网络协议分析-作业4-利用Wireshark分析ARP

博主： dayi
发布时间：2023 年 09 月 24 日
305 次浏览
暂无评论
7460字数
分类：默认分类

网络协议分析-作业4-利用Wireshark分析ARP

更新地址：

https://cmd.dayi.ink/7HlTGv4nS6KJo3pyLsZcwQ?both
https://blog.dayi.ink/?p=69
https://type.dayiyi.top/index.php/archives/203/

0.学聪明了，先看实验报告

1.分别记录第5步和第6步后本机ARP缓存表的变化和Wireshark截获的ARP报文情况，分析网内ARP请求和跨网ARP请求的过程。
2.记录第7步和第8步本机ARP缓存表的变化，结合Wireshark截获的报文，分析两步中ping通与不通的原因。

3.记录第9步的步骤和现象，并分析原因。

0.1 把拓扑图打开:

0.2 开始做就好

1 我感觉跟着按顺序来就好

1.1 唔看着也不是那样，反正就是抓个包。

全选之后可以点启动的。

1.2 打开wireshark软件，选择菜单命令capture，点options，双击capture，弹出edit interface settings窗口，在capture filter中填写本地计算机的IP地址。

直接这样填就行，物理机的包太多了，用模拟可以更好的对ARP包的过程进行分析。

1.3 查看本机的arp缓存表内容，命令如下：

很遗憾，arp表是空的。

但你可以事实你物理机的arp表：

这就有啦

1.4 删除本机arp缓存表全部的内容，命令如下：

arp -d *

没权限!

WIN+X，然后选终端管理员或者cmd管理员，或者powershell管理员

这样就没有arp表了

1.5 Ping 本地计算机的默认网关，命令如下：

这样咱们继续用ENSP

ping 192.168.1.254

两个小机子的IP

网关是192.168.1.254

这就是啦：

1.6 使用eNsp方法

直接把那个机子弄成百度

记得应用下

然后直接pingwww.baidu.com就可以啦

arp表如下：

可以看到，ping之前是没有相关的arp信息，ping之后就有啦

抓的包如下：

1.6 删除本机arp缓存表全部的内容，ping外网地址(例如百度)并捕获相应的arp包，命令如下：

实体机抓包，比较乱，不建议。
要捕获包。打开网线鲨鱼吧

筛选器可以筛一下：

开始捕获

很遗憾，我发现我内网里有个炸弹，所以包没那么明显。。

1.7 绑定默认网关和MAC地址操作。

还有一个1.7章节，看那个。
用实体机！华为模拟器结果与实体不对。

（1）删除本机arp缓存表全部的内容后，将默认网关IP地址（设为10.103.52.1）对应的MAC地址绑定为11-22-33-44-55-66，命令截图如下：

arp -s 192.168.1.254 11-22-33-44-55-66

（2）查看arp高速缓存，结果如下图：

arp -a

（3）ping 默认网关，截图如下：

ping 192.168.1.254

因为绑定了错误的网关MAC地址，此时无法上网。（NONONO)

(然后就可以ping通了（我认为是华为模拟器的问题）)

ping 192.168.1.254

也能通

然后可以看到这里的MAC地址是：

ARP包的地址

Ethernet II, Src: HuaweiTe_d0:46:11 (00:e0:fc:d0:46:11), Dst: HuaweiTe_0b:28:9c (54:89:98:0b:28:9c)

肯定不是11:22:33:44:55:66

所以理论这个过程肯定不会通的。

1.7 实体机补充

实体机抓包包很多：
用这个进行过滤：

arp || icmp

填在这里。

我这里实体机的网关是10.31.0.1

你可以通过ipconfig进行查看

被拒绝了，用netsh

似乎也ping通了。

arp包也是改的mac地址

我已经不能理解了。

这个是正确的，是无法正常ICMP ping通的：

你的截图应该这个样子：也就是回应失败。

这个10.31.0.1是你网关地址。

这两个号对起来。

arp -a
netsh i i show in
netsh -c "i i" add neighbors 10 10.31.0.1 11-22-33-44-55-77

