15.

в появившемся окне жмём “+” и там где Key type выбрать wpa-pwd, а там где Key нужно ввести через двоеточие “пароль:имя сети”, потом нажать ОК и сохранить изменения в настройках протокола.

как узнать ip в дискорде через wireshark. image 16. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image 16. картинка как узнать ip в дискорде через wireshark. картинка image 16.

сразу после этого захваченный трафик будет расшифрован и начнет приобретать более вразумительный и понятный вид.

Анализ трафика

В большинстве случаев (почти всегда) анализ перехваченного трафика происходит в оффлайн-режиме т.е. ты сначала перехватываешь трафик, потом сохраняешь его в файл перехвата (File->Save), потом опять перехватываешь и опять сохраняешь, потом объединяешь все файлы перехвата в один (File->Merge) и только потом, в комфортных условиях, анализируешь весь трафик скопом. И, кстати, эти функции, с сохранением и объединением, ты будешь использовать гораздо чаще чем ты думаешь. С сохранением, потому что получить с первого раза сведения которые тебе нужны удаётся далеко не всегда, да и если анализировать трафик в онлайне – по любому что-нибудь пропустишь, а с объединением потому, что когда у тебя есть несколько файлов перехвата – разбирать их по отдельности – очень глупая и трудоёмкая идея.

Как ты наверняка заметил файлы перехвата содержат огромное количество строк, и что бы быстро в них ориентироваться нужно научится делать несколько вещей:

Практика анализа трафика беспроводных сетей

Я уже упоминал, что для сбора трафика в беспроводной сети нужно использовать режим мониторинга сетевого адаптера, но в этом режиме будет работать именно наш сетевой адаптер, но при этом, для понимания ситуации в целом, неплохо бы знать в каких вообще режимах могут работать сетевые адаптеры:

Схематично принцип действия режимов можно нарисовать так:

как узнать ip в дискорде через wireshark. image 19. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image 19. картинка как узнать ip в дискорде через wireshark. картинка image 19.

В беспроводной сети весь сетевой трафик, сформированный беспроводными клиентами, сосуществует в общих каналах. Это означает, что перехваченные пакеты в каком-нибудь одном канале могут содержать сетевой трафик от нескольких клиентов, а соответственно что бы находить интересующую информацию нужно научится отфильтровывать лишнюю. Поэтому, давай разберем наиболее часто применяемые фильтры при анализе беспроводных сетей:

Фильтрация по идентификатору: wireshark собирает данные всех сетей находящихся в радиусе действия сетевого адаптера, поэтому наиболее логично первоначально отфильтровать трафик конкретной сети, которая нас интересует, сделать это можно по имени беспроводной сети (SSID):

хотя наиболее корректно будет отфильтровать по bssid. BSSID – это идентификатор базового набора услуг (Basic Service Set Identifier) – он присваивается каждой точке и идентифицирует её, при этом он посылается в каждом беспроводном пакете управления и пакете данных из передающей точки доступа. BSSID записывается в заголовок пакета и это и есть MAC адрес нашей точки доступа. Посмотрев его в заголовке, можем создать фильтр чтобы видеть трафик проходящий только через нужную точку доступа:

как узнать ip в дискорде через wireshark. wsh12. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-wsh12. картинка как узнать ip в дискорде через wireshark. картинка wsh12. как узнать ip в дискорде через wireshark. wsh11. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-wsh11. картинка как узнать ip в дискорде через wireshark. картинка wsh11.

Не менее полезным, в некоторых ситуациях будет отфильтровать трафик по используемому каналу связи:

как узнать ip в дискорде через wireshark. image 20. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image 20. картинка как узнать ip в дискорде через wireshark. картинка image 20.

можно увидеть трафик передаваемый по протоколу ARP, это даст возможность понять какие устройства в данный момент подключены к локальной сети, увидеть их MAC и IP адреса.

Также довольно часто используются такие фильтры:

покажет отправленные dns-запросы, так можно узнать какие сайты посещал пользователь и какими онлайн-ресурсами пользовался.

покажет трафик связанный с конкретным IP (где он был получателем или отправителем).

