网络协议分析-作业4-利用Wireshark分析ARP

更新地址：

https://cmd.dayi.ink/7HlTGv4nS6KJo3pyLsZcwQ?both
https://blog.dayi.ink/?p=69
https://type.dayiyi.top/index.php/archives/203/

0.学聪明了，先看实验报告

1.分别记录第5步和第6步后本机ARP缓存表的变化和Wireshark截获的ARP报文情况，分析网内ARP请求和跨网ARP请求的过程。

2.记录第7步和第8步本机ARP缓存表的变化，结合Wireshark截获的报文，分析两步中ping通与不通的原因。

3.记录第9步的步骤和现象，并分析原因。

0.1 把拓扑图打开:

https://cmd.dayi.ink/uploads/upload_18c3c8e74aa9dc2fb713119a596a6a22.png

0.2 开始做就好

1 我感觉跟着按顺序来就好

1.1 唔看着也不是那样，反正就是抓个包。

https://cmd.dayi.ink/uploads/upload_6b7c1036252043961a649bca8d0f1610.png

全选之后可以点启动的。

https://cmd.dayi.ink/uploads/upload_955c425a7514428a2d434237a4a9b718.png

https://cmd.dayi.ink/uploads/upload_94fd63d3c04f0557c9104398775292e3.png

1.2 打开wireshark软件，选择菜单命令capture，点options，双击capture，弹出edit interface settings窗口，在capture filter中填写本地计算机的IP地址。

https://cmd.dayi.ink/uploads/upload_bc8aae4e7aa48d09e891be884fc22df4.png

直接这样填就行，物理机的包太多了，用模拟可以更好的对ARP包的过程进行分析。

1.3 查看本机的arp缓存表内容，命令如下：

很遗憾，arp表是空的。

https://cmd.dayi.ink/uploads/upload_a66f89d3f141316e829c23cf50edacea.png

但你可以事实你物理机的arp表：

https://cmd.dayi.ink/uploads/upload_37c8fc41332202dec0f21112165585db.png

这就有啦

1.4 删除本机arp缓存表全部的内容，命令如下：

arp -d *

https://cmd.dayi.ink/uploads/upload_b7ac7da5b1fb0f5965fe294e05e6522e.png

没权限!

WIN+X，然后选终端管理员或者cmd管理员，或者powershell管理员

这样就没有arp表了

https://cmd.dayi.ink/uploads/upload_9c6c39500e690566416b88ffe12185a5.png

1.5 Ping 本地计算机的默认网关，命令如下：

这样咱们继续用ENSP

ping 192.168.1.254

两个小机子的IP

https://cmd.dayi.ink/uploads/upload_645f2f47334bd00a214f0faea5a22393.png

网关是192.168.1.254

这就是啦：

https://cmd.dayi.ink/uploads/upload_2591e4cdb50d7fec714ad8a16107371c.png

1.6 使用eNsp方法

直接把那个机子弄成百度

https://cmd.dayi.ink/uploads/upload_996dfdc6182efc10290f665fc921c632.png

https://cmd.dayi.ink/uploads/upload_0f9e418cbe9d6c649392fb8306c258af.png

记得应用下

https://cmd.dayi.ink/uploads/upload_dc2bcbc51d0145c8a15e49df8c5f5498.png

然后直接pingwww.baidu.com就可以啦

https://cmd.dayi.ink/uploads/upload_d15ba387ebef06633e64416f5ee8d729.png

arp表如下：

https://cmd.dayi.ink/uploads/upload_10a2604c01d4b9b2495fee62d8ff7b30.png

可以看到，ping之前是没有相关的arp信息，ping之后就有啦

https://cmd.dayi.ink/uploads/upload_f070343982eb72f08daf286a89b56132.png

抓的包如下：

https://cmd.dayi.ink/uploads/upload_8665bf6ad37ffdaa676bc7d35e77a80f.png

1.6 删除本机arp缓存表全部的内容，ping外网地址(例如百度)并捕获相应的arp包，命令如下：

实体机抓包，比较乱，不建议。

要捕获包。打开网线鲨鱼吧

https://cmd.dayi.ink/uploads/upload_90b4787906f50d371bb6d616e8b0ada0.png

筛选器可以筛一下：

https://cmd.dayi.ink/uploads/upload_0eb593773f1b26d7cb85b7245df48695.png

开始捕获

https://cmd.dayi.ink/uploads/upload_cfc882bbb657dd56fde243b951989954.png

https://cmd.dayi.ink/uploads/upload_091086b75690b9822346bb2bad54b4d6.png

https://cmd.dayi.ink/uploads/upload_13506f1072211a3c58d92611d88fcd9c.png

很遗憾，我发现我内网里有个炸弹，所以包没那么明显。。

https://cmd.dayi.ink/uploads/upload_37e7fbeeebe8bd699637a9a1a8347721.png

1.7 绑定默认网关和MAC地址操作。

还有一个1.7章节，看那个。

用实体机！华为模拟器结果与实体不对。

（1）删除本机arp缓存表全部的内容后，将默认网关IP地址（设为10.103.52.1）对应的MAC地址绑定为11-22-33-44-55-66，命令截图如下：

arp -s 192.168.1.254 11-22-33-44-55-66

https://cmd.dayi.ink/uploads/upload_da1db98e7b4ba3517b36bb63c8d9555a.png

（2）查看arp高速缓存，结果如下图：

arp -a

https://cmd.dayi.ink/uploads/upload_68468212ed6909691b60acee53638ae4.png

（3）ping 默认网关，截图如下：

ping 192.168.1.254

因为绑定了错误的网关MAC地址，此时无法上网。（NONONO)

