Wireshark是免费的网络协议检测程序,支持Unix,Windows。
1、ARP协议简介
说到网络中的IP地址就不得不说APR协议。何为ARP?全名叫做Address Resolution Protocol(地址解析协议)。网络中的设备发送消息时将包含目标IP地址信息存入本设备APR缓存中并保留一段时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此***者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。
ARP缓存是个用来储存IP地址和MAC地址的缓冲区,其本质就是一个IP地址-->MAC地址的对应表,表中每一个条目分别记录了网络上其他主机的IP地址和对应的MAC地址。每一个以太网或令牌环网络适配器都有自己单独的表。当地址解析协议被询问一个已知IP地址节点的MAC地址时,先在ARP缓存中查看,若存在,就直接返回与之对应的MAC地址,若不存在,才发送ARP请求向局域网查询。
为使广播量最小,ARP维护IP地址到MAC地址映射的缓存以便将来使用。ARP缓存可以包含动态和静态项目。动态项目随时间推移自动添加和删除。每个动态ARP缓存项的潜在生命周期是10分钟。新加到缓存中的项目带有时间戳,如果某个项目添加后2分钟内没有再使用,则此项目过期并从ARP缓存中删除;如果某个项目已在使用,则又收到2分钟的生命周期;如果某个项目始终在使用,则会另外收到2分钟的生命周期,一直到10分钟的最长生命周期。静态项目一直保留在缓存中,直到重新启动计算机为止。
2、抓取直连设备IP
环境:将被获取的设备服务器B和计算机A相连(可直接用网线直连)
在A设备上将网口的所有IP信息清除(即改为DHCP),此步骤不做也可以,建议不要省略
网线连接后,打开安装好的wirshark软件,在过滤规则中输入 arp(只显示arp的数据包)
如果是直连的话,服务器B在关机状态下此界面是没有任何数据包显示的,接下来,只需要打开服务器B设备,就会获取直连网络中的ARP数据包。在数据包中就有服务器B的IP等信息了
who has XX.XX.XX.XX ? Tell BB.BB.BB.BB
此处BB.BB.BB.BB就是需要获取的地址。也包括此设备的MAC地址。
在Ubuntu 17.10, 16.04中安装Wireshark 2.4.4
Wireshark 2.6 发布,世界上受欢迎的网络协议分析器 https://www.linuxidc.com/Linux/2018-04/152059.htm
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx