5. Wireshark捕获并分析ARP报文
ARP协议分析实验报告
ARP协议分析实验报告ARP(Address Resolution Protocol)协议是一种解决网际协议(IP)地址与物理硬件地址(MAC地址)之间转换的协议。
本次实验旨在分析ARP协议的工作原理和过程,并通过使用网络抓包工具Wireshark来捕获并分析ARP协议的数据包。
1.实验背景与目的2.实验步骤a)搭建网络环境:搭建一个基本的局域网环境,包括一个路由器和几台主机。
b) 启动Wireshark:在一台主机上启动Wireshark网络抓包工具。
c)发送ARP请求:使用另一台主机向目标主机发送ARP请求,获取目标主机的IP地址与MAC地址的对应关系。
d) 抓取数据包:在Wireshark中捕获并保存ARP协议的数据包。
e)分析数据包:打开捕获的数据包,分析数据包中的ARP请求和应答。
3.实验结果与分析实验中,我们使用两台主机进行测试,主机A的IP地址为192.168.1.100,MAC地址为00:11:22:33:44:55,主机B的IP地址为192.168.1.200,MAC地址为AA:BB:CC:DD:EE:FF。
a)ARP请求过程:主机A通过ARP协议发送ARP请求,询问主机B的MAC地址,具体操作为发送一个以太网帧,目标MAC地址为广播地址FF:FF:FF:FF:FF:FF,目标IP地址为主机B的IP地址192.168.1.200。
主机B收到ARP请求后,通过ARP应答将自己的MAC地址发送给主机A。
b)ARP应答过程:主机B收到ARP请求后,生成一个ARP应答数据包,将自己的MAC地址AA:BB:CC:DD:EE:FF作为回应发送给主机A。
主机A接收到ARP应答后,将主机B的IP地址与MAC地址的对应关系存储在本地ARP缓存中,以便于下次通信时直接使用。
4.结论与意义ARP协议作为解决IP地址与MAC地址转换的关键协议,在计算机网络中起着重要的作用。
本实验通过抓包分析ARP协议的工作过程,深入理解了ARP协议的原理和应用场景。
wireshark抓包实验报告
wireshark抓包实验报告Wireshark抓包实验报告1. 实验简介本次实验旨在通过使用Wireshark软件进行网络抓包,深入了解网络通信过程中的数据传输和协议交互。
通过分析抓包数据,我们可以了解网络流量的组成、协议的运作方式以及网络安全的相关问题。
2. 实验准备在进行实验之前,我们需要准备一台运行Wireshark软件的计算机,并连接到一个网络环境中。
Wireshark是一款开源的网络协议分析工具,可以在各种操作系统上运行。
安装并配置好Wireshark后,我们就可以开始进行抓包实验了。
3. 实验步骤3.1 启动Wireshark打开Wireshark软件,选择需要抓包的网络接口。
Wireshark会监听该接口上的所有网络流量,并将其显示在界面上。
3.2 开始抓包点击“开始”按钮,Wireshark开始抓取网络数据包。
此时,我们可以看到界面上实时显示的数据包信息,包括源地址、目标地址、协议类型等。
3.3 过滤抓包数据由于网络流量非常庞大,我们可以使用过滤器来筛选出我们感兴趣的数据包。
Wireshark提供了丰富的过滤器选项,可以根据协议、源地址、目标地址等条件进行过滤。
3.4 分析抓包数据选中某个数据包后,Wireshark会显示其详细信息,包括协议分层、数据字段等。
通过分析这些信息,我们可以了解数据包的结构和内容,进一步了解网络通信的细节。
4. 实验结果与讨论在实验过程中,我们抓取了一段时间内的网络流量,并进行了分析。
通过对抓包数据的观察和解读,我们得出了以下几点结果和讨论:4.1 协议分层在抓包数据中,我们可以清晰地看到各种协议的分层结构。
从物理层到应用层,每个协议都承担着不同的功能和责任。
通过分析协议分层,我们可以了解协议之间的关系,以及它们在网络通信中的作用。
4.2 数据传输过程通过分析抓包数据,我们可以追踪数据在网络中的传输过程。
我们可以看到数据包从源地址发送到目标地址的路径,了解中间经过的路由器和交换机等设备。
基于Wireshark的ARP欺骗分析及发现技术
收稿日期:2017-01-16 稿件编号:201701118
进 行 任 何 认 证 就 刷 新 自 己 的 ARP 高 速 缓 存 [8- 。 9] 利
基金项目:全军重大课题(AWS14J011)
作者简介:任 皓(1986—),女,辽宁鞍山人,硕士,工程师。研究方向:医疗信息化。 - 18 -
任 皓 基于 Wireshark 的 ARP 欺骗分析及发现技术
用这一点可以实现 ARP 欺骗,造成 ARP 缓存中毒 , [10] 将错误的 IP 地址和 MAC 地址的映射信息记录在自 己的 ARP 高速缓存中。