(然后就可以ping通了（我认为是华为模拟器的问题）)

https://cmd.dayi.ink/uploads/upload_2f70c0c529bcab198a227876cdd5d439.png

ping 192.168.1.254

https://cmd.dayi.ink/uploads/upload_cc11882815ef604b13088c94c90718b7.png

也能通

https://cmd.dayi.ink/uploads/upload_c72ef6aacf4d91027178254c4f4a34d1.png

然后可以看到这里的MAC地址是：

ARP包的地址

Ethernet II, Src: HuaweiTe_d0:46:11 (00:e0:fc:d0:46:11), Dst: HuaweiTe_0b:28:9c (54:89:98:0b:28:9c)

https://cmd.dayi.ink/uploads/upload_955f3c9efcb0e1ada454d080f680ecf0.png

肯定不是11:22:33:44:55:66

所以理论这个过程肯定不会通的。

1.7 实体机补充

实体机抓包包很多：
用这个进行过滤：

arp || icmp

填在这里。

https://cmd.dayi.ink/uploads/upload_fc6ddc76d763fe1bf152ab5a1eeabefd.png

我这里实体机的网关是10.31.0.1

你可以通过ipconfig进行查看

https://cmd.dayi.ink/uploads/upload_89ef3941472b622933f8d9b5a3501663.png

被拒绝了，用netsh

https://cmd.dayi.ink/uploads/upload_76abcfb05bd901df06642abc7c8a60a6.png

似乎也ping通了。

https://cmd.dayi.ink/uploads/upload_4eb534c6f1dbc8fb14a027babec0ac73.png

arp包也是改的mac地址

https://cmd.dayi.ink/uploads/upload_1f16817736d7df13483e9113b0e906ed.png

我已经不能理解了。

这个是正确的，是无法正常ICMP ping通的：

你的截图应该这个样子：也就是回应失败。

https://cmd.dayi.ink/uploads/upload_a965318f2187b5adab7b1566ffe9515c.png

这个10.31.0.1是你网关地址。

https://cmd.dayi.ink/uploads/upload_7f77a9b5a740aa5bbf26489c93430a7a.png

这两个号对起来。

arp -a
netsh i i show in
netsh -c "i i" add neighbors 10 10.31.0.1 11-22-33-44-55-77

arp -a
ping 10.31.0.1

#抓完之后删除即可，不然就上不了网了

netsh -c "i i" del neighbors 16 10.31.0.1 11-22-33-44-55-77

arp -d *

附：压根没法理解的现象（应该是virtio网卡的问题）

https://cmd.dayi.ink/uploads/upload_71608cc448d4ef92cb32c9043cd3c1f5.png

https://cmd.dayi.ink/uploads/upload_62d3ab807ecac68d54582c70a015fbcb.png

8.修改外网主机IP和MAC地址的绑定

回到eNSP

（1）修改本地计算机arp高速缓存中百度的IP地址与物理地址的映射
（2）执行ping百度命令，可以看到此时本地计算机和百度还是连通的。


ping www.baidu.com

arp -s 192.168.2.1 11-22-33-44-55-66

ping www.baidu.com

https://cmd.dayi.ink/uploads/upload_82cd9953e4f62a12c0d4168d72c041e8.png

因为流量经过了网关代理，3层数据包通过IP转发，由于不在一个网段，直接转发给网关即可。

https://cmd.dayi.ink/uploads/upload_3b576d16e39599bdd7e61b1b1061952c.png

9. 局域网中地址冲突

再脱个电脑

https://cmd.dayi.ink/uploads/upload_5de11abd0c115fec4347685681d82cfa.png

然后故意让他俩IP冲突。

记得应用

https://cmd.dayi.ink/uploads/upload_26be820ebfa62b4f23b9541cedf81b10.png


PC>arp -d *

PC>ping 192.168.1.1

你会发现，有两个家伙同时回应数据包。

https://cmd.dayi.ink/uploads/upload_51d85b8ef064abc8a8c28e8cf5da3c7d.png

五、实验报告

1.分别记录第5步和第6步后本机ARP缓存表的变化和Wireshark截获的ARP报文情况，分析网内ARP请求和跨网ARP请求的过程。

跨网先发给网关，之前已经写啦

2.记录第7步和第8步本机ARP缓存表的变化，结合Wireshark截获的报文，分析两步中ping通与不通的原因。

不通因为ARP对应的MAC地址是错的（虽然在虚拟网卡里好像无关紧要）

3.记录第9步的步骤和现象，并分析原因。

因为冲突了，所以两个同时回应ARP包。

文件下载

https://cmd.dayi.ink/uploads/upload_ec4203a882e8648f449ce899fa82b5c8.png

https://pic.icee.top/blog/pic_bed/2023/09/arp抓包附件.zip

网络协议分析-作业4-利用Wireshark分析ARP

网络协议分析-作业4-利用Wireshark分析ARP

0.学聪明了，先看实验报告

0.1 把拓扑图打开:

0.2 开始做就好

1 我感觉跟着按顺序来就好

1.1 唔看着也不是那样，反正就是抓个包。

1.2 打开wireshark软件，选择菜单命令capture，点options，双击capture，弹出edit interface settings窗口，在capture filter中填写本地计算机的IP地址。

1.3 查看本机的arp缓存表内容，命令如下：

1.4 删除本机arp缓存表全部的内容，命令如下：

1.5 Ping 本地计算机的默认网关，命令如下：

1.6 使用eNsp方法

1.6 删除本机arp缓存表全部的内容，ping外网地址(例如百度)并捕获相应的arp包，命令如下：

1.7 绑定默认网关和MAC地址操作。

1.7 实体机补充

附：压根没法理解的现象（应该是virtio网卡的问题）

8.修改外网主机IP和MAC地址的绑定

9. 局域网中地址冲突

五、实验报告

文件下载

相关

发表回复 取消回复

发表回复取消回复