покажет tcp трафик, по такому же принципу можно отфильтровать трафик по любому другому протоколу, например udp или icmp.

Если мы видим, что соединение с сайтом не защищено т.е. происходит по протоколу http, это открывает перед нами большие возможности, мы можем увидеть передаваемые данные, в том числе данные авторизации и данные форм, загружаемые и открываемые файлы, передаваемые и установленные cookie,

httpотфильтровать http трафик
http.host == “адреспоказать запросы к определённому сайту
http.cookiehttp-запросы в которых передавались cookie
http.set_cookieзапросы в которых были установлены cookie в браузер
http.content_type contains “image”поиск любых переданных изображений, можно конкретизировать заменив “image” на “jpeg” или другие.
http.authorizationпоиск запросов авторизации
http.request.uri contains “zip”поиск определённого типа файлов. zip – заменить на нужное

Кстати, что бы сохранить какой-нибудь найденный файл надо нажать на него правой кнопкой мыши в окне Packet Details и выбрать Export Packet Bytes и указать место куда его нужно сохранить:

как узнать ip в дискорде через wireshark. image 22. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image 22. картинка как узнать ip в дискорде через wireshark. картинка image 22.

Ну, что. Если ты дочитал до этого места, значит можешь смело утверждать, что у тебя уже есть базовые знания по Wireshark, и ты уже, в принципе, немало можешь понять из перехваченного трафика. Поэтому не забывай возвращаться к нам, ведь в следующих уроках по это программе мы изучим синтаксис и операторы фильтров, разберемся как победить зашифрованный SSL/TLS трафик, разберемся с дешифраторами, более детально разберем некоторые сетевые протоколы и, конечно же, попрактикуемся в анализе сетевого трафика на конкретных примерах.

Источник

Wireshark — приручение акулы

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Wireshark — это достаточно известный инструмент для захвата и анализа сетевого трафика, фактически стандарт как для образования, так и для траблшутинга.
Wireshark работает с подавляющим большинством известных протоколов, имеет понятный и логичный графический интерфейс на основе GTK+ и мощнейшую систему фильтров.
Кроссплатформенный, работает в таких ОС как Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, и, естественно, Windows. Распространяется под лицензией GNU GPL v2. Доступен бесплатно на сайте wireshark.org.
Установка в системе Windows тривиальна — next, next, next.
Самая свежая на момент написания статьи версия – 1.10.3, она и будет участвовать в обзоре.

Зачем вообще нужны анализаторы пакетов?
Для того чтобы проводить исследования сетевых приложений и протоколов, а также, чтобы находить проблемы в работе сети, и, что важно, выяснять причины этих проблем.
Вполне очевидно, что для того чтобы максимально эффективно использовать снифферы или анализаторы трафика, необходимы хотя бы общие знания и понимания работы сетей и сетевых протоколов.
Так же напомню, что во многих странах использование сниффера без явного на то разрешения приравнивается к преступлению.

Начинаем плаванье

Для начала захвата достаточно выбрать свой сетевой интерфейс и нажать Start.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

После чего и начнется процесс захвата, причем прилетевшие пакеты будут появляться в реальном времени.
В процессе рассмотрения и изучения пакетов бывают ситуации, когда нужно вернуться предыдущему пакету. Для этого есть две кнопки (см скриншот).

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

А следующая за ними кнопка позволяет сделать быстрый переход к пакету, указав его номер.
В случае если колонки перекрываются и наползают друг на друга, можно кликнуть по такой колонке правой кнопкой мыши и выбрать “Resize Column”.
Произойдет автоматическая подгонка размеров под текущую ситуацию.
И кроме того, есть кнопка “Resize all Columns”, которая приведет в порядок все колонки.
Используя меню View – Time Display Format, можно, например, настроить, чтобы отсчет времени шел не с начала захвата, а с момента получения предыдущего пакета (Since Previous Captured Packet).
Самое важное в каждой программе (Help – About Wireshark) покажет не только версию и список авторов, но и содержит закладку Folders, которая покажет пути размещения каталогов с конфигурациями.
Изучая интерфейс, можно выбрать, например, пакет http, и увидеть, что HTTP инкапсулируется в TCP (транспортный уровень), TCP инкапсулируется в IP (сетевой уровень), а IP в свою очередь инкапсулируется в Ethernet (перед этим даже мелькает 802.1Q).