arp -a
ping 10.31.0.1


#抓完之后删除即可，不然就上不了网了

netsh -c "i i" del neighbors 16 10.31.0.1 11-22-33-44-55-77

arp -d *

附：压根没法理解的现象（应该是virtio网卡的问题）

8.修改外网主机IP和MAC地址的绑定

回到eNSP

（1）修改本地计算机arp高速缓存中百度的IP地址与物理地址的映射
（2）执行ping百度命令，可以看到此时本地计算机和百度还是连通的。


ping www.baidu.com

arp -s 192.168.2.1 11-22-33-44-55-66


ping www.baidu.com

因为流量经过了网关代理，3层数据包通过IP转发，由于不在一个网段，直接转发给网关即可。

9. 局域网中地址冲突

再脱个电脑

然后故意让他俩IP冲突。

记得应用


PC>arp -d *

PC>ping 192.168.1.1

你会发现，有两个家伙同时回应数据包。

五、实验报告

1.分别记录第5步和第6步后本机ARP缓存表的变化和Wireshark截获的ARP报文情况，分析网内ARP请求和跨网ARP请求的过程。

跨网先发给网关，之前已经写啦

2.记录第7步和第8步本机ARP缓存表的变化，结合Wireshark截获的报文，分析两步中ping通与不通的原因。

不通因为ARP对应的MAC地址是错的（虽然在虚拟网卡里好像无关紧要）

3.记录第9步的步骤和现象，并分析原因。

因为冲突了，所以两个同时回应ARP包。

文件下载

https://pic.icee.top/blog/pic_bed/2023/09/arp抓包附件.zip

最后修改：2023 年 09 月 24 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

球
该评论仅登录用户及评论双方可见
dayi的小迷妹
0x344 如果你创建目录后找不到“软件包”，需要标记下。参考...
loper
୧(๑•̀⌄•́๑)૭
yy
该评论仅登录用户及评论双方可见
loper
装修了，好耶

