Wireshark网络分析实战笔记(七)ARP和IP

最新推荐文章于 2023-04-22 15:16:48 发布
最新推荐文章于 2023-04-22 15:16:48 发布
阅读量848 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaron_si/article/details/51187529
版权
本文介绍了Wireshark在分析网络时如何处理ARP和IP数据包,包括ARP的正常频率、代理ARP的应用场景,以及IP的DNS名称解析和GeoIP查询。此外,还探讨了IP包分片问题,如最大传输单元(MTU)和最大报文段大小(MSS)的概念。
摘要由CSDN通过智能技术生成

ARP

 

工作场景中ARP数据包的数量级:

每台IP设备每分钟1-2个ARP数据包纯属合理。比方说,若网络中的设备数为100,则每分钟诞生200-300个或每秒钟诞生3-4个ARP数据包是合理的

即使每秒产生的数据包略多于3-4个(比如5-10个),也未必就有问题,但需要仔细查找原因

 

代理ARP的应用场合:

在一台路由器之前部署了WAN加速/优化设备:一旦将这种WAN加速/优化设备配置为桥接透明模式运行,此设备就会代替路由器应答ARP请求数据包

在服务器之前部署了以透明模式运行的防火墙、WAF以及其他设备

运行了某种特殊的软件:这种特殊的软件会安装在某台服务器上,但需为之分配一个有别于服务器的IP地址

 

 

IP

用源、目的DNS名称取代源、目的IP地址显示:

使用方法:在view菜单中选择name resolution菜单栏下enable for the network layer

wireshark会借用主机配置的DNS服务器,来执行IP地址和域名之间的转换。

把所抓数据包的源、目的IP地址转换为名称来显示,能有助于发现异常流量:

1、访问某特定公司不允许的web站点流量

2、软件自动升级所触发的流量

3、安装在内网主机的浏览器上的工具栏插件所触发的汹涌流量

 

利用GeoIP来查询IP地址的归属地:

wireshark支持GeoIP数据库来查询所抓数据包中的IP地址的归属地信息(包括:国家、城市、AS等)

最低0.47元/天 解锁文章
nceuaprsf
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Wireshark数据包分析实战(笔记) pdf .zip
03-26
四、流量分析和图形化功能 五、通用底层网络协议 六、常见高层网络协议 、基础的现实世界场景 八、让网络不再卡 九、安全领域的数据包分析 十、无线网络数据包分析 附录 A:其他数据包分析工具 附录 B:数据包分析...
Wireshark协议分析之ARP协议
马赛克的博客
03-08 1472
一:以太网帧 一个完整的以太网帧包含下面的内容: 1前同步码(前导码)(56比特=7字节) 2 标识以太网帧正式开始的定界符(分隔符SFD)(8比特=1字节) 3 目标MAC地址(48比特=6字节) 4 源MAC地址(48比特=6字节) 5 长度/类型字段(16比特=2字节) 6 第二层以太网帧里的数据体(46-1500字节) 7 数据体长度不足时填充(如果...
一站式学习Wireshark):Statistics统计工具功能详解与应用
maimang1001的专栏
03-03 2929
):Statistics统计工具功能详解与应用 · 一站式学习Wireshark · 看云看云是一个现代化文档写作、托管及数字出版平台,基于MarkDown语法和Git版本库管理,让你专注于知识创作,可以用于企业知识库、产品手册、项目文档和个人数字出版。https://www.kancloud.cn/digest/wireshark/62476 Wireshark一个强大的功能在于它的统计工具。使用Wireshark的时候,我们有各种类型的工具可供选择,从简单的如显示终端节点和会话到复杂的如Flow和
笔记本用户经常没几分钟就断网,记录第二次ARP引起的网络故障
不会处理故障的运维不是好程序员,WX:li669216072 只帮忙协助博客所遇到的类似问题
01-29 939
故障现象:小部分笔记本用户反映wifi网络无法使用,断网后重新连接WIFI后过一段时间或者一会就会重新无法使用,同时手持扫描仪的WIFI也不稳定,型号差,丢包多。 问题分析:如果一个用户网络不稳定,那可能怀疑该用户电脑或者网线引起,但是多个用户反映,同时出现故障的用户不在同一楼层,台式机并没有该问题,那么判断wifi引起的,先查AP控制器,发现并没有异常。 标题 ​​​​于是怀疑是不是ARP攻击引起的网络丢包。 打开ARP工具,结果开到如下信息: MAC地址前几个相同,制造型号前几个相同,检测到10
ARP指令,查看路由连接数
qq_43476358的博客
04-17 523
操作流程 win+r----)cmd ARP-d清理指令 ARP-a(在使用完编程式指令后查看) 编程式指令(业余人员可逐条复制下面两条指令执行,毕竟业务人员手打太残忍) for /l %i in (1,1,254) do ping -w 2 -n 1 192.168.0.%i for /l %i in (1,1,255) do start ping 192.168.0.%i 注意Windows下需要管理员权限的cmd窗口才可以执行ARP指令 ...
Wireshark网络分析实战.pdf
10-08
本书共分为14章,其内容涵盖了Wireshark的基础知识,抓包过滤器的用法,显示过滤器的用法,基本/高级信息统计工具的用法,Expert Info工具的用法,Wiresahrk在Ethernet、LAN及无线LAN中的用法,ARPIP故障分析,TCP...
Wireshark网络分析实战
07-22
资源名称:Wireshark网络分析实战资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
Wireshark数据包分析实战
02-23
本书是Wireshark数据包分析实战(第二版) 的PDF版 【美】Chris Sanders 著 诸葛建伟 陈霖 许伟林 译 人名邮电出版社 目录:1.数据包分析技术与网络基础 2.监听网络线路 3.Wireshark入门 。
radware负载均衡器组网架构
凯歌响起的博客
08-17 1413
radware经典架构配置
计算机网络:网络层(2):ICMP、ARP
good_jiojio的博客
05-05 1461
ICMP协议报文
网络入门-ARP
不定期分享一些自己的学习笔记
10-19 1716
网络入门-ARP
arp协议的主要功能是_【正点原子FPGA连载】第二十五章以太网ARP测试实验--领航者ZYNQ之linux开发指南...
weixin_39874809的博客
11-12 560
1)实验平台:正点原子领航者ZYNQ开发板2)平台购买地址:https://item.taobao.com/item.htm?&id=6061601087613)全套实验源码+手册+视频下载:http://www.openedv.com/docs/boards/fpga/zdyz_linhanz.html4)对正点原子FPGA感兴趣的同学可以加群讨论:8767449005)正点原子资料更新...
ARP协议分析
u012425770的博客
06-15 1984
ARP协议分析 **ARP(Address Resolution Protocol ,地址解析协议)**是根据IP地址获取物理地址的一个TCP/IP协议。 深入分析ARP工作流程 同网段通信: 假设主机PC1(192.168.0.102)要和PC2(192.168.0.100)通信。 (1)PC1在本地ARP缓存表中检查PC2匹配的MAC地址。 (2)如果PC1没有找到对应的条目,它将询问主机2的......
ARP协议详细解析(同网段传输,不同网段传输,免费ARP
最新发布
ZYH2597816991的博客
04-22 6707
免费 ARP(Gratuitous ARP)包是一种特殊的 ARP 请求,它并非期待得到 IP 对应的 MAC 地址,而是当主机启动的时候,发送一个 Gratuitous ARP 请求,即请求自己的 IP 地址的 MAC 地址。首先配置好路由器r1和r2的接口IP地址,然后使用 Wireshark 抓取r2的接口,进行抓包,将r2的接口IP地址改为r1的IP地址,ping该地址,打开wireshark进行数据包分析。目标MAC:路由器的MAC地址。目标MAC:PC1的MAC地址。源IP:PC1的IP地址。
linux网络编程之:接受网络中的ARP数据并分析(附C语言实现)
过往记忆大数据
04-16 8233
ARP协议是“Address Resolution Protocol”的缩写,它的作用是将IP地址转换成物理地址(就是常说的MAC地址),    协议ARP的分组格式如下: ------------------------------------------ 以太网目的地址(6个字节) 以太网源地址(6个字节) 帧类型(ARP = 0806)(2个字节) -------------------
Wireshark EndPoints窗口
bcbobo21cn的专栏
06-08 1266
端点,EndPoint,在此处指网络上能够发送或者接收数据的一台设备。 从WireShark的统计-EndPoint菜单,可以弹出EndPoints窗口; 此次捕获文件,Ethernet的端口地址有四个; 分别显示了各个地址的:包数量;收发的字节数;发送的包和字节数;接收的包和字节数; IPv4 端口地址有13个;显示了各个地址的包和字节数量; TCP端口...
查找ARP攻击源
weixin_30376163的博客
05-29 1666
问题: 内网有电脑中了ARP病毒,但是网络拓扑比较复杂、电脑数量较多,排查起来很困难。有什么方法可以找出ARP攻击源?【推荐3】排查方法: 1.使用Sniffer抓包。在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包,那么这台电脑一般就是病毒源。 原理:无论何种ARP病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所...
wireshark分析ARP协议
一个菜鸟的博客
09-07 8797
通过以太网发送IP数据包,需要先封装32位的IP地址和48位的MAC地址。由于发送数据包时仅仅知道目标IP地址,不指定对方MAC地址,就需要接着ARP协议通过IP地址去询问目标的MAC地址,才可以正常通信。 1、 PC1想发送数据到PC2,首先检测本地缓存ARP缓存表和PC2IP匹配的MAC。 2、如果没有找到此条目,那么PC1将广播一个ARP请求帧到本地网络的所有主机。本地网络上每台主机
Wireshark网络封包分析实战指南
"Wireshark是一个强大的网络封包分析软件,用于捕获和分析网络数据包,提供详细的网络封包信息。它以前称为Ethereal,并通过WinPCAP接口与网卡交互。Wireshark支持多种操作系统,包括Windows、Linux和macOS等。本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值