ARP 欺骗有两种实现方法。一种实现方法是利 用 ARP 请 求 [11- 。 12] 黑 客 主 机 可 以 发 送 ARP 请 求 ,在 ARP 请求的源 IP 地址和源 MAC 地址字段填充虚假 的信息。图 1 是利用 ARP 请求实施 ARP 欺骗的一个 示 例 。 主 机 A 的 IP 地 址 为 209.0.0.5,MAC 地 址 为 00-00-C0-15-AD-18。为了实施 ARP 欺骗,它采用 发送 ARP 请求的方法,源 IP 地址被填充为 209.0.0.7, 即主机 Z 的 IP 地址。当主机 A 广播欺骗性的 ARP 请 求时,网络中的主机都会相应更新自己的 ARP 高速 缓 存 ,把 IP 地 址 209.0.0.7 与 MAC 地 址 00- 00- C015-AD-18 联系在一起。此后这些主机需要向主机 Z 的 IP 地址发送数据包时,将依据 ARP 高速缓存中 的错误信息向主机 A 发送数据包。由于 ARP 请求以 广播的形式发送,一个包含欺骗性信息的 ARP 请求 将 刷 新 网 络 中 所 有 主 机 的 ARP 高 速 缓 存 ,影 响 面 大 。 这 是 一 种 优 势 也 是 一 种 缺 陷 ,缺 陷 主 要 在 于 欺 骗行为过于明显,容易被发现。此外,在图 1 所示的 示例中,当主机 A 发送 ARP 请求时,身份被伪造的主 机 Z 将弹出 IP 地址冲突的对话框,因为它发现一台 主机使用的 IP 地址与自己相同。身份被伪造的主机 可以通告网络管理员进行排查,发现实施 ARP 欺骗 的主机。
实验二-使用wireshark分析arp协议
计算机网络实验报告年级:姓名:学号:___________实验日期:_________________________实验名称:实验二:利用Wireshark分析ARP协议一、实验项目名称及实验项目编号ARP协议学习与分析二、课程名称及课程编号计算机网络三、实验目的和要求实验目的:通过本实验使学生:1.学习ARP协议的工作原理以及ARP分组格式;2.学习使用WireShark对ARP协议进行分析。
实验要求:实验结果分析报告名称:实验一 ARP协议实验结果分析_姓名.doc四、实验原理Wireshark介绍Wireshark 是网络包分析工具。
网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。
网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具,Wireshark 是最好的开源网络分析软件。
Wireshark的主要应用如下:(1)网络管理员用来解决网络问题(2)网络安全工程师用来检测安全隐患(3)开发人员用来测试协议执行情况(4)用来学习网络协议(5)除了上面提到的,Wireshark还可以用在其它许多场合。
Wireshark的主要特性(1)支持UNIX和Windows平台(2)在接口实时捕捉包(3)能详细显示包的详细协议信息(4)可以打开/保存捕捉的包(5)可以导入导出其他捕捉程序支持的包数据格式(6)可以通过多种方式过滤包(7)多种方式查找包(8)通过过滤以多种色彩显示包(9)创建多种统计分析五、实验内容1.了解数据包分析软件Wireshark的基本情况;2.安装数据包分析软件Wireshark;3.配置分析软件Wireshark;4.对本机网卡抓数据包;5.分析各种数据包。
六、实验方法及步骤1.Wireshark的安装及界面(1)Wireshark的安装(2)Wireshark的界面启动Wireshark之后,主界面如图:主菜单项:主菜单包括以下几个项目:File包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。
arp实验报告总结
arp实验报告总结本次ARP实验旨在深入理解和掌握ARP协议的工作原理及其在局域网中的应用。
在实验中,我们通过使用Wireshark抓包工具进行观察和分析ARP报文的发送和接收过程,并进行了相关的数据分析和实验总结。
首先,我们了解到ARP(Address Resolution Protocol)是一种用于将IP地址映射到物理MAC地址的网络协议。
它通过在局域网中的ARP缓存表中查找目标IP 地址对应的MAC地址,从而实现通信。
如果ARP缓存表中没有所需的条目,则需要发送ARP请求广播以获取目标MAC地址。
在实验过程中,我们模拟了一个简化的局域网环境,并配置了多个主机和交换机。
我们首先发送ARP请求广播以获取某个主机的MAC地址,并观察到该主机收到了ARP请求,并回复了ARP应答报文,包含了其MAC地址。
通过分析抓包数据,我们确认了ARP协议的正常工作。
另外,我们还模拟了一个主机更换IP地址的场景,并在主机的ARP缓存表中观察到相关条目的变化。
我们发现,当主机更换IP地址后,其ARP缓存表中旧的IP地址对应的条目被删除,并添加了新的IP地址对应的条目。
这进一步验证了ARP协议在IP地址和MAC地址映射中的重要性。
通过本次实验,我们对ARP协议的工作原理有了更深入的了解。
我们掌握了ARP报文的格式及其在局域网中的使用方式,以及如何使用工具进行ARP数据的捕获和分析。
此外,我们还学会了如何通过发送ARP请求广播来获取目标主机的MAC地址,以及如何检查和验证ARP缓存表中的内容。
