关于wireshark抓ARP包的疑问

最新推荐文章于 2025-03-27 22:36:17 发布
最新推荐文章于 2025-03-27 22:36:17 发布
阅读量6.2k 收藏 6
点赞数 1
文章标签: wireshark ARP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/rifengxxc/article/details/82903316
版权

说白了,ARP协议是IP与Mac地址的一种转换。主机A(如192.168.1.1)要向与主机B(192.168.1.2)通信,就在网络上广播一个ARP请求,表明自己的MAC地址和IP,以及目标主机的IP,那主机B接受到这个广播就发送ARP响应,把自己的MAC告诉主机A。

但是,我今天遇到一个情况:Wireshark抓包时,路由器(huawei)是向我的电脑(Apple)发送特定的ARP询问包的,这里产生了一个疑问为什么路由器不是向局域网中所有的电脑广播

第二个问题,ARP协议帧格式中 Target MAC addr是00:00:00:00:00:00,可是在以太网帧格式封装的时候加了Dst的MAC地址了。既然封装的时候已经知道了MAC地址,为什么还要在ARP中写成00:00:00:00:00:00。

可能我自己知识不到家,但是我实在不明白,请问有谁能指点我一下?谢谢!

图1是我的疑问

 

 

 

rifengxxc
关注
【003】Wireshark之显示过滤ARP(地址解析协议)数据
Postgres 数据库内核开发工程师
04-02 7278
文章目录1. 场景2. 显示过滤ARP2.1 筛选指定目标协议的ARP2.2 筛选是ARP请求的2.3 筛选指定源MAC的ARP3. ARP显示过滤条件列表 1. 场景      通常是在Windows系统的PC上面进行项目开发,然后使用类UNIX系统的环境进行(Cmake/Makefile管理)统一编译,之后将编译成果物(可执行程序)拷贝到服务器上面跑。所以通常情况下不可能在...
一款秒杀wireshark和burpsuite的国产网络分析神器,你还没用过?
Sumarua的博客
11-12 1万+
一款秒杀wireshark和burpsuite的国产网络分析神器,你还没用过? 文章目录一款秒杀wireshark和burpsuite的国产网络分析神器,你还没用过?简介下载安装 简介 我也是最近在机缘巧合之下才遇到的这款神器,原本是想找WireShark相关的资料给学弟用的,结果却意外的发现了这款科来网络分析系统,这款软件是绿色免费的,无需注册无需激活,下载就能用,那接下来就来介绍一下这款网络分析系统吧。 下载 方法一: 你可以直接百度搜索“科来网络分析系统”。 然后选中这个标签。 进入如下页面。 下
wireshark分析ARP协议
一个菜鸟的博客
09-07 9026
通过以太网发送IP数据,需要先封装32位的IP地址和48位的MAC地址。由于发送数据时仅仅知道目标IP地址,不指定对方MAC地址,就需要接着ARP协议通过IP地址去询问目标的MAC地址,才可以正常通信。 1、 PC1想发送数据到PC2,首先检测本地缓存ARP缓存表和PC2IP匹配的MAC。 2、如果没有找到此条目,那么PC1将广播一个ARP请求帧到本地网络的所有主机。本地网络上每台主机
Wireshark ARP 协议中的 “绿影分波” 之象
最新发布
2401_87921833的博客
03-27 2153
通过本文的学习,你已经掌握了如何使用Wireshark捕获和分析ARP协议的数据ARP协议是网络通信的基础协议,了解其工作原理对于网络调试和安全分析非常重要。在实际应用中,你可以利用Wireshark来排查网络问题,例如ARP欺骗攻击等。认为有帮助的宝宝可以关注哦,后续会更新更多可能会对你提供帮助的小文章~
wireshark不到数据的解决方法 TOE技术
01-26
wireshark 不到数据的解决方法-TOE技术以及TOE网卡的工作原理.wireshark 不到 数据 TOE技术 不到
wireshark ARP
flyingzc的博客
06-16 6473
wireshark arp ARP 是借助 ARP 请求与 ARP 响应两种类型的确定 MAC 地址. 1.主机会通过广播发送 ARP 请求,这个含了想要知道的 MAC 地址的主机 IP 地址。 2.当同个链路中的所有设备收到 ARP 请求时,会去拆开 ARP 请求里的内容,如果 ARP 请求中的目标 IP 地址与自己的 IP 地址一致,那么这个设备就将自己的 MAC 地址塞入 ARP 响应返回给主机。 3.操作系统通常会把第一次通过 ARP 获取的 MAC 地址缓存起来,以便下次直接从缓
wireshark捕获不到东西_Wireshark:中间人攻击分析
weixin_35981295的博客
12-30 698
环境就是用的 w4sp-lab?https://www.cnblogs.com/yichen115/p/12603295.htmlARP中间人攻击首先 sudo python w4sp_webapp.py,把环境拉起来,然后访问 127.0.0.1:5000在一个新的终端里面打开 msf(命令:sudo msfconsole),使用:use auxiliary/spoof/arp/ar...
wireshark实战之:arp通讯
oO天龙的博客
02-22 1155
实验目的:查看局域网内二层ARP通讯过程数据,从而明白arp缓存表的形成过程。 实验资料: 实验拓扑: 实验步骤:
解决wireshark不到本地网卡发出去的数据
06-27
win10通过wireshark时,不到本地网络发出去的数据,根本原因在于wincap,换成npacp获取网卡数据时,能解决该问题。
通过Wireshark分析谈谈DNS域名解析的那些事儿
被基金支配的打工人
09-23 5858
本文主要想通过动手实际分析一下是如何通过DNS服务器来解析域名获取对应IP地址的,毕竟,纸上得来终觉浅,绝知此事要躬行。 域名与IP地址 当在浏览器上敲下“www.baidu.com”时,一键回车,很快,浏览器上就会刷新出熟悉的百度搜索页面。以前刚接触网络时,总以为这个过程是通过域名www.baidu.com来访问远程服务器,其实不然,本质上,还是通过IP去远程访问服务器获取资源。 这时,聪明的小伙伴就会出现一个疑问,为啥不直接通过域名去寻找到相应的服务器主机呢? 其实,若要实现通过域名的方式去寻找
计网实验:wireshark+筛选+数据帧和MAC地址初步理解
qq_43655453的博客
05-22 2万+
1、尝试网络分析工具Wireshark的使用 2、理解以太网的数据帧格式和MAC地址。
基于libpcap实现程序
成长之路
04-28 1万+
紧接着上一篇,成功通过tcpdump和wireshark后,试试自己写一个器。这里我们使用libpcap库开发。 原创文章欢迎转载,请保留出处。 若有任何疑问建议,欢迎回复。 邮箱:Maxwell_nc@163.com
基于 Wireshark 分析 ARP 协议
Flag少侠的博客
03-24 3162
两台虚拟机,一台 Windows 10 安装了 WireShark,另一台随意(同一局域网内)
Wireshark分析ARP协议
热门推荐
wangyuxiang946的博客
04-30 3万+
使用Wireshark工具ARP协议的数据,分析ARP协议的地址解析过程、自主学习逻辑以及初次访问和多次访问的区别。
计算机网络——Wireshark软件使用与协议分析(ARP协议、IP与ICMP分析)
加载中.......
01-19 2万+
Wireshark软件使用与协议分析 ARP协议分析 使用 Wireshark 取局域网的数据并进行分析: 1. 学习 Wireshark 基本操作:重点掌握捕获过滤器和显示过滤器。 2. 观察 MAC 地址:了解 MAC 地址的组成,辨识 MAC 地址类型。 3. 分析以太网帧结构:观察以太网帧的首部和尾部,了解数据封装成帧的原理。 4. 分析 ARP 协议:ARP 请求和应答报文,分析其工作过程。 IP与ICMP分析 启动 Wireshark,捕捉网络命令执行过程中本机接受和发送的数据报。
网络分析【IP,ICMP,ARP】以及 IP数据报,MAC帧,ICMP报和ARP报的数据报格式
m0_63622279的博客
04-17 1万+
因为icmp属于ip的一个子协议,然后的话上面也说了它的数据报格式,所以它是封装在ip数据报的数据部分中,即对应比特流中的mac 14字节的首部,ip地址20字节的首部地址,第35字节开始到第38字节结束为对应的icmp数据报的首部(4字节)。MAC帧的数据部分只有一个字段,其长度在46到1500字节之间,含的信息是网络层传下来的数据。它是TCP/IP协议簇的一个子协议(然后在ip数据报的格式中的话,我们首要的任务是找到其中的目的IP和源IP,经过上面的IP数据报格式得知,IP数据报首部每行4个字节。
wireshark实验】分析中间人攻击
qq_44657899的博客
04-29 2039
文章目录中间人攻击的相关理论ARP欺骗的原理ARP协议的相关理论wireshark专家模式防御中间人攻击 中间人攻击的相关理论 中间人攻击的目标并不是交换机,而是终端设备(例如计算机、手机等)。在每一台终端设备中都有一个ARP缓存表,这个表中保存了一些IP地址和MAC地址之间的对应关系。 通常应用程序只能通过IP地址进行通信,但是在内部网络中使用的交换机却不能识别IP地址。因此每一台终端设备在发送应用程序产生的数据时,必须在它里面添加上一个MAC地址。而这个MAC地址是哪里来的呢? ARP欺骗的原理
TCP/IP之ARP详解
Postgres 数据库内核开发工程师
04-01 2370
文章目录1. ARP概述2. ARP首部结构3. ARP工作原理3.1 ARP缓存3.24. ARP攻击5. 总结 1. ARP概述                               2. ARP首部结构                               3. ARP工作原理 3.1 ARP缓存      每一次的网络通信,应用层的数据都需要经过从应用层到物理层的封装步骤,即数...
ns到na地址讲解
03-11
<think>嗯,用户现在问的是关于NS到NA地址的讲解。首先,我需要回忆一下之前用户的问题,之前他们问过Neighbor Solicitation和ARP协议的异同,现在应该是继续深入IPv6的邻居发现协议相关的内容。 用户可能是在学习IPv6的网络配置或者安全方面,或者在进行网络故障排查,所以需要了解NS和NA报文的具体结构和分析。他们可能已经有一些基础,但需要更实际的操作指导,比如如何用Wireshark取这些,并解读其中的字段。 首先,我需要解释NS(Neighbor Solicitation)和NA(Neighbor Advertisement)的作用,这在之前的回答中已经提到过,但这里可能需要更详细。然后,结合实例,具体说明每个字段的含义,比如ICMPv6类型、目标地址、源地址、MAC地址等。同时,用户可能想知道如何区分NS和NA报文,以及它们的交互过程,比如地址解析和DAD(重复地址检测)。 另外,用户可能对步骤不太清楚,需要给出具体的步骤,比如使用Wireshark设置过滤条件icmpv6.type == 135或136,或者使用tcpdump命令。还要注意是否需要开启IPv6网络环境,比如本地链路地址的情况。 还需要考虑用户可能的深层需求,比如他们是否在解决网络连通性问题,或者检测是否存在地址冲突,甚至安全方面的考量,比如防范NS/NA欺骗攻击。这时候可能需要提到安全机制,比如SEcure Neighbor Discovery(SEND),但之前的回答中已经提到过ICMPv6的安全性,这里是否需要展开? 另外,用户可能对结果中的某些字段有疑问,比如Hop Limit为什么是255,校验和的计算方式,或者Options字段中的源链路层地址。需要确保解释清楚这些细节,帮助用户正确解读数据。 还要注意结构清晰,分步骤讲解方法,然后分析NS和NA的具体内容,最后总结它们的交互过程。这样用户能一步步跟着操作和理解。同时,相关问题的推荐也需要和当前主题紧密相关,比如重复地址检测的具体过程,或者SEND协议的作用,这样可以引导用户继续深入学习。 总之,用户需要的是一个从理论到实践的完整指导,既要解释NS和NA的概念,又要结合实际的分析,帮助他们验证网络行为或排查问题。需要确保回答准确,步骤清晰,并且覆盖可能的应用场景和注意事项。</think>以下是关于IPv6中 **Neighbor Solicitation (NS)** 和 **Neighbor Advertisement (NA)** 报文的解析和功能讲解: --- ### **1. NS与NA的作用** - **Neighbor Solicitation (NS)**: 用于IPv6地址解析(类似IPv4的ARP请求),或检测目标地址是否已被占用(重复地址检测,DAD)。 - **触发场景**:当设备需要将目标IPv6地址解析为MAC地址时,会发送NS报文(目标地址为**Solicited-Node多播地址**)。 - **关键字段**:目标IPv6地址(`Target Address`)、源MAC地址、ICMPv6类型(135)。 - **Neighbor Advertisement (NA)**: 用于响应NS请求,告知自身MAC地址;或主动通告地址变化(如设备更换网卡)。 - **关键字段**:目标IPv6地址(`Target Address`)、源MAC地址、ICMPv6类型(136)、标志位(如`Solicited`表示是否响应请求)。 --- ### **2. 示例与分析** #### **(1) NS报文(请求)** ```plaintext Frame 1: NS报文 - Ethernet II: Destination: 33:33:ff:00:00:01 (IPv6多播MAC地址) Source: 00:11:22:33:44:55 (发送方MAC) - IPv6: Source: fe80::211:22ff:fe33:4455 (发送方链路本地地址) Destination: ff02::1:ff00:1 (Solicited-Node多播地址) - ICMPv6: Type: 135 (Neighbor Solicitation) Target Address: 2001:db8::1 (要解析的目标IPv6地址) Options: Source Link-Layer Address (发送方MAC) ``` #### **(2) NA报文(响应)** ```plaintext Frame 2: NA报文 - Ethernet II: Destination: 00:11:22:33:44:55 (NS请求方的MAC) Source: aa:bb:cc:dd:ee:ff (目标设备的MAC) - IPv6: Source: 2001:db8::1 (目标设备的IPv6地址) Destination: fe80::211:22ff:fe33:4455 (NS请求方的链路本地地址) - ICMPv6: Type: 136 (Neighbor Advertisement) Target Address: 2001:db8::1 (被解析的IPv6地址) Flags: Solicited=1 (表示响应请求) Options: Target Link-Layer Address (目标设备的MAC) ``` --- ### **3. 关键细节** - **多播地址映射**: IPv6的Solicited-Node多播地址(如`ff02::1:ff00:1`)对应特定的MAC地址(前缀`33:33:ff`),确保仅相关设备接收NS请求。 - **链路本地地址**: NS/NA交互默认使用链路本地地址(`fe80::/10`)作为源地址,保障局域网内通信。 - **安全机制**: IPv6要求NS报文的IPv6头部`Hop Limit=255`,防止远程攻击(伪造NS/NA报文需满足此条件)。 --- ### **4. 步骤(以Wireshark为例)** 1. **过滤条件**: - 输入 `icmpv6.type == 135 || icmpv6.type == 136` 过滤NS/NA报文。 2. **触发NS/NA交互**: - 在终端执行 `ping6 <目标IPv6地址>` 或重启网络接口(触发DAD)。 3. **分析字段**: - 观察`Target Address`、`Source Link-Layer Address`、`Flags`等字段。 --- ### **总结:NS与NA的交互流程** 1. **NS请求**:设备A广播NS报文,询问“谁有IPv6地址X的MAC?”。 2. **NA响应**:设备B单播回复NA报文,告知“X的MAC是YY:YY:YY”。 3. **缓存记录**:设备A将映射关系存入邻居缓存表(类似ARP表),后续通信直接使用。 --**相关问题**-- 1. IPv6的Solicited-Node多播地址如何计算? 2. 重复地址检测(DAD)具体如何实现? 3. 如何防御IPv6的NS/NA欺骗攻击?
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值