Analýza paketů ARP s Wireshark

Arp Packet Analysis With Wireshark



Pro zjištění MAC adresy se obecně používá protokol pro rozlišení adres. ARP je protokol linkové vrstvy, ale používá se, když IPv4 se používá přes ethernet.

Proč potřebujeme ARP?

Pojďme to pochopit na jednoduchém příkladu.







Máme jeden počítač [PC1] s IP adresou 192.168.1.6 a chceme pingovat na jiný počítač [PC2], jehož IP adresa je 192.168.1.1. Nyní máme MAC adresu PC1, ale neznáme MAC adresu PC2 a bez MAC adresy nemůžeme odeslat žádný paket.



Nyní se podívejme krok za krokem.



Poznámka: Otevřete příkaz v administrativním režimu.





Krok 1: Zkontrolujte stávající ARP na PC1. Vykonat arp –a v příkazovém řádku zobrazíte stávající položku ARP.

Zde je snímek obrazovky



Krok 2: Odstranit položku ARP. Vykonat arp –d příkaz v příkazovém řádku. A pak spustit arp –a abyste se ujistili, že položky ARP byly odstraněny.

Zde je snímek obrazovky

Krok 3: Otevřete Wireshark a spusťte jej na PC1.

Krok 2: Proveďte níže uvedený příkaz na PC1.

ping192.168.1.1

Krok 3: Nyní by měl být příkaz ping úspěšný.

Zde je snímek obrazovky

Krok 4: Zastavte Wireshark.

Nyní zkontrolujeme, co se stane na pozadí, když odstraníme položku arp a ping na novou IP adresu.

Když jsme odeslali příkaz ping na adresu 192.168.1.1, před odesláním paketu požadavku ICMP došlo k výměně paketů ARP Request a ARP. PC1 tedy získal MAC adresu PC2 a mohl odeslat ICMP paket.

Další informace o ICMP naleznete zde

Analýza na Wireshark:

Typy paketů ARP:

  1. Požadavek ARP.
  2. Odpověď ARP.

Existují další dva typy RARP Request a RARP Reply, ale používané ve specifických případech.

Vraťme se k našemu experimentu.

Provedli jsme příkaz ping na adresu 192.168.1.1, takže před odesláním požadavku ICMP by měl PC1 vysílat vysílání Požadavek ARP a PC2 by měly posílat unicast Odpověď ARP .

Zde jsou důležitá pole pro požadavek ARP.

Chápeme tedy, že hlavním záměrem požadavku ARP je získat MAC adresu PC2.

Nyní se podívejme na odpověď ARP ve Wireshark.

Odpověď ARP odesílá PC2 po obdržení požadavku ARP.

Zde jsou důležitá pole odpovědi ARP.

Z této odpovědi ARP vycházíme, že PC1 dostal PC2 MAC a aktualizovanou tabulku ARP.

Nyní by měl být ping úspěšný, protože ARP byl vyřešen.

Zde jsou pakety ping

Další důležité pakety ARP:

RARP: Je to opak normálního ARP, o kterém jsme diskutovali. To znamená, že máte MAC adresu PC2, ale nemáte IP adresu PC2. Některé konkrétní případy vyžadují RARP.

Bezplatná ARP: Když systém získá IP adresu poté, co tento systém může zdarma odeslat bezplatný ARP informující síť, že mám tuto IP. To má zabránit konfliktu IP ve stejné síti.

Proxy ARP: Už z názvu můžeme pochopit, že když jedno zařízení odešle požadavek ARP a dostane odpověď ARP, ale nevytvoří skutečné zařízení. To znamená, že někdo pošle odpověď ARP na chování původního zařízení. Je implementován z bezpečnostních důvodů.

Souhrn:

ARP pakety se vyměňují na pozadí, kdykoli se pokusíme získat přístup k nové IP adrese