Wireshark

ARP-paketanalys med Wireshark

ARP-paketanalys med Wireshark

Vad är ARP?

Adressupplösningsprotokoll används vanligtvis för att ta reda på MAC-adressen. ARP är ett länklagerprotokoll men det används när IPv4 används över Ethernet.

Varför vi behöver ARP?

Låt oss förstå med ett enkelt exempel.

Vi har en dator [PC1] med IP-adress 192.168.1.6 och vi vill pinga till en annan dator [PC2] vars IP-adress är 192.168.1.1. Nu har vi PC1 MAC-adress men vi vet inte PC2 MAC-adress och utan MAC-adress kan vi inte skicka något paket.

Låt oss nu se steg för steg.

Obs! Öppna kommandot i administrativt läge.

Steg 1: Kontrollera befintlig ARP på PC1. Kör arp -a på kommandoraden för att se befintlig ARP-post.

Här är skärmdumpen

Steg 2: Ta bort ARP-post. Kör arp -d kommando i kommandoraden. Och kör sedan arp -a för att se till att ARP-poster har raderats.

Här är skärmdumpen

Steg 3: Öppna Wireshark och starta den på PC1.

Steg 2: Utför kommandot nedan på PC1.

ping 192.168.1.1

Steg 3: Nu borde ping lyckas.

Här är skärmdumpen

Steg 4: Stoppa Wireshark.

Nu ska vi kontrollera vad som händer i bakgrunden när vi tar bort arp-post och ping till en ny IP-adress.

Egentligen när vi pingar 192.168.1.1, innan du skickade ICMP-förfrågningspaket utbyttes ARP-begäran och ARP-svarspaket. Så PC1 fick MAC-adress för PC2 och kunde skicka ICMP-paket.

Mer information om ICMP finns här

Analys på Wireshark:

ARP-pakettyper:

  1. ARP-begäran.
  2. ARP-svar.

Det finns andra två typer RARP-begäran och RARP-svar men används i specifika fall.

Låt oss komma tillbaka till vårt experiment.

Vi pingade till 192.168.1.1 så innan PCMP-begäran skickas ska PC1 skicka sändning ARP-begäran och PC2 ska skicka unicast ARP-svar.

Här är viktiga fält för ARP-begäran.

Så vi förstår att den huvudsakliga avsikten med ARP begär att få MAC-adressen till PC2.

Låt oss nu se ARP-svar i Wireshark.

ARP-svar skickas av PC2 efter att ha mottagit ARP-begäran.

Här är de viktiga områdena för ARP-svar.

Från detta ARP-svar går vi att PC1 fick PC2 MAC och uppdaterad ARP-tabell.

Nu borde ping lyckas eftersom ARP har lösts.

Här är ping-paketen

Andra viktiga ARP-paket:

RARP: Dess motsats till normal ARP som vi har diskuterat. Det betyder att du har MAC2-adressen för PC2 men att du inte har IP-adressen för PC2. Vissa specifika fall behöver RARP.

Gratuitös ARP: När ett system får en IP-adress efter det att systemet är gratis att skicka en kostnadsfri ARP som informerar nätverket om att jag har denna IP. Detta för att undvika IP-konflikt i samma nätverk.

Proxy ARP: Från namnet kan vi förstå att när en enhet skickar en ARP-begäran och får ett ARP-svar men inte utgör själva enheten. Det betyder att någon skickar ARP-svar om originalenhetens uppförande. Det implementeras av säkerhetsskäl.

Sammanfattning:

ARP-paket utbyts i bakgrunden när vi försöker komma åt en ny IP-adress

Spel Installera det senaste OpenRA-strategispelet på Ubuntu Linux
Installera det senaste OpenRA-strategispelet på Ubuntu Linux
OpenRA är en Libre / Free Real Time Strategy-spelmotor som återskapar de tidiga Westwood-spelen som det klassiska Command & Conquer: Red Alert. Distri...
Spel Installera senaste Dolphin Emulator för Gamecube & Wii på Linux
Installera senaste Dolphin Emulator för Gamecube & Wii på Linux
Dolphin Emulator låter dig spela dina valda Gamecube & Wii-spel på Linux Personal Computers (PC). Eftersom Dolphin Emulator är en fritt tillgänglig o...
Spel Hur man använder GameConqueror Cheat Engine i Linux
Hur man använder GameConqueror Cheat Engine i Linux
Artikeln täcker en guide om hur du använder GameConqueror-fuskmotorn i Linux. Många användare som spelar spel på Windows använder ofta applikationen "...