Wireshark

ARP-pakkeanalyse med Wireshark

ARP-pakkeanalyse med Wireshark

Hvad er ARP?

Adresseopløsningsprotokol bruges generelt til at finde ud af MAC-adressen. ARP er en linklagsprotokol, men den bruges, når IPv4 bruges over Ethernet.

Hvorfor har vi brug for ARP?

Lad os forstå det med et simpelt eksempel.

Vi har en computer [PC1] med IP-adresse 192.168.1.6, og vi vil pinge til en anden computer [PC2], hvis IP-adresse er 192.168.1.1. Nu har vi PC1 MAC-adresse, men vi kender ikke PC2 MAC-adresse, og uden MAC-adresse kan vi ikke sende nogen pakke.

Lad os nu se trin for trin.

Bemærk: Åbn kommando i administrativ tilstand.

Trin 1: Kontroller eksisterende ARP på PC1. Udfør arp -a på kommandolinjen for at se eksisterende ARP-post.

Her er skærmbilledet

Trin 2: Slet ARP-post. Udfør arp -d kommando i kommandolinje. Og derefter udføre arp -a for at sikre, at ARP-poster er slettet.

Her er skærmbilledet

Trin 3: Åbn Wireshark, og start den på PC1.

Trin 2: Udfør kommandoen nedenfor på PC1.

ping 192.168.1.1

Trin 3: Nu skal ping være en succes.

Her er skærmbilledet

Trin 4: Stop Wireshark.

Nu vil vi kontrollere, hvad der sker i baggrunden, når vi sletter arp-indtastning og ping til en ny IP-adresse.

Faktisk når vi pinger 192.168.1.1, inden der sendes ICMP-anmodningspakke, var der udveksling af ARP-anmodning og ARP-svarpakke. Så PC1 fik MAC2-adresse på PC2 og kunne sende ICMP-pakke.

For mere information om ICMP, se her

Analyse af Wireshark:

ARP-pakketyper:

  1. ARP-anmodning.
  2. ARP Svar.

Der er to andre typer RARP-anmodning og RARP-svar, men bruges i specifikke tilfælde.

Lad os vende tilbage til vores eksperiment.

Vi ping til 192.168.1.1, inden PCMP-anmodning sendes, skal PC1 sende udsendelse ARP-anmodning og PC2 skal sende unicast ARP svar.

Her er vigtige felter til ARP-anmodning.

Så vi forstår, at hovedformålet med ARP anmoder om at få MAC2-adressen til PC2.

Lad os nu se ARP-svar i Wireshark.

ARP-svar sendes af PC2 efter modtagelse af ARP-anmodning.

Her er de vigtige felter i ARP-svar.

Fra dette ARP-svar går vi ud på, at PC1 fik PC2 MAC og opdateret ARP-tabel.

Nu skal ping være vellykket, da ARP er løst.

Her er ping-pakkerne

Andre vigtige ARP-pakker:

RARP: Det er det modsatte af normal ARP, som vi har diskuteret. Det betyder, at du har MAC-adressen på PC2, men at du ikke har IP-adressen på PC2. Nogle specifikke tilfælde har brug for RARP.

Gratuitøs ARP: Når et system får en IP-adresse, efter at systemet er fri til at sende en gratis ARP, der informerer netværket om, at jeg har denne IP. Dette er for at undgå IP-konflikt i samme netværk.

Proxy ARP: Fra navnet kan vi forstå, at når en enhed sender en ARP-anmodning og får et ARP-svar, men ikke danner den egentlige enhed. Det betyder, at nogen sender ARP-svar på den originale enheds opførsel. Det er implementeret af sikkerhedsmæssige årsager.

Resumé:

ARP-pakker udveksles i baggrunden, når vi prøver at få adgang til en ny IP-adresse

Mus Microsoft Sculpt Touch Wireless Mouse Review
Microsoft Sculpt Touch Wireless Mouse Review
Jeg har for nylig læst om Microsoft Sculpt Touch trådløs mus og besluttede at købe den. Efter at have brugt det et stykke tid besluttede jeg at dele m...
Mus AppyMouse pegefelt på skærmen og musemarkør til Windows-tablets
AppyMouse pegefelt på skærmen og musemarkør til Windows-tablets
Tabletbrugere savner ofte musemarkøren, især når de er vante til at bruge bærbare computere. Touchscreen-smartphones og tablets har mange fordele, og ...
Mus Midterste museknap fungerer ikke i Windows 10
Midterste museknap fungerer ikke i Windows 10
Det midterste museknap hjælper dig med at rulle gennem lange websider og skærme med en masse data. Hvis det stopper, vil du ende med at bruge tastatur...