Sou estudante de CS e atualmente estou fazendo um curso (básico) em segurança da informação. Recebi uma tarefa que exigia que eu analisasse um determinado arquivo .pcap usando o Wireshark e obtivesse informações sobre o endereço IP do host, navegador, endereço MAC do roteador, etc. host usa, mas não tenho certeza de como fazer isso. Já vi sites que ensinam como encontrar o endereço IP do servidor DNS usado pelo seu próprio roteador, mas como encontramos o endereço IP do servidor DNS que outra pessoa usa, visto que sabemos o endereço MAC dele ou o roteador dela?
Responder1
Eu diria que, se você tiver um pcap de tráfego do host de destino, poderá determinar o endereço IP do servidor DNS procurando conexões abertas com um IP de destino na porta DNS (TCP/UDP 53).
Responder2
Basta usar um filtro para tráfego DNS. Procure respostas do servidor DNS com o IP do seu cliente como destino. Por exemplo, você poderia tentar algo como dns and ip.dst==1.2.3.4(onde 1.2.3.4deve ser substituído pelo endereço IP do seu cliente).
Responder3
O Wireshark também resolve endereços MAC. É uma opção de ferramenta que você seleciona. Procure ainda o tráfego conforme indicado acima que está em execução na porta DNS padrão. Você também pode visualizar conversas de protocolo.