wireshark抓取arp,帧的编号

wireshark抓取arp,帧的编号,第1张

Hardware size :占1字节,硬件地址大小,标识MAC地址长度,这里是6个字节(48bit)。 Protocol size: 占1字节,协议地址大小,标识IP地址长度,这里是4
2 Protocol type: 占2字节,协议类型,标识网络层协

1ARP协议的作用

2交换机的工作原理详解

3ARP协议的报文抓包分析

4以太网广播风暴问题及解决方案

5以太网安全问题辨析
pc1会以ARP的request报文以广播的方式发送给连接这台交换机下面的所有者,例如pc2,pc2收到后会以ARP的reply报文回应,单波的方式回应pc1,c1收到c2的mac地址回应信息,它会将此信息记录在自己的缓存表里面,每台电脑都有自己的缓存表,缓存表里面存有一些pc的ip地址和mac地址对应关系。下一次发送给pc2,就会在自己的缓存表里面查询了,不会再以ARP方式发送广播了,缓存表重启或者随着时间会丢失。必须要知道mac地址,不然在数据链路层就不能完成装帧这个工作的。以太网通讯都需要mac地址,ARP报文是以request发送的,

动态ip地址是通过学习得到的,过段时间会丢失。

arp -d 删除所有报文  arp -a 啥都没有 ,再去Ping 又会重新发送报文  arp -a又会有了

pc1 ping pc2的报文pc3 R1路由器右端都会收不到,因为pc1会通过自身的ip 和掩码比对发现右端不自己不在同一个网段,所以不会发送arp报文。pc1发送报文会发现源mac是自身网卡mac,目标mac通过arp请求不到pc3的mac,目标mac如何填充呢,因为是跨网段通讯,因为是跨网段,所以需要网关,网关可以中转到达其他网段数据,所以pc1 和pc3通讯,发现源ip 自己的,目标ip是另一个网段的,源mac自己的,所以此时目标mac应该是网关的。通过网关来中转。所以pc1和pc3通讯,pc1mac是自己,然后mac到达R1路由器f0/0后,R1会在mac地址表里查到pc3的目标ip ,然后将数据传输到f0/1,到达f0/0是pc1的mac。到达f0/1的mac是f0/0的封装的mac,到达pc3
R2#show mac-address-table查看交换机的mac地址表
Destination Address  Address Type  VLAN  Destination Port

-------------------  ------------  ----  --------------------

c001179c0000          Self          1    Vlan1

c000179c0000          Dynamic      1    FastEthernet1/14

地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。
主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。

反向地址转换协议(RARP)是局域网的物理机器从网关服务器的ARP表或者缓存上根据MAC地址请求IP地址的协议,其功能与地址解析协议相反。与ARP相比,RARP的工作流程也相反。首先是查询主机向网路送出一个RARP Request广播封包,向别的主机查询自己的IP地址。这时候网络上的RARP服务器就会将发送端的IP地址用RARP Reply封包回应给查询者,这样查询主机就获得自己的IP地址了。

数据包在物理链路上传输 以太网帧 需要目的地的物理地址(MAC)
通过ARP协议来获取同一个网络内的机器的IP地址和Mac的对应关系,为上层协议提供支持,因为上层协议使用IP地址进行通信。

Wireshark 抓包

ARP 广播请求 (由192168188 发起的广播请求,询问谁的IP是19216811)

ARP 应答 (19216811 直接应答 192168188,告知其Mac地址)

其他收到该广播的机器判断19216811不是自己的IP,直接丢弃

只有arp请求

可以看到只会发送ARP请求,且ARP请求没有获得响应,此时无法获取ping的目的地,故不会发送ping(ICMP)请求
且错误显示为: “无法访问目标主机”

先添加IP对MAC的映射关系

用 arp -a 查看结果

ping 测试

只有ping

数据报详情:

当本地的Arp缓存中有IP地址和Mac地址的对应关系时,会直接往目标地址发送数据报,从以太网帧中可以看到目的地Mac就是我们设置的Mac。
此时不会再发送ARP请求,直接发送了Ping请求,且错误显示为: “请求超时”

这里修改 19216811 的Mac地址
arp 命令修改失败:拒绝访问

改用netsh命令修改

比如在浏览器中访问百度

使用wireshar 抓包

使用netsh 命令设置之后,再用 arp -d 19216811 命令删除,在重启之前是可以上网的,下次重启网关的mac地址还将是错误的

需要使用上面的命令删除,完了之后就会变成 “可以访问”

ARP欺骗可以分成两种情况:

发送一系列错误的内网MAC地址给路由器,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。

不停发送错误的网关Mac到局域网的机器中,让局域网内的机器建立错误的绑定关系,让局域网内的机器不能正确的将数据包发送到网关设备,导致PC不能上网。


有时间再试试

返回值为1表示已被使用,0表示没有被使用

过滤目的地址
arpdstproto_ipv4==1921681214


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/13332839.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-07-16
下一篇 2023-07-16

发表评论

登录后才能评论

评论列表(0条)

保存