总之,本次ARP实验通过实际操作和数据分析,加深了我们对ARP协议的理解。
我们深入掌握了ARP的工作原理,包括ARP请求和应答的过程,以及IP地址和MAC地址的映射关系。
通过此次实验,我们进一步提高了对网络协议的认识和实践能力。
arp协议实验报告
arp协议实验报告
ARP协议实验报告
实验目的:
本实验旨在通过对ARP协议的实验,加深对ARP协议的理解,掌握ARP协议
的工作原理和实际应用。
实验设备和材料:
1. 两台计算机
2. 一台路由器
3. 以太网交换机
4. 网线
5. ARP协议相关软件
实验步骤:
1. 搭建实验环境,将两台计算机连接到同一个局域网中,通过路由器和交换机
进行连接。
2. 在计算机A上,使用ARP协议相关软件发送ARP请求,获取计算机B的
MAC地址。
3. 在计算机B上,接收到ARP请求后,发送ARP应答,将自己的MAC地址发
送给计算机A。
4. 计算机A收到ARP应答后,将计算机B的IP地址和MAC地址建立映射关系,并保存在ARP缓存中。
5. 使用Wireshark等网络抓包工具,分析实验过程中的ARP请求和应答的数据包。
实验结果:
通过实验,我们成功地获取到了计算机B的MAC地址,并建立了IP地址和MAC地址的映射关系。
在抓包分析中,我们也可以清晰地看到ARP请求和应答的数据包,进一步加深了对ARP协议的理解。
实验总结:
ARP协议是解决IP地址和MAC地址之间映射关系的重要协议,在局域网中起着至关重要的作用。
通过本次实验,我们对ARP协议的工作原理有了更深入的了解,也掌握了ARP协议的实际应用方法。
希望通过这次实验,能够对同学们的网络协议学习有所帮助。
wireshark arp协议总结
wireshark arp协议总结
ARP(Address Resolution Protocol)是一个用于在网络层和物理层之间进行地址解析(Address Resolution)的协议。
以下是Wireshark中ARP协议的一些总结:
1. ARP请求与响应是用于查找主机MAC地址的。
2. ARP请求包含目标IP地址,在请求发送之前,主机会对目标IP地址进行查询,以获取目标主机的MAC地址。
3. ARP响应包含目标主机的MAC地址,发送地址和接收地址都为目标主机的MAC地址。
4. ARP有两种类型:请求和响应。
5. ARP协议使用广播,发送ARP请求到所有主机以获取目标主机的MAC地址。
6. ARP缓存用于缓存最近的地址解析结果,以便在以后的请求中更快地查找地址。
7. ARP请求和响应都可以被欺骗,通过欺骗,攻击者可以发送虚假网络流量来故意误导另一端主机,以达到攻击其他主机的目的。
8. ARP欺骗可以通过使用ARP缓存来诱导主机向攻击者发送流量,而不是正确的目标主机。
9. ARP欺骗可以被发现,有些工具如Arpwatch可以通过监控网络流量来检测攻击行为。
抓包分析(以太网帧 ARP)
网络抓包分析实验报告一:实验目的:1.学习使用网络数据抓包软件Ethereal,对互连网进行数据抓包,巩固对所学知识的理解二:实验内容:1:分析以太网帧格式。
2:分析ARP报文格式。
三:实验工具Wireshark抓包软件四:实验步骤1、安装Wireshark,简单描述安装步骤。
2、打开wireshark,选择接口选项列表。
或单击“Capture”,配置“option”选项。
3、设置完成后,点击“start”开始抓包,显示结果。
4、选择某一行抓包结果,双击查看此数据包具体结构五:分析1.以太网帧格式:以太网共有4种个格式一):Ethernet II是DIX以太网联盟推出的,它由6个字节的目的MAC地址,6个字节的源MAC 地址,2个字节的类型域(用于表示装在这个Frame、里面数据的类型),以上为Frame Header,接下来是46--1500 字节的数据,和4字节的帧校验)二):Novell Ethernet它的帧头与Ethernet有所不同其中EthernetII帧头中的类型域变成了长度域,后面接着的两个字节为0xFFFF用于标示这个帧是Novell Ether类型的Frame,由于前面的0xFFFF站掉了两个字节所以数据域缩小为44-1498个字节,帧校验不变。
三):IEEE 802.3/802.2802.3的Frame Header和Ethernet II的帧头有所不同,它把EthernetII类型域变成了长度域(与Novell Ethernet相同)。
其中又引入802.2协议(LLC)在802.3帧头后面添加了一个LLC首部,由DSAP(Destination Service Access Point) 1 byte,SSAP(Source SAP) 1 byte,一个控制域 1 byte! SAP用于表示帧的上层协议。
四):Ethernet SNAPEthernet SNAP Frame与802.3/802.2 Frame的最大区别是增加了一个5 Bytes的SNAP ID,其中前面3个byte通常与源mac地址的前三个bytes相同,为厂商代码!有时也可设为0。
