赞
踩
Wireshark是一个开源的网络协议分析工具,用于捕获和分析网络数据包。它可以在多个操作系统上运行,并提供了强大的功能和用户友好的界面。
通过Wireshark,用户可以捕获网络流量,并对其进行深入的分析。它支持多种协议的解析和显示,包括常见的网络协议如Ethernet、IP、TCP、UDP、HTTP等,以及更高级的协议如DNS、SSL/TLS等。
Wireshark的主要特点如下:
1. 数据包捕获:Wireshark可以实时捕获网络数据包,并以可视化的方式显示捕获的数据。用户可以选择特定的网络接口进行捕获,并应用过滤器来获取特定协议或目标的数据流量。
2. 数据包分析:Wireshark提供了强大的分析工具,可以对捕获的数据包进行深入的解析和分析。用户可以查看各个协议的字段和属性,并利用过滤器和统计功能来过滤和聚合数据。
3. 协议支持:Wireshark支持解析和显示多种网络协议,包括常见的协议和高级的应用层协议。用户可以根据需要选择关注的协议,并查看相关的数据包信息。
4. 插件支持:Wireshark支持插件扩展机制,用户可以根据需要安装和使用各种插件,以增强功能和定制分析过程。
Wireshark是一个强大的网络分析工具,广泛应用于网络管理、故障排查、安全审计等领域。通过使用Wireshark,用户可以深入了解网络流量和协议,分析和解决网络问题,并提高网络的性能和安全性。
两台虚拟机,一台 Windows 10 安装了 WireShark,另一台随意(同一局域网内)
- C:\Users\ydd33>arp /?
-
- 显示和修改地址解析协议(ARP)使用的“IP 到物理”地址转换表。
-
- ARP -s inet_addr eth_addr [if_addr]
- ARP -d inet_addr [if_addr]
- ARP -a [inet_addr] [-N if_addr] [-v]
-
- -a 通过询问当前协议数据,显示当前 ARP 项。
- 如果指定 inet_addr,则只显示指定计算机
- 的 IP 地址和物理地址。如果不止一个网络
- 接口使用 ARP,则显示每个 ARP 表的项。
- -g 与 -a 相同。
- -v 在详细模式下显示当前 ARP 项。所有无效项
- 和环回接口上的项都将显示。
- inet_addr 指定 Internet 地址。
- -N if_addr 显示 if_addr 指定的网络接口的 ARP 项。
- -d 删除 inet_addr 指定的主机。inet_addr 可
- 以是通配符 *,以删除所有主机。
- -s 添加主机并且将 Internet 地址 inet_addr
- 与物理地址 eth_addr 相关联。物理地址是用
- 连字符分隔的 6 个十六进制字节。该项是永久的。
- eth_addr 指定物理地址。
- if_addr 如果存在,此项指定地址转换表应修改的接口
- 的 Internet 地址。如果不存在,则使用第一
- 个适用的接口。
- 示例:
- > arp -s 157.55.85.212 00-aa-00-62-c6-09.... 添加静态项。
- > arp -a .... 显示 ARP 表。
-
- C:\Users\ydd33>
ARP(Address Resolution Protocol)是一种用于将网络层地址(例如IP地址)解析为物理地址(例如MAC地址)的协议。它通常用于IPv4网络中,IPv6网络使用Neighbor Discovery Protocol(NDP)来执行类似的功能。
下面是ARP协议的详细解析:
工作原理:
数据结构:
工作环境:
缓存:
缺点:
总的来说,ARP是一种简单而有效的协议,用于解决IP地址到MAC地址的映射问题,但同时也存在一些安全和性能方面的考虑。
地址解析协议 | |||||
偏移位 | 八位组 | 0 | 1 | 3 | 4 |
八位组 | 位 | 0~7 | 8~15 | 0~7 | 8~15 |
0 | 0 | 硬件类型 | 协议类型 | ||
4 | 32 | 硬件地址长度 | 协议地址长度 | 操作 | |
8 | 64 | 发送方硬件地址 | |||
12 | 96 | 发送方硬件地址 | 发送方协议地址 | ||
16 | 128 | 发送方协议地址 | 目标硬件地址 | ||
20 | 160 | 目标硬件地址 | |||
24+ | 192+ | 目标协议地址 |
本地输入 arp -a 查看 arp 表
开启抓包后 Ping 另一台主机的 IP 地址
Wireshark 中输入 arp 过滤其他协议后点击一个分析
可以发现这个数据包的目的地址是虚拟机的广播地址,源地址(发送方)是本机自己。这里咱们可以查看本机 MAC 地址确认
下方的地址解析协议(请求)也证明了这一点,操作为 1 对应请求包,目标 IP 地址为 192.168.134.129
点击第二个包进行分析
可以发现目的地址变成了咱,源地址是另一台主机(查看另一台主机地址验证)
下方的操作为 2 对应响应,即咱已经获得了目标主机的 MAC 地址,现在再来查看 ARP 表
免费ARP包,也被称为Gratuitous ARP或无故ARP,是一种特殊的ARP请求。与一般的ARP请求不同,免费ARP包并非期待得到IP对应的MAC地址,而是设备使用自己的IP地址作为目的IP地址来发送ARP请求,即请求自己的IP地址对应的MAC地址。在发送免费ARP包时,Sender IP和Target IP字段是相同的。
免费ARP包主要有以下几个应用场景和作用:
免费ARP包是广播发送的,其目标MAC地址是全F。当设备接收到免费ARP包后,如果发现地址存在冲突,会发送一个免费ARP包来告知其他设备地址冲突的情况;如果地址不冲突,则会根据接收到的ARP包中携带的IP、MAC等信息进行维护。
需要注意的是,发送免费ARP的主机或设备往往并不希望收到ARP应答,因为若是收到了,说明网络上有人使用相同的IP,这会造成IP冲突。因此,免费ARP包的主要作用是用于宣告和通知,而不是用于获取MAC地址信息。
免费 ARP 报文与普通 ARP 请求报文的区别在于报文中的目标 IP 地址。普通 ARP 报文中的目标 IP 地址是其他主机的 IP 地址;而免费 ARP 的请求报文中,目标 IP 地址是自己的 IP 地址
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。