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

И на самом верху идет нечто вроде небольшого обзора собранной информации о кадре.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Про фильтры мы поговорим дальше, а на данном этапе, если нужно быстро отфильтровать лишние пакеты, достаточно сделать правый клик на пакете, выбрать меню Apply as Filter – Not selected и изменения сразу же вступят в силу.
Если нужно еще что-то убрать, то в следующий раз выбирать “and not Selected”, и новое правило просто добавится к фильтру.

Убираем заусенцы

Довольно часто при работе с Wireshark возникает ошибка IP checksum offload – ошибка контрольной суммы заголовка IP пакета.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Современные сетевые карты насколько умные, что сами считают контрольную сумму, зачем это делать на уровне стека TCP/IP программно, если можно делать хардварно.
А Wireshark натурально перехватывает пакеты, до того как они попадают в сеть.
И до того как эта сумма была просчитана и была добавлена в заголовок пакета.
Соответственно есть два пути решения этой проблемы — выключать функцию offload в настройках сетевой карты или в настройках сниффера указать, чтобы он не обращал внимание на это значение.
Хардваные функции зачастую лучше софтварных, в основном из-за скорости обработки (в железе обычно выше) поэтому лучше изменить настройки самого сниффера.
Для этого нужно зайти в настройки (Edit — Preferences), затем Protocols – IPv4 – и снять флаг с “Validate IPv4 checksum if possible”.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Фильтруем поток

Wireshark содержит два вида фильтров – захвата (Capture Filters) и отображения (Display Filters).
Вначале рассмотрим Capture Filters.
Как можно догадаться по названию, они служат для фильтрации еще на этапе захвата трафика.
Но в таком случае, безусловно, можно безвозвратно потерять часть нужного трафика.
Фильтр представляет собой выражение, состоящее из встроенных значений, которые при необходимости могут объединяться логическими функциями (and, or, not).
Для того, чтобы его задействовать, нужно зайти в меню Сapture, затем Options, и в поле Capture Filter набрать, например, host 8.8.8.8 (или, например, net 192.168.0.0./24)

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Так же, конечно, можно выбрать и заранее созданный фильтр (за это отвечает кнопка Capture Filter).
В любом из вариантов фильтр появится возле интерфейса, можно жать Start.

Теперь перейдем к Display Filters.
Они фильтруют исключительно уже захваченный трафик.
Что можно фильтровать?
— Практически все — протоколы, адреса, специфические поля в протоколах.
Операции, которые можно использовать при построении фильтров:

Как вы, наверное, заметили, в таблице в качестве примеров были разнообразные выражения, достаточно понятные и зачастую говорящие сами за себя.
Например, ip.dst – это поле протокола IP.
Чтобы увидеть это поле, можно просто посмотреть на пакет, и в нижней части окна можно увидеть его значение, которое потом можно применять в любом фильтре.
Например, нас интересует, как создать фильтр, где будет проверяться значение TTL.
Для этого раскрываем L3 часть и становимся на соответствующее поле:

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

И видим, что для построения фильтра, нужно использовать выражение ip.ttl.
Если начать набирать фильтр, то после точки автоматически появится список возможных значений:

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

и после нажатия на кнопку ОК фильтр появится как кнопка на панели.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

А если кликнуть на расположенную неподалеку кнопку «Expression…», то откроется достаточно мощный конструктор выражений, по которому можно чуть ли не изучать сетевые протоколы. Количество поддерживаемых протоколов постоянно увеличивается.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Как уже упоминалось ранее, можно выделить любой пакет и в контекстном меню выбрать Apply as Filter и в подменю выбрать режим — selected или not selected и соответственно сразу же появится фильтр, который будет показывать только выбранное или наоборот уберет выбранное с экрана.
Таким образом можно гибко выбирать, что видеть на экране, а что — нет.
Это может быть определенный ip-адрес, ttl, порт, dns ответ и многое другое.
Кроме того, есть два варианта для таких быстрых фильтров — Prepare as Filter и Apply as Filter.
Как можно догадаться по названию — разница заключается в том, что в первом случае только появится в поле для ввода Display Filter, но не применится (удобно, если например, добавлять таким способом несколько фильтров, а затем сразу применить готовый результат), а во втором — сразу же и применится.

