首页天道酬勤wireshark交换机抓包(wireshark抓包不对)

wireshark交换机抓包(wireshark抓包不对)

张世龙 01-28 20:19 18次浏览

wireshark包分析ARP协议----------- -本文是个人知识理解的总结,不是一定的标准,欢迎交流讨论

个人认为,本实验的主要目的是将理论实战化。 重点是具体观察实际的ARP包包含在网络中的情况,仔细分析每个包的每一层包的内容。

arp协议到底是什么? 我想搜索ARP数据包问题的苦工已经很熟悉了,ARP协议只是协议或者特定的通信规范,在不同的操作系统或者不同的网络配置下,ARP不会违反ARP协议的规则(单播ARP请求分组,如下所述)

ARP协议攻击验证这里以同网段下的ARP协议为例。 网络段之间的ARP这样的路径,只要具备环境就可以。 我对自己做的技术含量不太感兴趣。

构建简单的环境,在虚拟机中启动两台虚拟机。 将一台虚拟机的ip地址设置为其他两台网关地址。 (这主要是为了分析单播arp请求数据包。 三台在同一网段上,可以相互ping通信。 如果只想关注简单的arp协议,两台就足够了。 其中一个网关可以省略。

在本实验中,wireshark操作为在物理机上监听VM8网卡。

物理主机ip:192.168.80.1

mac: 00-50-56-C0-00-08

虚拟主机1的ip:192.168.80.2 (网关地址) )

mac:00-0C-29-C9-81-C0

虚拟主机2的ip:192.168.80.141

mac:00-0C-29-D9-46-DC

(所有虚拟机的mac地址的前两个字节为00-0C,这也是调试防病毒虚拟机的一种识别方法。)

首先打开wireshark。 如果无法识别要侦听的网卡,请尝试在win0系统上下载并安装Win10Pcap-v10.2-5002.msi。 (如果有要监听的网卡,请双击。

打开命令行,ping:192.168.80.141注意: 1、首先查看本地ARP缓存表,验证ping的地址不在缓存表中是否无法捕获广播请求数据包

2、如有,运行arp -d清除所有本地ARP缓存后方可进行实验。

抓住数据包,筛选ARP数据包,然后查找Broadcast request数据包。 如下图所示,该广播包双层标题中的Desition:ffffffffffffff即广播,SRC:00-50-56-C0-00-08, 第三层网络层封装的sendeer 192.168.80.1.target:0033600033600336000336000336000,192.168.80.141,ARP PP

找到上述包的下一个包reply包,二楼的两个mac不熟悉,Src是请求查询的mac地址。 DST封装了物理主机地址(单播),三层也封装了查询的mac地址。 ok简单的arp广播请求单播响应,完成了链路层IP地址到MAC地址的映射。

交叉网段也是如此。 但是,在两个段的主机上,wireshark会抓住包并一起分析。 分析结果当然也和书中的协议介绍一样。 最重要的是,当向交叉网段发送ARP请求时,ARP请求是两层(链路层头)的MAC地址是网关的MAC地址。 也就是说,该请求包是单播包,但在三层(

乱七八糟的ARP包,我相信抓包的时候大家看到了很多乱七八糟的ARP包。 这些包显然与ARP协议本身关系不大。 这些包到底是干什么用的呢? 文章开头提到ARP只是一个协议规范,但ARP数据包的操作因操作系统而异。

gratuitous arp数据包(免费ARP数据包)之一是声明广播的作用,向整个广播域传递与此IP对应的MAC地址是什么。

第二,通过检查广播域中的其他主机是否正在使用自己的IP,如果正在使用,则界面中将显示“IP冲突”字样。

因此,从以上两点可以看出何时发送gratuitous ARP数据包。 网络刚建立时,网关会发送此ARP包以实现第一个目的。 rzdsg修改主机的ip地址时也会发送此数据包。 目的是有以上两个。 如果你感兴趣,请自己更改物理机的ip,看看能否看到这个数据包。 下面是我抓住的网关广播之一。 可以看到链路层头是广播地址,网络层数据的目的和源地址相同。

奇怪的大量单播分组。 例如,主机和网关之间继续相互接收单播请求数据包。 arp缓存表中已经有对方的条目,但如果没有,就不应该发送广播请求数据包。

)仔细看,您会发现每次ping结束时,都会ping两个主机之间的单播请求数据包。

等等。

如果归纳特殊的单播请求数据包,其具体作用很难理解。 主要是对arp缓冲表更新的轮询、缓冲表更新验证、连接性测试等,这三个角色并不是相互独立的。 一个单播arp分组发送的目的可能同时具有上述三个作用,其具体作用需要看具体的通信过程。 上图中提到的几个单播请求分组的作用,个人未必能够捕捉分组进行分析和理解。 单播请求分组实质上不是arp协议的内容,而是操作

系统或网络配置所采取的一些安全措施或者提高通信可靠性安全性的措施,不影响对于arp协议本身的分析。
arp缓冲表更新的轮询:在ARP协议的RFC文档中提到了ARP缓冲区更新的四种方式,除了超时等以外,轮询也是其中一种,不同的操作系统下ARP缓存更新的方式也不同,并不是简单地超时删除,有兴趣可以去查一下,相关资料对于linux系统能查到资料比较多因为其开源(linux的arp缓冲区超时删除过程中也可能产生arp单播请求包,见下面的补充),但是对于windous就比较麻烦了资料不较少。
缓冲表更新验证:当ARP缓冲表收到更新时,就会发送ARP验证,这个也比较明显,上述实验中,在做ARP协议验证时,可以看到广播请求包和单播应答包之后,紧跟的就是目的主机的单播请求包,这就是目的主机对于自己ARP缓冲区更新的验证包,一定程度上避免ARP欺骗。
连通性测试:一些通信协议之前会利用ARP单播请求包进行联通性的测试。
等等。。。。。意思只是一个ARP包还有很多用处,可能已经偏离了ARP写一本身,对一些单播包不要过分追究,大致知道其作用即可。
补充:linux的ARP缓存机制

linux脚本android操作系统沙盒振动频率gsonprinciplelinux系统lspcurl
wireshark抓包结果分析(wireshark抓包后怎么分析) wireshark抓包结果分析(抓包工具wireshark分析数据)
相关内容