wireshark抓包分析
wireshark抓包分析Wireshark抓包分析是一种网络安全技术,通过对网络数据包的捕捉和分析,可以深入了解网络通信过程中所传输的数据内容和各层协议的运行情况。
本文将从Wireshark抓包的基本原理、抓包的过程、常见应用场景以及分析方法等方面进行详细介绍。
首先,我们来了解一下Wireshark抓包的基本原理。
Wireshark是一款开放源代码的网络协议分析工具,可以在不同的操作系统上运行。
它使用网络接口(如网卡)来捕捉通过该接口的数据包,并对数据包进行解析和展示。
通过Wireshark的捕包功能,我们可以观察和分析网络通信过程中发送和接收的数据包,从而深入了解网络的运行情况和数据内容。
要进行Wireshark抓包,首先需要安装Wireshark软件,并打开它的图形界面。
在Wireshark的主界面上,我们可以选择要进行抓包的接口,如以太网、无线网卡等。
选择好接口后,点击开始按钮即可开始抓包。
在抓包过程中,Wireshark会实时捕捉到通过选择的接口发送和接收的数据包,并以列表的形式展示出来。
Wireshark抓包可以应用于各种网络场景中,例如网络故障排查、网络性能优化、网络安全分析等。
在网络故障排查方面,我们可以通过抓包分析来确定网络中出现的故障原因,找出导致网络延迟、丢包或连接中断的根源。
在网络性能优化方面,我们可以通过抓包分析来评估网络的带宽使用情况,找出网络瓶颈所在,并采取相应的措施来提高网络性能。
在网络安全分析方面,我们可以通过抓包分析来检测和识别网络中的恶意流量和攻击行为,以及监测网络中的异常行为和数据泄露等情况。
对于Wireshark抓包的分析方法,首先我们可以从数据包的基本信息入手,了解到达和离开主机的数据包的源地址和目的地址。
通过IP地址和端口号的对应关系,我们可以知道数据包的发送者和接收者,以及它们之间建立的连接。
其次,我们可以进一步分析数据包的内容,了解TCP、UDP、HTTP等各个层次的协议头的具体内容和传输过程。
抓包arp报文解析
抓包arp报文解析****在计算机网络的世界中,抓包和报文解析是网络诊断和调试的重要手段。
ARP(Address Resolution Protocol)报文作为IP地址与MAC地址转换的关键,了解其结构和解析方法对于网络管理人员和技术爱好者来说至关重要。
本文将详细介绍如何抓取ARP报文并进行解析。
---**抓包ARP报文解析**### 1.抓取ARP报文首先,我们需要使用抓包工具来捕获网络中的ARP报文。
Wireshark是最常用的抓包工具之一,以下是其基本操作步骤:- 下载并安装Wireshark。
- 打开Wireshark,选择正确的网络接口开始捕获数据包。
- 在过滤栏输入`arp`以只显示ARP相关的报文。
- 进行网络活动(如尝试ping另一台设备),以触发ARP请求和响应。
### 2.ARP报文结构一旦捕获到ARP报文,我们可以看到它包含以下主要字段:- **硬件类型(Hardware Type)**:指明网络硬件的类型,例如以太网为0x01。
- **协议类型(Protocol Type)**:通常为IPv4,其值为0x0800。
- **硬件地址长度(Hardware Address Length)**:指硬件地址的长度,以太网MAC地址长度为6。
- **协议地址长度(Protocol Address Length)**:指IP地址的长度,IPv4地址长度为4。
- **操作码(Opcode)**:标识ARP请求(1)或ARP响应(2)。
- **发送者硬件地址(Sender Hardware Address)**:发送方的MAC 地址。
- **发送者协议地址(Sender Protocol Address)**:发送方的IP地址。
- **目标硬件地址(Target Hardware Address)**:接收方的MAC地址(在ARP请求中通常为全0)。
- **目标协议地址(Target Protocol Address)**:接收方的IP地址。
利用wireshark进行网络数据捕获的实验报告总结
利用wireshark进行网络数据捕获的实验报告总结标题:利用Wireshark进行网络数据捕获的实验报告总结摘要:本文是对利用Wireshark进行网络数据捕获实验的总结与回顾。
通过使用Wireshark这一强大的网络分析工具,我们可以深入了解网络通信过程中的数据包交互,以及分析网络流量中的各种信息。
本文将从简到繁,由浅入深地介绍了Wireshark的使用方法,展示了对不同协议的数据包的截取和解析过程,并探讨了实验过程中遇到的一些常见问题和解决方案。
1. 引言在当今网络化的时代,了解网络数据的传输和交互过程对于网络管理和安全至关重要。
Wireshark作为一款免费的开源软件,提供了强大的网络数据分析能力,成为网络技术人员必备的工具之一。
本文将通过实验报告的形式,总结并回顾利用Wireshark进行网络数据捕获的经验,包括实验目的、实验过程和实验结果。
