网络协议分析-作业4-利用Wireshark分析ARP

更新地址：

https://cmd.dayi.ink/7HlTGv4nS6KJo3pyLsZcwQ?both https://blog.dayi.ink/?p=69 https://type.dayiyi.top/index.php/archives/203/

0.学聪明了，先看实验报告

1.分别记录第5步和第6步后本机ARP缓存表的变化和Wireshark截获的ARP报文情况，分析网内ARP请求和跨网ARP请求的过程。

2.记录第7步和第8步本机ARP缓存表的变化，结合Wireshark截获的报文，分析两步中ping通与不通的原因。

3.记录第9步的步骤和现象，并分析原因。

0.1 把拓扑图打开:

0.2 开始做就好

1 我感觉跟着按顺序来就好

1.1 唔看着也不是那样，反正就是抓个包。

全选之后可以点启动的。

1.2 打开wireshark软件，选择菜单命令capture，点options，双击capture，弹出edit interface settings窗口，在capture filter中填写本地计算机的IP地址。

直接这样填就行，物理机的包太多了，用模拟可以更好的对ARP包的过程进行分析。

1.3 查看本机的arp缓存表内容，命令如下：

很遗憾，arp表是空的。

但你可以事实你物理机的arp表：

这就有啦

1.4 删除本机arp缓存表全部的内容，命令如下：

arp -d *

没权限!

WIN+X，然后选终端管理员或者cmd管理员，或者powershell管理员

这样就没有arp表了

1.5 Ping 本地计算机的默认网关，命令如下：

这样咱们继续用ENSP

ping 192.168.1.254

两个小机子的IP

网关是192.168.1.254

这就是啦：

1.6 使用eNsp方法

直接把那个机子弄成百度

记得应用下

然后直接pingwww.baidu.com就可以啦

arp表如下：

可以看到，ping之前是没有相关的arp信息，ping之后就有啦

抓的包如下：

1.6 删除本机arp缓存表全部的内容，ping外网地址(例如百度)并捕获相应的arp包，命令如下：

实体机抓包，比较乱，不建议。

要捕获包。打开网线鲨鱼吧

筛选器可以筛一下：

开始捕获

很遗憾，我发现我内网里有个炸弹，所以包没那么明显。。

1.7 绑定默认网关和MAC地址操作。

还有一个1.7章节，看那个。

用实体机！华为模拟器结果与实体不对。

（1）删除本机arp缓存表全部的内容后，将默认网关IP地址（设为10.103.52.1）对应的MAC地址绑定为11-22-33-44-55-66，命令截图如下：

arp -s 192.168.1.254 11-22-33-44-55-66

（2）查看arp高速缓存，结果如下图：

arp -a

（3）ping 默认网关，截图如下：

ping 192.168.1.254

因为绑定了错误的网关MAC地址，此时无法上网。（NONONO)

(然后就可以ping通了（我认为是华为模拟器的问题）)

ping 192.168.1.254

也能通

然后可以看到这里的MAC地址是：

ARP包的地址

Ethernet II, Src: HuaweiTe_d0:46:11 (00:e0:fc:d0:46:11), Dst: HuaweiTe_0b:28:9c (54:89:98:0b:28:9c)

肯定不是11:22:33:44:55:66

所以理论这个过程肯定不会通的。

1.7 实体机补充

实体机抓包包很多： 用这个进行过滤：

arp || icmp

填在这里。

我这里实体机的网关是10.31.0.1

你可以通过ipconfig进行查看

被拒绝了，用netsh

似乎也ping通了。

arp包也是改的mac地址

我已经不能理解了。

这个是正确的，是无法正常ICMP ping通的：

你的截图应该这个样子：也就是回应失败。

这个10.31.0.1是你网关地址。

这两个号对起来。

arp -a
netsh i i show in
netsh -c "i i" add neighbors 10 10.31.0.1 11-22-33-44-55-77

arp -a
ping 10.31.0.1

#抓完之后删除即可，不然就上不了网了

netsh -c "i i" del neighbors 16 10.31.0.1 11-22-33-44-55-77

arp -d *

附：压根没法理解的现象（应该是virtio网卡的问题）

8.修改外网主机IP和MAC地址的绑定

回到eNSP

（1）修改本地计算机arp高速缓存中百度的IP地址与物理地址的映射 （2）执行ping百度命令，可以看到此时本地计算机和百度还是连通的。

ping www.baidu.com

arp -s 192.168.2.1 11-22-33-44-55-66

ping www.baidu.com

因为流量经过了网关代理，3层数据包通过IP转发，由于不在一个网段，直接转发给网关即可。

9. 局域网中地址冲突

再脱个电脑

然后故意让他俩IP冲突。

记得应用

PC>arp -d *

PC>ping 192.168.1.1

你会发现，有两个家伙同时回应数据包。

五、实验报告

1.分别记录第5步和第6步后本机ARP缓存表的变化和Wireshark截获的ARP报文情况，分析网内ARP请求和跨网ARP请求的过程。

• 跨网先发给网关，之前已经写啦

2.记录第7步和第8步本机ARP缓存表的变化，结合Wireshark截获的报文，分析两步中ping通与不通的原因。

• 不通因为ARP对应的MAC地址是错的（虽然在虚拟网卡里好像无关紧要）

3.记录第9步的步骤和现象，并分析原因。

• 因为冲突了，所以两个同时回应ARP包。

文件下载

https://pic.icee.top/blog/pic_bed/2023/09/arp抓包附件.zip