Wireshark

ARP-pakkeanalyse med Wireshark

ARP-pakkeanalyse med Wireshark

Hva er ARP?

Adresseoppløsningsprotokoll brukes vanligvis for å finne ut MAC-adressen. ARP er en koblingslagsprotokoll, men den brukes når IPv4 brukes over Ethernet.

Hvorfor vi trenger ARP?

La oss forstå det med et enkelt eksempel.

Vi har en datamaskin [PC1] med IP-adresse 192.168.1.6, og vi vil pinge til en annen datamaskin [PC2] med IP-adresse 192.168.1.1. Nå har vi PC1 MAC-adresse, men vi vet ikke PC2 MAC-adresse, og uten MAC-adresse kan vi ikke sende noen pakke.

La oss nå se trinn for trinn.

Merk: Åpne kommando i administrativ modus.

Trinn 1: Sjekk eksisterende ARP på PC1. Henrette arp -a på kommandolinjen for å se eksisterende ARP-oppføring.

Her er skjermbildet

Steg 2: Slett ARP-oppføring. Henrette arp -d kommando i kommandolinje. Og så utføre arp -a for å sikre at ARP-oppføringer er slettet.

Her er skjermbildet

Trinn 3: Åpne Wireshark og start den på PC1.

Steg 2: Utfør kommandoen nedenfor på PC1.

ping 192.168.1.1

Trinn 3: Nå skal ping lykkes.

Her er skjermbildet

Trinn 4: Stopp Wireshark.

Nå skal vi sjekke hva som skjer i bakgrunnen når vi sletter arp-oppføring og ping til en ny IP-adresse.

Egentlig når vi pinger 192.168.1.1, før du sendte ICMP-forespørselpakke, var det utveksling av ARP-forespørsel og ARP-svarpakke. Så PC1 fikk MAC-adressen til PC2 og kunne sende ICMP-pakken.

For mer informasjon om ICMP, se her

Analyse på Wireshark:

ARP-pakketyper:

  1. ARP-forespørsel.
  2. ARP Svar.

Det finnes andre to typer RARP-forespørsel og RARP-svar, men brukes i spesifikke tilfeller.

La oss komme tilbake til eksperimentet vårt.

Vi ping til 192.168.1.1 så før du sender ICMP-forespørsel, bør PC1 sende kringkasting ARP-forespørsel og PC2 skal sende unicast ARP svar.

Her er viktige felt for ARP-forespørsel.

Så vi forstår at hovedintensjonen med ARP ber om å få MAC-adressen til PC2.

La oss nå se ARP-svar i Wireshark.

ARP-svar sendes av PC2 etter mottak av ARP-forespørsel.

Her er de viktige feltene i ARP-svar.

Fra dette ARP-svaret går vi at PC1 fikk PC2 MAC og oppdatert ARP-tabell.

Nå skal ping lykkes ettersom ARP er løst.

Her er ping-pakkene

Andre viktige ARP-pakker:

RARP: Det er det motsatte av normal ARP som vi har diskutert. Det betyr at du har MAC-adressen til PC2, men at du ikke har IP-adressen til PC2. Noen spesifikke tilfeller trenger RARP.

Takknemlig ARP: Når et system får en IP-adresse etter at systemet er gratis å sende en gratis ARP som informerer nettverket om at jeg har denne IP-en. Dette er for å unngå IP-konflikt i samme nettverk.

Proxy ARP: Fra navnet kan vi forstå at når en enhet sender en ARP-forespørsel og får et ARP-svar, men ikke danner den faktiske enheten. Det betyr at noen sender ARP-svar på den originale enhetens oppførsel. Det er implementert av sikkerhetsgrunner.

Sammendrag:

ARP-pakker byttes ut i bakgrunnen når vi prøver å få tilgang til en ny IP-adresse

Spill SuperTuxKart for Linux
SuperTuxKart for Linux
SuperTuxKart er en flott tittel designet for å gi deg Mario Kart-opplevelsen gratis på Linux-systemet ditt. Det er ganske utfordrende og morsomt å spi...
Spill Kjemp om Wesnoth-opplæringen
Kjemp om Wesnoth-opplæringen
Kampen om Wesnoth er et av de mest populære open source-strategispillene du kan spille på dette tidspunktet. Ikke bare har dette spillet vært i utvikl...
Spill 0 A.D. Opplæringen
0 A.D. Opplæringen
Ut av de mange strategispillene der ute, 0 A.D. klarer å skille seg ut som en omfattende tittel og et veldig dypt, taktisk spill til tross for å være ...