2. 实验目的在实验中,我们的主要目的是掌握Wireshark的基本使用方法,包括安装和配置、捕获网络数据包、过滤和解析数据包等。
通过实际操作了解网络通信过程中的数据包结构和各层协议的使用,从而提高对网络数据的理解和分析能力。
3. 实验步骤及过程3.1 安装与配置Wireshark我们首先介绍了Wireshark软件的下载、安装和基础配置,包括设置捕获接口、指定过滤器等。
通过正确配置Wireshark,我们能够准确地对特定网络接口进行数据包捕获。
3.2 捕获网络数据包接下来,我们详细介绍了如何在Wireshark中开始数据包捕获。
通过选择合适的网络接口和过滤器,我们可以针对特定的网络流量进行捕获,并将捕获的数据包保存为pcap文件以供后续分析。
3.3 过滤和解析数据包Wireshark支持强大的过滤功能,我们通过示例解释了过滤器的语法和使用方法,从而能够更加灵活地过滤和查找我们感兴趣的数据包。
我们还介绍了Wireshark的解析功能,用于解析各种网络协议的数据包,并展示了如何获取关键信息。
5.Wireshark捕获并分析ARP报文
5.Wireshark捕获并分析ARP报⽂实验四Wireshark捕获ARP报⽂⼀、捕获报⽂启动Wireshark,清空ARP缓存,然后ping⽹关。
⼆、分析ARP协议1.ARP请求报⽂和响应报⽂是封装在IP报⽂中还是封装在MAC帧中发送?2.ARP请求报⽂中⽬的MAC地址是什么?3.对于ARP协议,其在MAC帧中的协议字段的值是多少?4.封装ARP请求报⽂和响应报⽂的MAC帧,其⽬的地址分别是什么?这说明ARP请求报⽂和响应报⽂分别是⼴播还是单播发送?5.根据捕获到的报⽂,分析ARP报⽂的格式,说明报⽂各字段的作⽤?6.如果要模拟某种ARP欺骗攻击,例如物理机欺骗虚拟机,说⾃⼰是⽹关。
该如何构造ARP响应报⽂?写出该ARP响应报⽂的⼗六进制代码。
硬件类型:要转换成的地址类型,2字节。
以太⽹为0001协议类型:被转换⾼层协议类型,2字节。
IP协议为0800硬件地址长度:1字节。
以太⽹为6字节48位,即06协议长度:1字节。
Ip地址为4字节32位,即04操作类型:2字节。
请求为0001,响应为0002,RARP为0003 发送⽅硬件地址:源主机MAC地址发送发协议地址:源主机IP地址⽬标硬件地址:⽬标主机MAC地址(请求包中为00-00-00-00-00-00)⽬标协议地址:物理机欺骗虚拟机时,发送ARP响应报⽂,单播。
源主机本应为⽹关,但物理机欺骗虚拟机,即源主机IP地址填⽹关IP,硬件地址填物理机的硬件地址。
⽬标主机为虚拟机。
0001 0800 06 04 0002 物理机硬件地址(欺骗⽤)10.1.65.254(⽹关IP) 虚拟机硬件地址虚拟机IP地址。
ARP协议分析实验报告
ARP协议分析实验报告实验目的:对ARP协议进行深入分析,了解其工作原理和应用场景。
实验过程:1. ARP(Address Resolution Protocol)是一种用于将IP地址映射到MAC地址的网络协议。
在进行ARP分析前,我们先了解一下ARP的基本原理。
2.当主机A要发送数据包给主机B时,需要知道主机B的MAC地址。
主机A会先在本地ARP缓存中查找主机B的MAC地址。
如果缓存中没有记录,则主机A会发送一个ARP请求广播到局域网上,请求主机B的MAC地址。
3.主机B收到ARP请求后,会向主机A发送一个ARP响应,其中包含自己的MAC地址。
4.主机A收到主机B的ARP响应后,会将主机B的MAC地址记录在ARP缓存中,并将数据包发送给主机B。
5. 在本次实验中,我们使用Wireshark工具对ARP协议进行抓包分析。
通过查看抓包数据,我们可以了解ARP协议的详细过程和相关字段。
实验结果:1.在抓包数据中,我们可以看到ARP请求和ARP响应的数据包。
ARP 请求包中包含了发送方的MAC地址、IP地址、目标IP地址等信息。
ARP 响应包中包含了目标的MAC地址。
2. 我们可以通过Wireshark工具查看每个ARP数据包的详细信息,包括源MAC地址、目标MAC地址、源IP地址、目标IP地址等字段。
3.我们还可以观察到ARP实际通信的过程,包括ARP请求广播和ARP响应的单播。
4.通过对ARP协议的抓包分析,我们可以更加深入地了解ARP的工作原理和实际应用。
实验结论:1.ARP协议是一种重要的网络协议,用于解决IP地址到MAC地址的映射问题。
在局域网中,ARP协议是实现数据传输的基础。
2.通过对ARP协议的抓包分析,我们可以了解ARP协议的具体实现过程,包括ARP请求和ARP响应的细节。
3.ARP协议在网络通信中起着至关重要的作用,了解其工作原理对我们理解网络通信机制和故障排查都是非常有帮助的。
4.在今后的网络实验中,我们可以继续对其他重要协议进行深入研究和分析,提升我们对网络通信的理解和掌握程度。
用Wireshark抓取arp、snmp、icmp、dhcp等报文的方法
1.ARP 基础知识学习1.1.ARP 协议的概念ARP ,即地址解析协议,实现通过IP得知其物理地址。