Фильтры можно объединять, используя знакомые по булевой алгебре логические операции:
(dns) && (http) логическое и

(dns) || (http) это логическое или

Таким образом можно строить большие и сложные фильтры вроде:
(tcp.flags.syn==1) && (ip.src == 172.16.10.2) && (ip.dst == 172.16.10.1)
Здесь видим, что выбираются только TCP SYN сегменты, только с определенным адресом отправителя и получателя. При составлении больших фильтров нужно помнить, что фильтр по сути — логическое выражение, и если оно истинно, то пакет отобразится на экране, если ложно — нет.

Ныряем глубже

Достаточно частая ситуация, когда возникают жалобы на медленную работу сети, причин этого может быть множество.
Попробуем разобраться, в чем может быть причина, и рассмотрим два способа.
Первый состоит в добавлении колонки TCP delta.
Открываем пакет, находим поле Time since previous frame in this TCP frame, правый клик и выбираем Apply as Column. Появится новая колонка.
На ней можно кликнуть правой кнопкой мыши и выбрать режим сортировки, например, Sort Descending.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

И сразу же рассмотрим второй способ.
Относительно недавно (в версии 1.10.0) появился фильтр tcp.time_delta, который, собственно, учитывает время с момента последнего запроса.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Если клиент делает запрос и получает ответ через 10 миллисекунд, и клиент говорит, что у него все медленно работает, то, возможно, проблема у самого клиента.
Если же клиент делает запрос и получает ответ через 2-3 секунды, тут уже, возможно, проблема кроется в сети.

Еще глубже

Если посмотреть в TCP пакет (или сегмент если быть точным), то можно увидеть там Stream index, который начинается обычно с нуля.
Само поле будет называться tcp.stream.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

По нему можно сделать правый клик и создать фильтр.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Таким образом можно фильтровать нужные соединения.

Еще один способ – сделать правый клик на самом пакете, выбрать Conversation Filter и создать фильтр для l2 l3 l4 уровня соответственно.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

В итоге мы опять увидим взаимодействие двух хостов.

И третий вариант — это одна из самых интересных фич — Follow TCP Stream.
Для того чтобы его задействовать, нужно опять таки кликнуть правой кнопкой мыши на пакете и выбрать “Follow TCP Stream”. Появится окно, где будет наглядно продемонстрирован весь обмен между двумя узлами.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Если же зайти в меню Statistics – Conversations, то, выбирая закладки, можно увидеть статистику по таким “разговорам” и различные сессии, при этом можно отсортировать их по различным колонкам, например, по количеству переданных данных.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

И прямо в этом окне можно правой кнопкой взывать контекстное меню и опять же применить как фильтр.

Со временем приходит опыт

После некоторого времени, проведенного за захватом разнообразного трафика, можно заметить какую-то шарообразную кнопку в нижнем левом углу, которая еще иногда меняет цвет.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Нажатие на эту кнопку приведет к открытию окна Expert Infos.
Того же результата можно добиться, пройдя в меню Analyze – Expert Info.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

В этом окне будет содержаться информация по найденным пакетам, разбитая на группы Errors, Warnings, Notes и Chats.
Цветовая раскраска для этих групп выглядит следующим образом:
Ошибки — красный цвет
Предупреждения — желтый
Примечания — сине-зелёный (cyan)
Чат — серый

Wireshark содержит в себе мощный анализатор и умеет автоматически обнаруживать большое количество проблем, возникающих в сети.
Как вы уже могли заметить, буквально везде можно использовать фильтры и Expert Info не является исключением.
Для того чтобы создать такой фильтр, нужно использовать конструкцию expert.severity.
Например, expert.severity==error.

Грабим трафик!

