wireshark——APR协议&IP协议

最新推荐文章于 2024-04-14 23:54:11 发布
最新推荐文章于 2024-04-14 23:54:11 发布
阅读量1.5k 收藏 8
点赞数 2
分类专栏: 网络渗透 文章标签: wireshark 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Woolemon/article/details/124086290
版权

文章目录


RFC即Request for Comments是定义各种协议实现标准的官方文档,ARP协议就是在RFC826中定义的,可以在RFC Editor的首页中搜索RFC文档下载浏览。

APR协议

原理:ARP(Address Resolution Protocol,地址解析协议)用于将IP地址解析为物理地址(MAC地址)的一个TCP/IP协议。

因为网络中用于连接各个设备的交换机使用了内容可寻址存储器(CAM,Coment Addressable Memory)。该存储器维护的ARP表列出了它在每一个端口的所有连接设备的MAC地址。所以当交换机收到了一个指向特定MAC地址的网络流量,它就会使用这个表,来确定应该使用哪一个端口发送流量。如果目标MAC地址是未知的,那么这个传输设备会首先在它的缓存中查找这个地址,如果没有找到,那么这个地址就需要通过在网络上额外的通信中解析了。

ARP协议的由来

因为OSI模型将网络分为了七层,而IP地址位于第三层,也就是网络层,MAC地址位于数据链路层,也就是第二层。在通过以太网发送IP数据包的时候,需要首先封装第三层和第二层的报头。但由于发送数据包时只知道目标IP地址,不知道其MAC地址,而又不能直接跨越第二、三层,所以需要地址解析协议。在使用了ARP协议后,计算机可以按照网络层IP数据包的头部信息,将硬件地址信息(MAC地址)对应起来,以保证通信的顺利进行。

ARP协议的基本功能

将一个已知的IP地址解析成MAC地址,以便主机之间可以正常地通信。

在这里插入图片描述

分析APR数据包

ARP协议的解析过程只使用了两种数据包:一个ARP请求和一个ARP响应

ARP协议工作原理

1、当主机A想要给主机B发送数据时,主机A会首先在自己的本地ARP缓存表中检查是否有主机B的IP地址相匹配的MAC地址。
2、如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。这个请求帧包含有主机A的IP地址和MAC地址,以及主机B的IP地址。
3、网络中凡是收到请求帧的主机都会检查自己的IP地址是否与请求地址一致,如果不一致,则会丢弃该请求帧;如果相同,该接收主机首先将发送端的MAC地址和IP地址添加到自己的ARP缓存列表中并给源主机发送一个
ARP响应数据包,告诉对方自己是它需要查找的MAC地址(单播)。
4、发送主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息向它开始数据的传输。

查看ARP缓存表:可以打开cmd,输入arp -a
本地的缓存是有生命周期的,默认的ARP缓存表的有效期是120秒,过期后,需要重复上述过程。

分析APR请求数据包

打开wireshark,找到ARP请求的数据包。我们可以通过Packet Details面板,检查以太网头部信息来确定这个数据包是不是一个真的广播数据包。

第一个数据包,来看看ARP的请求
在这里插入图片描述

分析
首先在Frame帧中,可以知道该数据包的大小为42个字节。
Ethernet部分的内容,会发现这个数据包目的地址是ff:ff:ff:ff:ff:ff,这是一个广播地址,说明当前数据包会被广播到当前网段中的所有设备上。而这个数据包中以太网的源地址就是本机的MAC地址。
展开ARP请求的头部信息。按照顺序依次为硬件类型、协议类型、硬件地址长度、协议长度、操作码(该值为1,表示这是一个ARP请求包)、发送方的MAC和IP地址,以及接收方的IP地址。因为我们想要获取的目标MAC地址还是未知的,因此就以全0的形式显示。

分析APR响应数据包

第二个数据包,来看看ARP的响应
在这里插入图片描述

ARP响应的数据包和ARP请求的数据包很相像。
不同之处:首先,用于响应的数据包的操作码(Opcode)现在是2,表明这是一个用于响应的数据包;其次,发送方的MAC地址和IP地址变成了目标MAC地址和IP地址;最后,响应数据包中的内容都是可用的,也就是说我们已经获取了192.168.0.1主机的MAC地址,即00:13:46:0b:22:ba,那么接下来就可以正常通信了。

分析免费ARP数据包

关于免费ARP(gratuitous ARP)的例子。

原理
由于网络中一个设备的IP地址是可以改变的,而MAC地址不会改变。那么一旦出现IP地址改变的情况,网络主机中缓存的IP和MAC地址映射就不再有效了。那么为了防止由于映射失败造成的通信错误,免费的ARP请求会被发送到网络中,强制所有收到它的设备使用新的IP以及MAC地址映射来更新缓存。通常,它发生在系统引导期间进行接口配置或IP地址出现变化的时候。
实现过程
为了网络上的所有主机都能收到它,数据包是以广播的形式发出的且发送方的IP地址和接收方的IP地址是一致的。网络中的其它主机收到这个数据包之后,它会让这些主机使用新的IP和MAC地址映射关系来更新它们的ARP表。由于这个ARP数据包是源主机未经请求主动发出的,并导致了目标主机更新了ARP缓存,所以称之为免费的ARP。