在CP/IP网络环境下,每个主机分配了一个32位的IP地址,这种互联网地址是在网际范围表示主机的一种逻辑地址。
为了让报文在物理线路上的传输,必须知道对方目的主机的物理地址。
这样就存在把IP地址变成物理地址的转换问题。
一以太网环境为例,为了正确的向目的主机传送报文,就必须将主机的32位IP地址转换成48位的以太网的地址。
这就需要在互联层有一组服务将IP地址转换成物理地址,这组协议就是ARP协议。
1.2 ARP 协议实现的基本功能在以太网协议中,同一局域网中的一台主机要和另一台主机进行直接通信,必须知道目标主机的MAC地址。
而在TCP/IP协议栈中,网络层和传输层只关心目标主机的IP地址。
这就导致再以太网中使用IP协议时,数据链路层的以太网协议连接到上层IP协议提供的数据中,只包含目的的IP地址。
于是需要一种方法,更具目的主机的IP的地址,获取其MAC 地址。
这就是ARP协议要做的事。
所谓地址解析(address resolution)就是主机再发送阵前将目标地址转换成目标MAC地址的过程。
另外,当发送主机和目标及不在同一个局域网时,即便知道目的主机的MAC地址,两者也不能直接通信,必须有路由转发才行。
所以此时,发送主机通过ARP协议获得的将不是目的主机的真实MAC地址,而是一台可以通往局域网外地路由器的某个端口的MAC 地址。
于是此后发送主机发送目的和主机的所有帧,都将发往该路由,通过他向外发送。
这种情况成为ARP代理(ARP Proxy).1.3 工作的原理每台装有TCP/IP协议的电脑里都有一个ARP缓存表,表里IP与MAC地址是一一对应的。
例如,主机A (192.168.1.5)主机B(192.168.1.1)发送数据.当发送数据时,主机A 会在自己的ARP缓存表中查找是否有目标IP地址。
Wireshark教程ARP抓包分析
ARP抓包实验一.数据截图二.分析1.ARP请求报文从截图中可以看出硬件类型(hardware type)是以太网(0x0001)。
协议类型(protocol type)为0x0800,表示使用ARP的协议类型为IPV4。
硬件地址长度(hardware size)为6。
协议地址长度(protocol size)为4,操作类型(opcode)为0x0001,表示报文类型为ARP请求。
发送方硬件地址(sender MAC address)为00:23:8b:d4:a6:04,定义了发送方的硬件地址。
发送方协议地址(sender IP address)为192.168.0.101,定义发送方的协议地址。
目的硬件地址(targetMAC address)为00:00:00:00:00:00,表示是广播地址。
目的协议地址(target IP address)为192.168.0.103,定义目的设备的协议地址。
2.ARP应答报文硬件类型为以太网。
协议类型为IP(0x0800)。
硬件地址长度为6,协议地址长度为4,操作类型为2(0x0002),表示为ARP应答报文。
发送方硬件地址为00:26:c6:8c:de:0c,发送方IP地址为192.168.0.103。
目的硬件地址为00:23:8b:d4:a6:04,目的协议地址为192.168.0.101。
ARP请求报文中在发送方硬件地址字段填上本机的物理地址,在发送方IP地址字段填入本机的协议地址,在目的协议地址字段填入准备解析的目的主机IP地址,以广播方式在以太网上发送。
在ARP 应答报文中,目的主机将收到的ARP请求报文中的发送方硬件地址和IP地址放入目的硬件地址和目的协议地址,在发送方硬件地址和发送方协议地址中分别填入自己的硬件地址和协议地址,在以太网上单播发送。
计算机网络练习之使用WireShark捕获和分析数据包
以太帧和ARP包协议分析实验一、目的1、理解以太帧格式2、理解ARP协议格式和ARP 协议的工作原理二、实验类型验证类实验三、实验步骤一:运行wireshark开始捕获数据包,如图所示点击第二行的start开始捕获数据包。
启动界面:抓包界面的启动是按file下的按钮(或capture下的interfaces)之后会出现这个是网卡的显示,因为我有虚拟机所以会显示虚拟网卡,我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包。
(捕捉本地连接对应的网卡,可用ipconfig/all 查看)二:几分钟后就捕获到许多的数据包了,主界面如图所示:如上图所示,可看到很多捕获的数据。
第一列是捕获数据的编号;第二列是捕获数据的相对时间,从开始捕获算为0.000秒;第三列是源地址,第四列是目的地址;第五列是数据包的信息。
选中第一个数据帧,然后从整体上看看Wireshark的窗口,主要被分成三部分。
上面部分是所有数据帧的列表;中间部分是数据帧的描述信息;下面部分是帧里面的数据。
三:开始分析数据1.打开“命令提示符”窗口,使用“arp -a”命令查看本地计算机ARP高速缓存。
2.使用“arp -d”命令清除本地计算机ARP高速缓存,再使用“arp -a”命令查看。
此时,本地计算机ARP高速缓存为空。
3.在下图中Filter后面的编辑框中输入:arp(注意是小写),然后回车或者点击“Apply”按钮将计算机与数据设备相连(3928或路由器),参见静态路由配置。
3.此时,网络协议分析软件开始捕获数据,在“命令提示符”窗口中PING同一子网中的任意主机。
(计算机Aping计算机B)因为PING命令的参数为IP地址,因此使用PING命令前,需要使用ARP机制将IP地址转换为MAC地址,这个过程用户是无法感知的。
因为我们在使用PING命令前已经开始网络数据包捕获,因此,此时网络协议分析软件将捕获到ARP解析数据包。
从抓包分析角度分析arp攻击
从抓包分析角度分析arp攻击展开全文什么是arp攻击?ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
所以要判断网络中是否有arp攻击,一个重要的判断依据是:内网是否有大量的异常arp响应包ARP攻击数据包分析过程1.检查内网是否有大量异常的arp响应包网络越大arp响应包就有可能越多,如果仅从arp响应包的数量来看,并不能准确判断内网是否存在arp异常响应。
要准确判断内网是否存在arp欺骗,需要看arp响应包数量是否远远大于arp请求包的数量,arp响应包远远大于arp请求包的情况见下图:2.找出发送大量arp回应包的MAC地址对arp协议包进行分析,发现MAC地址 00:0B:2F:00:AD:80大量发送arp响应包的情况,并且响应的内容是:00:0B:2F:00:AD:80 的 IP是192.168.1.254,如下图所示:3.确认对应MAC地址是否存在伪装其他IP的情况从其他非arp协议的通信看,192.168.1.254对应的MAC地址是:00:0E:A0:00:81:BB ,可以判断00:0B:2F:00:AD:80 有伪装成192.168.1.254的情况,如下图所示:4.确认问题MAC地址的真实IP从其他非arp协议(netbios协议)的通信看,MAC地址:00:0B:2F:00:AD:80 使用的IP是192.168.1.22,判断00:0B:2F:00:AD:80正在使用的IP就是192.168.1.22,如下图所示:5.分析结论MAC地址:00:0B:2F:00:AD:80 使用的IP是192.168.1.22,伪装成192.168.1.254。
wireshark检索报文内容
Wireshark是一款开源的网络分析工具,能够捕获和分析网络报文。
在网络安全、网络优化和网络故障排查等领域,Wireshark都有着重要的作用。
本文将介绍Wireshark检索报文内容的相关内容,包括报文捕获、过滤和分析等方面。
一、报文捕获Wireshark能够捕获通过网络接口传输的所有报文,无论是来自于本机还是网络上的其他主机。
用户可以通过选择相应的网络接口来进行报文捕获,并且可以设置捕获过滤器以只捕获特定类型的报文。
捕获的报文将以列表的形式展现,每条报文包括源位置区域、目的位置区域、协议类型、报文长度等信息。
二、报文过滤在Wireshark中,用户可以使用各种过滤器对捕获的报文进行过滤,以便筛选出特定条件下的报文进行分析。
常见的过滤器包括IP位置区域过滤、协议类型过滤、端口号过滤等。
用户可以使用逻辑运算符和条件语句对多个过滤条件进行组合,以实现更精确的报文过滤。
三、报文分析Wireshark提供了丰富的报文分析功能,用户可以对捕获的报文进行深入的解析和分析。
用户可以查看每条报文的详细内容,包括报文头部信息、报文载荷数据等。
Wireshark还提供了统计信息、流量图表、协议分层分析等功能,帮助用户更好地理解和分析网络报文。
四、报文搜索Wireshark还提供了强大的搜索功能,用户可以根据关键词、协议类型、源位置区域、目的位置区域等条件进行报文搜索。
Wireshark支持通配符搜索、正则表达式搜索等高级搜索功能,帮助用户快速定位到感兴趣的报文内容。
五、报文保存与导出在完成报文分析后,用户可以将捕获的报文保存为Wireshark专有的文件格式(*.pcapng),以便日后的查看和分析。
用户还可以将分析结果导出为文本文件、XML文件、CSV文件等格式,以方便与其他工具进行集成和共享。
Wireshark检索报文内容的功能十分强大,能够满足用户对报文内容进行捕获、过滤、分析、搜索等多方面的需求。
在网络管理、网络安全、网络故障排查等方面,Wireshark都能够发挥重要作用,为用户提供可靠的网络分析支持。
计算机网络实验利用wireshark分析ARP协议—实验六实验报告
信息网络技术实验报告实验名称利用wireshark分析ARP协议实验编号 6.1姓名学号成绩2.6常见网络协议分析实验一、实验室名称:电子政务可视化再现实验室二、实验项目名称:利用wireshark分析ARP协议三、实验原理:Wireshark:Wireshark 是网络包分析工具。
网络包分析工具的主要作用是尝试获取网络包,并尝试显示包的尽可能详细的情况。
