Analiza paketov ARP z Wiresharkom

Arp Packet Analysis With Wireshark



Protokol za ločevanje naslovov se običajno uporablja za iskanje naslova MAC. ARP je protokol plast povezave, vendar se uporablja, kadar IPv4 se uporablja prek etherneta.

Zakaj potrebujemo ARP?

Razumejmo s preprostim primerom.







Imamo en računalnik [PC1] z naslovom IP 192.168.1.6 in želimo pingati na drug računalnik [PC2], katerega naslov IP je 192.168.1.1. Zdaj imamo naslov MAC PC1, vendar ne poznamo naslova MAC PC2 in brez naslova MAC ne moremo poslati nobenega paketa.



Zdaj pa poglejmo korak za korakom.



Opomba: Odprite ukaz v skrbniškem načinu.





Korak 1: Preverite obstoječi ARP na PC1. Izvedite arp –a v ukazni vrstici za ogled obstoječega vnosa ARP.

Tukaj je posnetek zaslona



2. korak: Izbrišite vnos ARP. Izvedite arp –d ukaz v ukazni vrstici. In potem izvedite arp –a da se prepričate, da so vnosi ARP izbrisani.

Tukaj je posnetek zaslona

3. korak: Odprite Wireshark in ga zaženite na računalniku PC1.

2. korak: Izvedite spodnji ukaz na PC1.

ping192.168.1.1

3. korak: Zdaj bi moral biti ping uspešen.

Tukaj je posnetek zaslona

4. korak: Ustavite Wireshark.

Zdaj bomo preverili, kaj se dogaja v ozadju, ko izbrišemo vnos arp in pingamo na nov naslov IP.

Pravzaprav, ko smo pingali 192.168.1.1, je bilo pred pošiljanjem paketa zahteve ICMP izmenjava zahtev ARP Request in ARP. Tako je PC1 dobil MAC naslov PC2 in lahko pošlje paket ICMP.

Več informacij o ICMP najdete tukaj

Analiza na Wiresharku:

Vrste paketov ARP:

  1. Zahteva ARP.
  2. Odgovor ARP.

Obstajata še dve vrsti zahtev RARP in odgovor RARP, ki pa se uporabljata v posebnih primerih.

Vrnimo se k našemu poskusu.

Naredili smo ping na 192.168.1.1, zato mora PC1 pred pošiljanjem zahteve ICMP poslati oddajo Zahteva ARP in PC2 bi morala poslati unicast Odgovor ARP .

Tu so pomembna polja za zahtevo ARP.

Zato razumemo, da je glavni namen zahteve ARP pridobiti naslov MAC PC2.

Zdaj pa poglejmo odgovor ARP v Wiresharku.

Odgovor ARP pošlje PC2 po prejemu zahteve ARP.

Tu so pomembna polja odgovora ARP.

Iz tega odgovora ARP gremo, da je PC1 dobil PC2 MAC in posodobljeno tabelo ARP.

Zdaj bi moral biti ping uspešen, saj je bil ARP rešen.

Tu so paketi ping

Drugi pomembni paketi ARP:

RARP: To je nasprotje običajnega ARP, o katerem smo govorili. To pomeni, da imate MAC naslov PC2, nimate pa IP naslova PC2. Nekateri posebni primeri potrebujejo RARP.

Brezplačni ARP: Ko sistem dobi naslov IP po tem, lahko sistem pošlje brezplačen ARP in obvesti omrežje, da imam ta IP. S tem se izognete konfliktu IP v istem omrežju.

Proxy ARP: Iz imena lahko razumemo, da ko ena naprava pošlje zahtevo ARP in prejme odgovor ARP, vendar ne tvori dejanske naprave. To pomeni, da nekdo pošlje odgovor ARP na obnašanje prvotne naprave. Izvaja se iz varnostnih razlogov.

Povzetek:

Paketi ARP se v ozadju izmenjujejo, kadar koli poskušamo dostopati do novega naslova IP