IP协议

原理:IP协议(Internet Protocol,互联网协议),是TCP/IP协议栈中最核心的协议之一,通过IP地址,保证了联网设备的唯一性,实现了网络通信的面向无连接和不可靠的传输功能。
IOS第三层网络层主要实现跨网络间的通信。

wireshark分析捕获文件的存活时间TTL和IP分片

存活时间(TTL,Time to Live)

  • 用于定义数据包的生存周期,也就是在该数据包被丢弃之前,所能够经历的时间,或者能够经过的最大路由数目。
  • 这个值是在数据包被创建的时候设置的,而且通常在每次发往一个路由器的时候会实现自减一的操作。一旦TTL的值变为了0,那么这个数据包就会被丢弃。
  • 由于TTL的值在技术上是基于时间的,那么一个非常繁忙的路由器可能会将TTL的值减去不止1,但是一般来说,我们还是可以认为一个路由设备在多数情况下只会将TTL的值减去1。

例子1:
在这里插入图片描述
分析
这个捕获文件中包含有两个ICMP(Internet Control Message Protocol,Internet控制报文协议)数据包,它使用了IP协议进行数据包的传递,查看Packet Details面板来展开IP的头部信息进行分析。
可以看到,IP的版本号为4,IP头的长度是20字节,总长度是60字节,并且TTL的值是128。其实这个捕获文件是从IP地址为10.10.0.3的设备将一个ICMP请求发往了IP地址为192.168.0.128的设备上。也就是使用了ping来测试设备之间的通信。而这个捕获文件就是在源主机上被创建的。

例子2:它是在目标主机,也就是IP地址为192.168.0.128的设备上捕获的。这里我们只关注第一个数据包的IP头部信息:
在这里插入图片描述
分析 可以发现,这里的TTL值变成了127,比原来的TTL少了1。就算我们不知道这个网络的结构,那么从TTL值推断出这两台设备之间是有一个路由器的,才使得TTL的值减少了1。

IP分片

  • IP数据包的分片指的是将一个数据流分为更小的片段,是IP用于解决跨越不同类型的网络时可靠传输的一个特性。
  • 数据包的分片主要基于OSI模型第二层的数据链路层协议所使用的最大传输单元(MTU,Maximum Transmission Unit)的大小,以及使用这些第二层协议的设备配置情况。
  • 在多数情况下,第二层所使用的数据链路层协议是以太网。而以太网的默认MTU是1500,那么以太网的网络上所能传输的最大数据包的大小就是1500字节。!注意这里面并不包括14字节大小的以太网头部本身。

应用场景:当一个设备准备传输一个IP数据包时,会首先将这个数据包的大小和将要把这个数据包传出去的网络接口的MTU进行比较,从而确定是否需要将这个数据包分片。如果数据包的大小大于MTU,那么这个数据包就会被分片。

应用步骤
(1)设备将数据分为若干个可以成功进行传输的数据包。
(2)每个IP头的总长度域(Total Length)会被设置为每个分片的片段长度。 (3)更多分片标志(More fragments)将会在数据流的所有数据包中设置为1,最后一个数据包则为0。
(4)IP头中分片部分的分片偏移将会被设置。
(5)数据包被发送出去。

例子3: 这里捕获文件同样是在发送ping请求时,在源主机上捕获的。
分析:首先查看一下数据包1的IP头部分,重点关注的是更多分片标志(More fragments)以及分片偏移(Fragment offset)。
在这里插入图片描述
由于在这个数据包中,更多分片标志被设置为了1,意味着这是一个分片数据包,并且接收设备还需要等待接收序列中的另一个数据包。而分片偏移被设置为了0,说明这个数据包是一系列分片偏移中的第一个。接下来查看一下第二个数据包的IP头:
在这里插入图片描述
这个数据包同样被设置了更多分片标志,而接下来的分片偏移的值是1480,这是因为前一个分片是1500字节,但是其中包含有20字节的IP头,因此到这里分片偏移就成了1480。再看一下第3个数据包:
在这里插入图片描述
可以看见这个数据包标志位为0,说明这是整个数据流的最后一个分片。分片偏移被设定为2960,也就是1480加上1480的结果。这三个分片之所以会被认为来自于同一个数据序列,是因为在Identification中,这三个数据包的值都是0x7474。

判断数据包是否来自同一个数据序列,看Identification中的值是否一致!