网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具,Wireshark 是最好的开源网络分析软件。
当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是根据48bit 的以太网地址来确定目的接口的.设备驱动程序从不检查IP数据报中的目的IP地址。
地址解析为这两种不同的地址形式提供映射:32bit的IP地址和数据链路层使用的任何类型的地址。
ARP根据IP地址获取物理地址的一个TCP/IP协议。
ARP为IP地址到对应的硬件地址之间提供动态映射。
主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。
四、实验目的:目的是通过实验加深对数据包的认识,网络信息传输过程的理解,加深对协议的理解,并了解协议的结构与区别。
利用wireshark捕获发生在ping过程中的ARP报文,加强对ARP协议的理解,掌握ARP报文格式,掌握ARP请求报文和应答报文的区别。
五、实验内容:利用wireshark分析ARP协议六、实验器材(设备、元器件)运行Windows的计算机,带有并正确安装网卡;wireshark软件;具备路由器、交换机等网络设备的网络连接。
arp实验总结
arp实验总结ARP实验总结引言ARP(Address Resolution Protocol)是一种用于将IP地址映射到物理地址的协议。
在计算机网络中,ARP扮演着重要的角色,通过解析IP地址与MAC地址之间的关系,实现了数据包在局域网中的传输。
本文将总结一次ARP实验的过程和结果,并对实验中遇到的问题进行分析和探讨。
实验目的本次ARP实验的目的是通过Wireshark软件捕获局域网内的ARP数据包,并分析其中的协议字段,探究ARP协议的工作原理和应用场景。
实验步骤1. 配置实验环境:在一台主机上安装Wireshark软件,并连接到一个局域网中。
2. 启动Wireshark:打开Wireshark软件,选择对应的网卡接口,并开始捕获数据包。
3. 进行ARP请求:在另一台主机上发送一个ARP请求数据包,请求目标主机的MAC地址。
4. 捕获ARP数据包:Wireshark软件会立即捕获到发送的ARP请求数据包,并显示其详细信息。
5. 分析数据包:通过分析ARP数据包的各个字段,了解ARP协议的工作原理和数据包的结构。
6. 进行ARP响应:目标主机收到ARP请求后,会发送一个ARP响应数据包,包含自身的MAC地址。
7. 捕获ARP响应数据包:Wireshark软件会再次捕获到目标主机发送的ARP响应数据包,并显示其详细信息。
8. 分析数据包:通过分析ARP响应数据包的各个字段,进一步了解ARP协议的工作机制。
实验结果通过ARP实验,我们成功捕获到了ARP请求和响应数据包,并对其进行了详细的分析。
在ARP请求数据包中,源MAC地址为发送主机的MAC地址,目标MAC地址为全0,源IP地址为发送主机的IP地址,目标IP地址为目标主机的IP地址。
而在ARP响应数据包中,源MAC地址为目标主机的MAC地址,目标MAC地址为发送主机的MAC地址,源IP地址为目标主机的IP地址,目标IP地址为发送主机的IP地址。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验四Wireshark捕获ARP报文
一、捕获报文
启动Wireshark,清空ARP缓存,然后ping网关。
二、分析ARP协议
1.ARP请求报文和响应报文是封装在IP报文中还是封装在MAC
帧中发送?
2.ARP请求报文中目的MAC地址是什么?
3.对于ARP协议,其在MAC帧中的协议字段的值是多少?
4.封装ARP请求报文和响应报文的MAC帧,其目的地址分别
是什么?这说明ARP请求报文和响应报文分别是广播还是单
播发送?
5.根据捕获到的报文,分析ARP报文的格式,说明报文各字段
的作用?
6.如果要模拟某种ARP欺骗攻击,例如物理机欺骗虚拟机,说
自己是网关。
该如何构造ARP响应报文?写出该ARP响应报
文的十六进制代码。
硬件类型:要转换成的地址类型,2字节。
以太网为0001
协议类型:被转换高层协议类型,2字节。
IP协议为0800
硬件地址长度:1字节。
以太网为6字节48位,即06
协议长度:1字节。
Ip地址为4字节32位,即04
操作类型:2字节。
请求为0001,响应为0002,RARP为0003 发送方硬件地址:源主机MAC地址
发送发协议地址:源主机IP地址
目标硬件地址:目标主机MAC地址(请求包中为00-00-00-00-00-00)
目标协议地址:
物理机欺骗虚拟机时,发送ARP响应报文,单播。
源主机本应为网关,但物理机欺骗虚拟机,即源主机IP地址填网关IP,硬件地址填物理机的硬件地址。
目标主机为虚拟机。
0001 0800 06 04 0002 物理机硬件地址(欺骗用)10.1.65.254(网关IP) 虚拟机硬件地址虚拟机IP地址。