网络协议分析-作业4-利用Wireshark分析ARP

dayi • 2023 年 09 月 24 日

<h1>网络协议分析-作业4-利用Wireshark分析ARP</h1>更新地址：<blockquote><a class="no-external-link" href="https://cmd.dayi.ink/7HlTGv4nS6KJo3pyLsZcwQ?both" target="_blank">https://cmd.dayi.ink/7HlTGv4nS6KJo3pyLsZcwQ?both</a> <a class="no-external-link" href="https://blog.dayi.ink/?p=69" target="_blank">https://blog.dayi.ink/?p=69</a> <a href="https://type.dayiyi.top/index.php/archives/203/">https://type.dayiyi.top/index.php/archives/203/</a></blockquote><h2>0.学聪明了，先看实验报告</h2><blockquote>1.分别记录第5步和第6步后本机ARP缓存表的变化和Wireshark截获的ARP报文情况，分析网内ARP请求和跨网ARP请求的过程。2.记录第7步和第8步本机ARP缓存表的变化，结合Wireshark截获的报文，分析两步中ping通与不通的原因。</blockquote><blockquote>3.记录第9步的步骤和现象，并分析原因。</blockquote><h3>0.1 把拓扑图打开:</h3><img src="https://cmd.dayi.ink/uploads/upload_18c3c8e74aa9dc2fb713119a596a6a22.png#vwid=952&vhei=668" alt="" title=""style=""><h3>0.2 开始做就好</h3><h2>1 我感觉跟着按顺序来就好</h2><h3>1.1 唔看着也不是那样，反正就是抓个包。</h3><img src="https://cmd.dayi.ink/uploads/upload_6b7c1036252043961a649bca8d0f1610.png#vwid=748&vhei=461" alt="" title=""style="">全选之后可以点启动的。<img src="https://cmd.dayi.ink/uploads/upload_955c425a7514428a2d434237a4a9b718.png#vwid=748&vhei=461" alt="" title=""style=""><img src="https://cmd.dayi.ink/uploads/upload_94fd63d3c04f0557c9104398775292e3.png#vwid=806&vhei=565" alt="" title=""style=""><h3>1.2 打开wireshark软件，选择菜单命令capture，点options，双击capture，弹出edit interface settings窗口，在capture filter中填写本地计算机的IP地址。</h3><img src="https://cmd.dayi.ink/uploads/upload_bc8aae4e7aa48d09e891be884fc22df4.png#vwid=398&vhei=331" alt="" title=""style="">直接这样填就行，物理机的包太多了，用模拟可以更好的对ARP包的过程进行分析。<h3>1.3 查看本机的arp缓存表内容，命令如下：</h3>很遗憾，arp表是空的。<img src="https://cmd.dayi.ink/uploads/upload_a66f89d3f141316e829c23cf50edacea.png#vwid=532&vhei=206" alt="" title=""style="">但你可以事实你物理机的arp表：<img src="https://cmd.dayi.ink/uploads/upload_37c8fc41332202dec0f21112165585db.png#vwid=661&vhei=462" alt="" title=""style="">这就有啦<h3>1.4 删除本机arp缓存表全部的内容，命令如下：</h3><code>arp -d *</code><img src="https://cmd.dayi.ink/uploads/upload_b7ac7da5b1fb0f5965fe294e05e6522e.png#vwid=516&vhei=492" alt="" title=""style="">没权限!WIN+X，然后选终端管理员或者cmd管理员，或者powershell管理员这样就没有arp表了 <img src="https://cmd.dayi.ink/uploads/upload_9c6c39500e690566416b88ffe12185a5.png#vwid=554&vhei=385" alt="" title=""style=""><h3>1.5 Ping 本地计算机的默认网关，命令如下：</h3>这样咱们继续用ENSP<code>ping 192.168.1.254</code>两个小机子的IP <img src="https://cmd.dayi.ink/uploads/upload_645f2f47334bd00a214f0faea5a22393.png#vwid=703&vhei=637" alt="" title=""style="">网关是192.168.1.254这就是啦：<img src="https://cmd.dayi.ink/uploads/upload_2591e4cdb50d7fec714ad8a16107371c.png#vwid=1517&vhei=812" alt="" title=""style=""><h3>1.6 使用eNsp方法</h3>直接把那个机子弄成百度<img src="https://cmd.dayi.ink/uploads/upload_996dfdc6182efc10290f665fc921c632.png#vwid=767&vhei=535" alt="" title=""style=""><img src="https://cmd.dayi.ink/uploads/upload_0f9e418cbe9d6c649392fb8306c258af.png#vwid=936&vhei=501" alt="" title=""style="">记得应用下<img src="https://cmd.dayi.ink/uploads/upload_dc2bcbc51d0145c8a15e49df8c5f5498.png#vwid=144&vhei=101" alt="" title=""style="">然后直接ping<code>www.baidu.com</code>就可以啦<img src="https://cmd.dayi.ink/uploads/upload_d15ba387ebef06633e64416f5ee8d729.png#vwid=993&vhei=712" alt="" title=""style="">arp表如下： <img src="https://cmd.dayi.ink/uploads/upload_10a2604c01d4b9b2495fee62d8ff7b30.png#vwid=712&vhei=522" alt="" title=""style="">可以看到，ping之前是没有相关的arp信息，ping之后就有啦 <img src="https://cmd.dayi.ink/uploads/upload_f070343982eb72f08daf286a89b56132.png#vwid=772&vhei=550" alt="" title=""style="">抓的包如下： <img src="https://cmd.dayi.ink/uploads/upload_8665bf6ad37ffdaa676bc7d35e77a80f.png#vwid=1255&vhei=833" alt="" title=""style=""><h3>1.6 删除本机arp缓存表全部的内容，ping外网地址(例如百度)并捕获相应的arp包，命令如下：</h3><blockquote>实体机抓包，比较乱，不建议。要捕获包。打开网线鲨鱼吧</blockquote><img src="https://cmd.dayi.ink/uploads/upload_90b4787906f50d371bb6d616e8b0ada0.png#vwid=295&vhei=223" alt="" title=""style="">筛选器可以筛一下：<img src="https://cmd.dayi.ink/uploads/upload_0eb593773f1b26d7cb85b7245df48695.png#vwid=754&vhei=437" alt="" title=""style="">开始捕获 <img src="https://cmd.dayi.ink/uploads/upload_cfc882bbb657dd56fde243b951989954.png#vwid=1035&vhei=631" alt="" title=""style=""><img src="https://cmd.dayi.ink/uploads/upload_091086b75690b9822346bb2bad54b4d6.png#vwid=459&vhei=112" alt="" title=""style=""><img src="https://cmd.dayi.ink/uploads/upload_13506f1072211a3c58d92611d88fcd9c.png#vwid=497&vhei=272" alt="" title=""style="">很遗憾，我发现我内网里有个炸弹，所以包没那么明显。。<img src="https://cmd.dayi.ink/uploads/upload_37e7fbeeebe8bd699637a9a1a8347721.png#vwid=1294&vhei=675" alt="" title=""style=""><h3>1.7 绑定默认网关和MAC地址操作。</h3><blockquote>还有一个1.7章节，看那个。用实体机！华为模拟器结果与实体不对。</blockquote>（1）删除本机arp缓存表全部的内容后，将默认网关IP地址（设为10.103.52.1）对应的MAC地址绑定为11-22-33-44-55-66，命令截图如下：<code>arp -s 192.168.1.254 11-22-33-44-55-66</code><img src="https://cmd.dayi.ink/uploads/upload_da1db98e7b4ba3517b36bb63c8d9555a.png#vwid=733&vhei=547" alt="" title=""style="">（2）查看arp高速缓存，结果如下图：<code>arp -a</code><img src="https://cmd.dayi.ink/uploads/upload_68468212ed6909691b60acee53638ae4.png#vwid=784&vhei=534" alt="" title=""style="">（3）ping 默认网关，截图如下：<code>ping 192.168.1.254</code>因为绑定了错误的网关MAC地址，此时无法上网。（NONONO)(然后就可以ping通了（我认为是华为模拟器的问题）)<img src="https://cmd.dayi.ink/uploads/upload_2f70c0c529bcab198a227876cdd5d439.png#vwid=1492&vhei=791" alt="" title=""style=""><code>ping 192.168.1.254</code><img src="https://cmd.dayi.ink/uploads/upload_cc11882815ef604b13088c94c90718b7.png#vwid=1553&vhei=889" alt="" title=""style="">也能通<hr><img src="https://cmd.dayi.ink/uploads/upload_c72ef6aacf4d91027178254c4f4a34d1.png#vwid=1649&vhei=929" alt="" title=""style="">然后可以看到这里的MAC地址是：ARP包的地址<code>Ethernet II, Src: HuaweiTe_d0:46:11 (00:e0:fc:d0:46:11), Dst: HuaweiTe_0b:28:9c (54:89:98:0b:28:9c)</code><img src="https://cmd.dayi.ink/uploads/upload_955f3c9efcb0e1ada454d080f680ecf0.png#vwid=1298&vhei=793" alt="" title=""style="">肯定不是11:22:33:44:55:66所以理论这个过程肯定不会通的。<h3>1.7 实体机补充</h3>实体机抓包包很多： 用这个进行过滤：<code>arp || icmp</code>填在这里。<img src="https://cmd.dayi.ink/uploads/upload_fc6ddc76d763fe1bf152ab5a1eeabefd.png#vwid=1179&vhei=648" alt="" title=""style="">我这里实体机的网关是10.31.0.1你可以通过ipconfig进行查看<img src="https://cmd.dayi.ink/uploads/upload_89ef3941472b622933f8d9b5a3501663.png#vwid=618&vhei=461" alt="" title=""style="">被拒绝了，用netsh<img src="https://cmd.dayi.ink/uploads/upload_76abcfb05bd901df06642abc7c8a60a6.png#vwid=459&vhei=79" alt="" title=""style="">似乎也ping通了。<img src="https://cmd.dayi.ink/uploads/upload_4eb534c6f1dbc8fb14a027babec0ac73.png#vwid=711&vhei=508" alt="" title=""style="">arp包也是改的mac地址<img src="https://cmd.dayi.ink/uploads/upload_1f16817736d7df13483e9113b0e906ed.png#vwid=1341&vhei=758" alt="" title=""style="">我已经不能理解了。<hr>这个是正确的，是无法正常ICMP ping通的：你的截图应该这个样子：也就是回应失败。<img src="https://cmd.dayi.ink/uploads/upload_a965318f2187b5adab7b1566ffe9515c.png#vwid=1339&vhei=750" alt="" title=""style="">这个10.31.0.1是你网关地址。<img src="https://cmd.dayi.ink/uploads/upload_7f77a9b5a740aa5bbf26489c93430a7a.png#vwid=751&vhei=309" alt="" title=""style="">这两个号对起来。<pre><code class="lang-bash">arp -a
netsh i i show in
netsh -c &quot;i i&quot; add neighbors 10 10.31.0.1 11-22-33-44-55-77

arp -a
ping 10.31.0.1

#抓完之后删除即可，不然就上不了网了

netsh -c &quot;i i&quot; del neighbors 16 10.31.0.1 11-22-33-44-55-77

arp -d *</code></pre><hr><h4>附：压根没法理解的现象（应该是virtio网卡的问题）</h4><img src="https://cmd.dayi.ink/uploads/upload_71608cc448d4ef92cb32c9043cd3c1f5.png#vwid=649&vhei=737" alt="" title=""style=""><img src="https://cmd.dayi.ink/uploads/upload_62d3ab807ecac68d54582c70a015fbcb.png#vwid=1292&vhei=722" alt="" title=""style=""><hr><h3>8.修改外网主机IP和MAC地址的绑定</h3><blockquote>回到eNSP</blockquote>（1）修改本地计算机arp高速缓存中百度的IP地址与物理地址的映射 （2）执行ping百度命令，可以看到此时本地计算机和百度还是连通的。<pre><code class="lang-bash">
ping www.baidu.com

arp -s 192.168.2.1 11-22-33-44-55-66

ping www.baidu.com</code></pre><img src="https://cmd.dayi.ink/uploads/upload_82cd9953e4f62a12c0d4168d72c041e8.png#vwid=802&vhei=576" alt="" title=""style="">因为流量经过了网关代理，3层数据包通过IP转发，由于不在一个网段，直接转发给网关即可。<img src="https://cmd.dayi.ink/uploads/upload_3b576d16e39599bdd7e61b1b1061952c.png" alt="" title=""style=""><h3>9. 局域网中地址冲突</h3>再脱个电脑<img src="https://cmd.dayi.ink/uploads/upload_5de11abd0c115fec4347685681d82cfa.png" alt="" title=""style="">然后故意让他俩IP冲突。记得应用<img src="https://cmd.dayi.ink/uploads/upload_26be820ebfa62b4f23b9541cedf81b10.png" alt="" title=""style=""><pre><code class="lang-bash">
PC&gt;arp -d *

PC&gt;ping 192.168.1.1
</code></pre>你会发现，有两个家伙同时回应数据包。<img src="https://cmd.dayi.ink/uploads/upload_51d85b8ef064abc8a8c28e8cf5da3c7d.png" alt="" title=""style=""><h2>五、实验报告</h2>1.分别记录第5步和第6步后本机ARP缓存表的变化和Wireshark截获的ARP报文情况，分析网内ARP请求和跨网ARP请求的过程。<ul><li>跨网先发给网关，之前已经写啦</li></ul>2.记录第7步和第8步本机ARP缓存表的变化，结合Wireshark截获的报文，分析两步中ping通与不通的原因。<ul><li>不通因为ARP对应的MAC地址是错的（虽然在虚拟网卡里好像无关紧要）</li></ul>3.记录第9步的步骤和现象，并分析原因。<ul><li>因为冲突了，所以两个同时回应ARP包。</li></ul><h2>文件下载</h2><img src="https://cmd.dayi.ink/uploads/upload_ec4203a882e8648f449ce899fa82b5c8.png" alt="" title=""style=""><a class="no-external-link" href="https://pic.icee.top/blog/pic_bed/2023/09/arp抓包附件.zip" target="_blank">https://pic.icee.top/blog/pic_bed/2023/09/arp抓包附件.zip</a>

网络协议分析-作业4-利用Wireshark分析ARP

网络协议分析-作业4-利用Wireshark分析ARP

0.学聪明了，先看实验报告

0.1 把拓扑图打开:

0.2 开始做就好

1 我感觉跟着按顺序来就好

1.1 唔看着也不是那样，反正就是抓个包。

1.2 打开wireshark软件，选择菜单命令capture，点options，双击capture，弹出edit interface settings窗口，在capture filter中填写本地计算机的IP地址。

1.3 查看本机的arp缓存表内容，命令如下：

1.4 删除本机arp缓存表全部的内容，命令如下：

1.5 Ping 本地计算机的默认网关，命令如下：

1.6 使用eNsp方法

1.6 删除本机arp缓存表全部的内容，ping外网地址(例如百度)并捕获相应的arp包，命令如下：

1.7 绑定默认网关和MAC地址操作。

1.7 实体机补充

附：压根没法理解的现象（应该是virtio网卡的问题）

8.修改外网主机IP和MAC地址的绑定

9. 局域网中地址冲突

五、实验报告

文件下载

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

友情链接！

win server 2022 开机自动登录

CTF 练习 22.2.1

[排坑|流程简化]物理实验使用方法

Linux期末作业解析_vmware版

Python 运维作业3

云与虚拟化_实验7 Docker网络管理应用

计算机网络实验作业1

mysql windows 安装

debian apt-get 错误

网络协议分析-作业4-利用Wireshark分析ARP

网络协议分析-作业4-利用Wireshark分析ARP

0.学聪明了，先看实验报告

0.1 把拓扑图打开:

0.2 开始做就好

1 我感觉跟着按顺序来就好

1.1 唔看着也不是那样，反正就是抓个包。

1.2 打开wireshark软件，选择菜单命令capture，点options，双击capture，弹出edit interface settings窗口，在capture filter中填写本地计算机的IP地址。

1.3 查看本机的arp缓存表内容，命令如下：

1.4 删除本机arp缓存表全部的内容，命令如下：

1.5 Ping 本地计算机的默认网关，命令如下：

1.6 使用eNsp方法

1.6 删除本机arp缓存表全部的内容，ping外网地址(例如百度)并捕获相应的arp包，命令如下：

1.7 绑定默认网关和MAC地址操作。

1.7 实体机补充

附：压根没法理解的现象（应该是virtio网卡的问题）

8.修改外网主机IP和MAC地址的绑定

9. 局域网中地址冲突

五、实验报告

文件下载

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

网络协议分析-作业4-利用Wireshark分析ARP

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款