捕获IP数据包方法

使用ping
原因:能精确查找数据包。因为捕获到IP数据包有很多,比如我们打开一个网站,直接使用Wireshark会捕获到非常多的IP数据包。但也会捕获到非常多的诸如DNS、HTTP、TCP等协议的数据包,就不方便于我们的分析。但使用ping,这样就只会获取到ICMP协议的数据包。
使用步骤
1、首先我们可以在想要进行捕获的系统(如:虚拟机)上打开Wireshark,选择菜单栏的“Capture”->“Options”,进行如下相应的设置——最后start
在这里插入图片描述
2、在虚拟机上打开cmd,ping主机的IP地址,然后查看捕获结果

捕获IP分片数据包

设置和上面一样,但需要在ping上额外加上“-l 3000”,3000表示捕获的数据包的大小为3000。在wireshark打开捕获的数据包逐一展开ip头部分,观察标志位flags可以看见它们都是一样的,即说明这些数据包都是经过分片
进行发送的。

以上是我观看《Wireshark零基础入门到实战/网络抓包/流量分析必备》视频的笔记,记录下来温故知新,希望对你也有用!

w??oo.
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APR协议及RARP协议
一万HOURS的知识库
06-20 3330
1 逻辑地址和物理地址逻辑地址(IP):工作在网络层 全局唯一 用软件实现 日常以十进制方式表示,二进制为32位 接口的网络层地址 用于标识网络层(第3层)分组,支持分组转发 物理地址(LAN地址、以太网地址、硬件地址、链路地址、MAC地址):工作在网络接口层 本地范围唯一 用硬件实现 日常以16进制表示,二进制为48位 作用:用于局域网内标识一个帧从哪个接口发出,到达 哪个物理相连的其他接口 4
APR协议
weixin_34021089的博客
07-28 453
ARP协议(地址解析协议)ARP协议的分类:普通ARP、反向ARP(RARP)、免费ARP和代理ARP网络设备有数据要发送给另一台网络设备时,必须要知道对方的网络层地址(即IP地址)。IP地址由网络层来提供,但是仅有IP地址是不够的,IP数据报文必须封装成帧才能通过数据链路进行发送。数据帧必须要包含目的MAC地址,因此发送端还必须获取到目的MAC地址...
网络网络层之(2)ARP协议
Once_day的回忆
04-14 4029
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议,负责将IP地址映射为物理地址.通常所说的以太网的网卡是不识别IP地址的,而是通过识别MAC地址来判断该帧是否是给本机的。因此就需要提供一个机制根据目的主机的IP翻译出它的MAC地址。注意:像点对点链路(如PPP协议)是不需要MAC,也就不需要地址解析协议。历史上还有一个RARP协议 ,即逆地址解析协议,根据MAC解析出IP地址,现在已有DHCP协议代替。
APR协议及防御
wxh的博客
12-10 1251
目录 ARP 广播与广播域概述 ARP协议(网络层) ARP出现原因 原理: ARP攻击 方式: ARP防御 ARP 广播与广播域概述 广播域越大通信效率就会下降 交换机控制不了广播而路由器能够控制 ARP协议(网络层) ARP出现原因 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。其作用是在以太网环境中,数据的传输所依懒的是MAC地址而非IP地址,而将已知IP地址转换为MAC地址的工作是由ARP协议来完成...
网络知识点之-APR协议
2302_76241188的博客
05-06 2096
APR协议,即地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
OSI模型及其各个模型的解析、APR协议、DNS
qq_41841562的博客
07-19 592
数据链路层:提供介质访问和链路管理;    网络层:IP地址及路由选择,完成路径选择    传输层:建立,管理和维护端到端的连接    会话层:建立,管理和维护会话    表示层:数据格式转化、数据加密    应用层:为应用层程序提供服务     APR(地址解析协议):用来将IP地址转换为MAC地址。ARP是根据IP地址获取MAC地址的一个tcp/ip协议,主机发送信息时间包...
WiresharkIP协议分析.zip
03-11
在本案例中,我们关注的是WiresharkIP协议的分析,特别是IP数据包分片这一主题。提供的两个文件"ip.pcapng"和"ip_frag.pcapng"分别包含IP数据包和IP数据包分片的实例,这对于理解IP协议工作原理及其在网络传输中的...
Wireshark抓包分析TCP IP协议
05-03
通过抓包分析应用层协议,客户端软件和服务端软件通信,交互过程。 通过抓包工具分析传输层协议如何建立TCP连接,如何实现可靠传输,如何实现流量控制,通信完毕如何释放连接。 通过抓包工具分析网络层协议的封装。
Wireshark分析协议数据包
10-11
Wireshark中,我们可以分析多种协议的数据包,包括IP、UDP、TCP、ARP、ICMP以及DNS等。 **IP数据包格式**: IP数据包由多个字段组成,这些字段提供了关于数据包路由和处理所需的信息。例如,源IP地址和目的IP地址...
wireshark实验一:IP协议分析实验
03-16
wireshark实验一:IP协议分析实验 本实验旨在通过wireshark工具对IP协议进行分析,并使用traceroute程序来发送不同大小的数据包,以研究IP数据包的各个字段和分片机制。实验步骤包括:打开wireshark,开始数据包...
CIP以太网报文,可以用于wireshark打开
09-21
CIP协议以太网报文,可以用wireshark软件打开,适用于学习CIP报文解析,学习各种工业以太网协议可参考本人其他下载文件
计算机网络编程APR地址解析协议实现
06-24
网络编程中用ARP地址解析协议,用到了winpcap,利用虚拟的IP和MAC发送ARP请求来获得自己的IP和MAC地址,同时也可以在局域网中获得IP和MAC地址。在路由程序之中也用得到的一部分程序
TCP/IP协议族【第8章地址解析协议APR
bohu83的博客
11-12 1183
8.1 地址映射  在网络这一级,主机和路由器是通过它们的逻辑地址(IP地址)来识别的。逻辑地址在全局是唯一的。 在物理这一级别,主机和路由器通过本地地址来识别。 8.1.1 静态映射 把物理地址与逻辑地址映射到一张表。保存到每一台机器,缺点:需要定期更新 8.1.2 动态映射 使用协议根据逻辑地址找出静态地址。目前有两种协议: 地址解析协议APR):把逻辑地址解析成物理地址、
【计算机网络】实验四 APR
星渊龙骑的博客
12-09 2368
Objective To see how ARP (Address Resolution Protocol) works. ARP is an essential glue protocol that is used to join Ethernet and IP. It is covered in §5.6.4 of your text. Review the text section before doing this lab. 目的 看看ARP(地址解析协议)是如何工作的。 ARP是.
apr协议的使用粗解和练习
fakenews_next的博客
11-19 1386
每一台主机都有一个ARP高速缓存(ARP cache),用于保存本局城网上其它所有主机和路由器的IP地址到MAC地址的映射关系。 每当一台主机A要向本局域网中的另一台主机B发送数据报时,主机A就先从自己的ARP高速缓存中根据主机B的IP地址查找其MAC地址。如果找到主机B的映射记录,就把主机B的MAC地址封装到MAC帧中。 如果没找到,主机A就通过ARP协议获得主机B的MAC地址,并把主机B的映射记录写入自己的ARP高速缓存中。 ~aaaaaaaaaaaaaa 至此,主机A已经通过ARP成功得到了主机B的M
计网--- ARP 协议
https://juejin.cn/user/4248168663101239/posts
05-23 2177
拒绝服务攻击一. 拒绝服务攻击(Dos)① . 洪泛攻击②. 源地址欺骗③. SYN欺骗二. 分布式拒绝服务攻击(DDos)①. 反射攻击和放大攻击 一. 拒绝服务攻击(Dos) 拒绝服务攻击(Denial-of-Service Attack)亦称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。 ① . 洪泛攻击 最简单的经典DoS攻击就是洪泛攻击(flooding attack)。洪泛攻击的目标就是占据所有目标机构的网络连接的容量
ARP协议简析
Nick
10-02 623
两台计算机通信,需要知道对方的mac地址和对方的ip地址,而一开始,我们是不知道对方的mac地址的,但是通过ARP协议可以寻找到对方的mac地址。 Mac地址是计算机通信的基础,Mac地址相当于我们的身份证一样性质 我们先首先定义一下符号:SMac:源mac          DMac:目标mac          SIP:源IP           DIP:目标IP   首先,计算机会先...
地址解析协议(APR)
u011617097的博客
12-02 2194
概念地址解析协议, 即 ARP (Address Resolution Protocol)是根据IP地址获取物理地址的一个TCP/IP协议。 主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。作用建立局域网内主机间的MAC地址与IP
ARP协议
星落的博客
09-19 571
目录 ARP协议简介 ARP数据包的封装 ARP协议简介 ARP是Address Resolution Protocol(地址解析协议)的缩写。在以太网中,两台主机想要通信,就必须要知道目标主机的MAC地址。ARP协议的基本功能是在主机发送数据之前将目标IP转换为MAC地址,完成网络地址到物理地址的映射,以保证两台主机能够正常通信。 ARP数据包的封装 英文 中文 中文说明 Hardware type 硬件类型 用来定义运行ARP的网络类型。每个局域网基.
Wireshark抓包——ICMP协议分析实验分析
最新发布
06-16
Wireshark是一款强大的网络协议分析工具,它可以捕获和分析网络数据包,包括Internet Control Message Protocol (ICMP) 协议。在进行ICMP协议分析实验时,你会: 1. **启动抓包**:首先,打开Wireshark,通常选择...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值