实验二ARP协议分析

“终究是玫瑰误了花期，而我也将你归还故里”

实验二ARP协议分析

1.arp命令(要用管理员启动命令行)
2.arp请求与应答
3.arp代理
4.免费arp

文中小鲨鱼是指Wireshark软件

1.arp命令(要用管理员启动命令行)

目的:通过在不同操作系统中学习使用arp命令,进一步理解掌握arp协议的工作特点

(1)启动命令行,输arp /?可以查看帮助命令

(2)arp -a 查看arp表

(3)ipconfig

以太网就是正在用的

(4)看特定网络接口的arp

arp -an ip(以太网)

(5)看指定接口有没有xxip

arp -a xxip -n ip(接口)

比如arp -a 192.168.0.123 -n 192.168.0.106 看106里面有没有123

(6)添加一条arp记录(比如添加123)

arp -s 192.168.0.123 00-0c-ad-09-23-09 -n 192.168.0.106

再用arp -an 192.168.0.106 就可以看到了

(7)删除arp记录,比如删123

arp -d 192.168.0.123

(8)arp最基本的命令

查看指定接口的ip,可增删改查

在Linux中的arp命令

-a -e -s -d 和windows差不多

用-s时输mac地址是用:分开的

2.arp请求与应答

en
conf t
int f0/0
no shutdown
ip add 172.16.10.99 255.255.255.0
ex
int f0/1
no shutdown
ip add 172.16.20.99 255.255.255.0
end

pc1的网关设置为172.16.20.99

(1)在R0上去pingpc1,然后就会出现ICMP和arp的分组

点开icmp,看osi ,翻译,路由表中是能够找到目的ip地址的,这是一个直连的地址,下一跳的ip是单播,不在arp中,所以arp进程试图发送一个arp指令请求得到ip地址相关内容,然后扔掉了分组

路由器对于网络层的分组在封装成帧时,如果不能得到mac地址封装这个帧,就扔掉这个ip分组

点开arp

opcode(操作码)是1,目的mac全0,因为还在请求mac
(2)看路由器发到pc1的包

pc1拿到报文怎么处理

翻译: arp请求的目的ip地址和它自己的接收地址是匹配的,arp进程更新了arp表的收到的信息

接收方将来接收的响应的节点路由器可以从arp协议为0x2的这个帧过来,可以知道mac地址

(3)arp响应的特点: 一般是单播,操作码是0x2,把收到的请求地址作为mac,ip字段,把自己的信息作为源字段,发回响应,响应报文继续回到R0

这是一个arp响应,更新arp表

知道pc1发的报文,R0就可以更新自己的arp缓存

(4)看R0

发现第一次没有通,因为第一次的包被icmp分组扔了,最开始没有arp相应的信息,当arp完成后,得到了目的ip,mac,之后的icmp操作就可以正常进行

(5)真实环境

本机ip: 192.168.43.1

过滤arp协议

看到操作数为1,说明是arp请求,但是为什么目的mac不是全0,因为arp协议的机制,如果第一次获取arp信息的时候,是需要广播的,一旦获得了某个结点的arp信息后,要维持arp表的更新,就要用单播,可减少网络通信.

arp信息可但播,在第一次获取arp信息之后

3.arp代理

(1)配置好,在pc0上ping172.16.10.99,可通

(2)在pc0上ping172.16.20.100

第一个包:目标ip是在同一子网中,已设置为下一跳,因为pc0会用自己的掩码16位来计算目的ip的网络地

址,发现在同一子网.

第二个包:arp请求,pc0发送一个arp请求,试图获得172.16.20.100的mac地址

第三个包:发到S0的arp包,arp进程检查了路由表,请求的目的ip在自己的路由表中是可以到达的,然后更新

了路由表.

看输出部分:arp应答报文,发现源mac是路由器接收arp请求的那个,但是源ip却是pc0的

代理过程:

路由器不会转发这个arp广播请求帧,但是,会去检查报文中的目标ip,看能不能到,如果arp请求的

目的ip路由器可以到,路由器就会用收到arp请求的接口(左边)的mac地址来代替请求的ip(pc1)

的mac来产生arp响应回答请求者(pc0)

(3)思考题:

ping的时候第一个为什么是timeout,因为刚开始,pc1的ip不在路由表里,所以路由器扔掉了报文

timeout后,pc0再发一次arp请求,去获取pc1的mac,所以后面通了. 这就体现了在网络层和链路层都是一个逐跳传输的特点

(4)arp代理特点:多个不同ip指向同一个mac

4.免费arp

(1)先在sever0上输arp -a 发现是空的

在pc0和pc1上输ping 172.16.10.99 ,目的是为了让sever0上产生相应的arp表

再在sever0上输arp -a ,发现有记录了

(2)开启模拟

把pc0的ip改成172.16.10.88,继续发包

点开第一个包

翻译:arp帧是一个免费arp请求,设备封装并把它发送到以太网中

细节:arp操作码为1,说明是一个请求,源mac地址是我们结点mac地址3cc0,目的ip是172.16.10.88,

帧的目的mac是全1的,说明是广播帧

这就是免费arp的特征:在arp报文中源ip和目的ip是相同的,且是广播帧

arp协议的特点是完成地址解析,但是在免费arp中,可通告自己ip地址变化的情况

继续观察

免费arp到达pc1和sever0的时候,发现被丢掉了

点开sever0:源ip不在arp表中,所以arp进程扔掉了这个帧

源ip就是免费arp的ip

pc1上也一样

(4)免费arp的漏洞

当把pc0的ip改成172.16.10.77(和pc1一样)时

包发到sever0上:这个arp是一个免费的请求,源ip在arp表中,arp进程更新了arp表

这样就造成arp欺骗,同一个ip有两个mac

包发到pc1上:这个arp是一个免费的请求,就把帧扔了

然后pc1向pc0发了一个arp响应帧:声明全0的mac,ip为172.16.10.77已经被网络结点使用了

(5)打开小鲨鱼和kali

输入过滤语句:

(arp.dst.proto_ipv4==192.168.43.219)&&(arp.src.proto_ipv4==192.168.43.219)

过滤出arp源ip和目的ip相同的包,然后再kali里面执行seveice network restart

发现小鲨鱼抓到的是arp应答和请求,应答是免费且广播的,应答帧的目的mac为全1