Можно ли с помощью Wireshark узнать, что было скачано?
Да, можно. И сейчас это увидим.
Вначале возьмем HTTP трафик.
Сделаем правый клик по HTTP пакету — Protocol Preferences – и видим тут массу опций, которые непосредственно влияют на извлечение файлов из веб трафика.
Для того чтобы увидеть, что можно извлечь из текущего дампа нужно перейти в меню File – Export Objects – HTTP.
Появится окно, которое покажет все захваченные http объекты — текстовые файлы, картинки и т.д. Для того чтобы вытащить любой файл из этого списка, достаточно просто выделить его и нажать Save As.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Как можно заметить, рисунок был извлечен без каких-либо проблем.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Таким же способом, можно извлекать и потоковое видео/аудио.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Но на этом возможности Wireshark не заканчиваются!
Он умеет вытаскивать файлы и с протокола FTP.
Для этого можно использовать знакомый уже Follow TCP Stream.
В итоге отобразится только обмен по протоколу FTP, в котором нужно будет найти строку RETR, что собственно и будет означать передачу файла.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Затем опускаемся дальше, находим пакеты уже непосредственно с файлом (FTP-DATA) и опять выбираем Follow TCP Stream, видим содержимое файла, жмем Save As и сохраняем.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Wireshark имеет несколько встроенных функций для работы с этой технологией.
Он поддерживает массу голосовых протоколов — SIP, SDP, RTSP, H.323, RTCP, SRTP и другие.
И, конечно же, умеет перехватывать и сохранять голосовой трафик для дальнейшего прослушивания.
Этот функционал как нельзя лучше подойдет для траблшутинга в сетях Voice over IP.
Меню Statistics — Flow Graph покажет наглядную картину, как происходил весь обмен пакетами.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

А вообще целое меню Telephony отведено для работы с голосовым трафиком.
Например, Telephony – RTP – Show All Streams покажет подробно, что происходило с RTP, в частности jitter (параметр, который, вероятно, самый важный в голосе), что иногда сразу скажет о наличии проблем.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Нажав на кнопку “Analyze”, можно открыть окно RTP stream Analysis – и, выбрав там поток, можно его даже проиграть, используя кнопку player.
Сначала отроется окно проигрывателя, в котором вначале нужно установить подходящее значение jitter и использовать кнопку decode.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Появится нечто похожее на анализатор спектра, в котором можно отметить требуемый разговор, и после этого кнопка Play станет активной.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Так же существует еще один способ прослушивания голосовых звонков — можно зайти в меню Telephony – VoIP Calls.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Откроется окно со списком совершенных звонков, где опять же можно нажать кнопку player, отменить нужные разговоры флажками и нажать play.
Для того чтобы добиться приемлемого качества звучания, потребуется проиграться со значением поля jitter buffer, меняя его значение.

Небольшое отступление

Некоторое время назад появился сайт CloudShark.org.

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Это тот самый сниффер Wireshark, но реализованный в виде онлайн-сервиса. Очевидно, что с его помощью не удастся захватывать сетевой трафик, но выполнять анализ дампа трафика – вполне. Загрузив туда через форму PCAP-файл на анализ, можно будет получить четкую последовательность пакетов, в которой всё данные будут разбиты на понятные поля в зависимости от протокола. В общем, тот же Wireshark, но немного облегченный и доступный из любого браузера.

Финальная битва

Напоследок рассмотрим как выглядит сканирование портов.
Смотрим на дамп и видим, что вначале происходит ARP запрос и затем непосредственно начинается сканирование. Адрес нашего маршрутизатора 192.168.10.11, сканирование идет с адреса 192.168.10.101

как узнать ip в дискорде через wireshark. image loader. как узнать ip в дискорде через wireshark фото. как узнать ip в дискорде через wireshark-image loader. картинка как узнать ip в дискорде через wireshark. картинка image loader.

Это, так называемое, SYN сканирование, когда идут SYN-пакеты на указанный диапазон портов. Так как большинство портов закрыто, маршрутизатор отвечает пакетами RST, ACK.
Пролистав чуть ниже видим, что открыт telnet (tcp 23).

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *