5. Wireshark捕获并分析ARP报文
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验四Wireshark捕获ARP报文
一、捕获报文
启动Wireshark,清空ARP缓存,然后ping网关。
二、分析ARP协议
1.ARP请求报文和响应报文是封装在IP报文中还是封装在MAC
帧中发送?
2.ARP请求报文中目的MAC地址是什么?
3.对于ARP协议,其在MAC帧中的协议字段的值是多少?
4.封装ARP请求报文和响应报文的MAC帧,其目的地址分别
是什么?这说明ARP请求报文和响应报文分别是广播还是单
播发送?
5.根据捕获到的报文,分析ARP报文的格式,说明报文各字段
的作用?
6.如果要模拟某种ARP欺骗攻击,例如物理机欺骗虚拟机,说
自己是网关。该如何构造ARP响应报文?写出该ARP响应报
文的十六进制代码。
硬件类型:要转换成的地址类型,2字节。以太网为0001
协议类型:被转换高层协议类型,2字节。IP协议为0800
硬件地址长度:1字节。以太网为6字节48位,即06
协议长度:1字节。Ip地址为4字节32位,即04
操作类型:2字节。请求为0001,响应为0002,RARP为0003 发送方硬件地址:源主机MAC地址
发送发协议地址:源主机IP地址
目标硬件地址:目标主机MAC地址(请求包中为00-00-00-00-00-00)
目标协议地址:
物理机欺骗虚拟机时,发送ARP响应报文,单播。源主机本应为网关,但物理机欺骗虚拟机,即源主机IP地址填网关IP,硬件地址填物理机的硬件地址。目标主机为虚拟机。
0001 0800 06 04 0002 物理机硬件地址(欺骗用)10.1.65.254(网关IP) 虚拟机硬件地址虚拟机IP地址