Ir aos manuais muitas vezes resolve quando o dispositivo está no endereço ip padrão (10.1.1.1, 192.168.0.1, etc), mas pode ser trabalhoso achar esse manual quando você não tem as coisas tão organizadas assim (quase ninguém têm os manuais ao alcance).
Explicando o método:
Quando um nó é conectado na rede, o seu endereço ip é fixado por uma das 3 possibilidades: DHCP, Estático, Auto-atribuido. Nos 3 casos o procedimento é o mesmo, antes de tomar um certo ip pra si, o dispositivo envia frames ARP em broadcast, perguntando à toda rede se alguém já está usando aquele ip. Caso ninguém responda então ele assume o tal ip.
Requerimentos:
Baixe um sniffer de rede. No caso eu irei me basear no software livre Wireshark
WIRESHARK DOWNLOAD: http://www.wireshark.org/download.html
Procedimento:
Tenha a máquina que vai fazer o monitoramento no mesmo domínio de broadcast que o dispositivo incógnito, ou seja, não podem estar separados por roteadores, no máximo hubs/switches/access-points.
No wireshark monitore a interface de rede. Por experiência própria, quando a interface for wireless, eu só consegui ver os pacotes desabilitando o Promiscuous Mode nas opções de captura dela.
Pra facilitar a filtragem do tráfego você pode usar uma expressão conveniente no campo "Filter".
ex1: Mostrando apenas pacotes ARP.
Filter: arp
ex2: Caso a rede seja tão inundada que o filtro anterior não garanta que você veja com calma os pacotes, tente este
Filter: arp and eth.addr eq 00-00-00-00-00-00
(no lugar de 00-00-00-00-00-00 substitua pelo mac address do dispositivo incógnito).
DESLIGUE o modem/router/switch/impressora/o-que-quer-que-seja e religue-o denovo. Fique de olho no monitoramento até aparecerem os pacotes Gratuitous ARP request. Na coluna Info estará o endereço ip que você quer.
Figura 1Veja na Figura 1 que eu fiz o filtro (destacado em laranja) para filtrar pacotes ARP do mac address que eu estou interessado. A filtragem mostra (destacado em vermelho) que os frames ARP vieram desse mac address. Caso eu usasse apenas o filtro "arp" eu deveria verificar se Source é realmente o meu dispositivo. Destacado em azul está o endereço ip que ele está tentando pegar. Como não houve nenhum impedimento, após a 4ª tentativa ele assumirá o ip 10.4.25.71, que é o ip que eu estou procurando.
Simplificando:
1- Ligar o sniffer e capturar pacotes
2- Filtrar (opcional)
3- Religar o dispositivo
4- Verificar o ip entre os pacotes capturados
Pode parecer demorado ou até complicado, mas não se deixe enganar. Por mais que o post seja extensivo, eu fiz isso apenas para não deixar dúvidas a quem não está acostumado ao drill, e é extremamente rápido, bem mais do que ficar adivinhando ou pesquisando.
Vantagens:
Existem vários outros métodos, até mais fáceis muitas vezes, mas a maioria que conheço funciona somente sob certas circunstâncias (o dispositivo é um gateway da rede - método traceroute, o dispositivo está na mesma subrede que o seu computador - método ipscan).
A vantagem deste é que supera as dificuldades dos dois métodos citados. As limitações são que o dispositivo possa ser resetado e esteja no mesmo domínio de broadcast.
6 comentários:
Muito boa explicação, grato
Existem pessoas e Pessoas e você dono
do Blog é uma Pessoa incrível.
Como é admirável a arte de ajudar a quem nem conhecemos.
Depois de dias com uma impressora parada...de ter revirado a net atrás de solução encontrei teu Blog e achei o ip da minha impressora em segundos.
Que Deus te ajude muito.
Muito obrigado.
Celso (Uberaba)
Você me ajudou muito. Desconhecia esse método e perdi muito tempo, mas muito tempo mesmo tentando adivinhar o IP de ativos de rede. Sou muito grato a você, Felipe, pela sua explicação. Deus o Abençõe e o recompense pela boa ação.
olha amigo,te chamo assim pelo que li nos comentários,comprei uma camera wifi ip easy,comprei um problema não consegui nem acessa-la nem identifica-la,já me disseram que é um desafio, faz-se alguma coisa ou joga pela janela...Ivo...abço...29/08/2012.021 92193041
A sua maq estava na mesma subrede do device?
Colega, possui um switch Dlink DES-3526. Não sei o IP dele nem o MAC ADRESS, pois peguei ele usado. Vou tentar realizar os procedimentos, mas desde já muito obrigado pela dica.
Postar um comentário