CSNA网络分析论坛»首页 流量分析 网络分析 分析ARP
返回列表 发帖
查看: 3462|回复: 7

分析ARP

[复制链接]
garnett_wu
发表于 2007-1-12 14:39:37 | 显示全部楼层 |阅读模式
环境:一台中文XP,一台英文XP,双机用交叉线直连.起Sniffer抓包观察.

A:IP 10.1.1.1/8

B:IP 11.1.1.1/8

1.无网关,A ping B,报Destination host unreachable.显然,A机器发现对方与自己不是同一网段,试图寻找网关,但网关不存在,所以报主机不可达,B上的Sniffer未抓到任何包, 观察网卡也是只发不收.显然数据没有出去,也没有发生卷一上所说的ARP广播过程.

2.网关设成对方IP,能正常PING通.为什么能通?从A计算机Sniffer上抓到的包可以看出,A在PING对方过程中,A首先进行了ARP 广播,它广播询问11.1.1.1的MAC是什么!但这里有个问题,这个11.1.1.1到底指的是PING中指定的11.1.1.1还是网关中的 11.1.1.1呢?先不管它,一会实验就明白了.反正此时的结果是A问11.1.1.1的MAC,显然这个ARP广播是可以被B收到的(为什么就不用说了吧),而11.1.1.1正好就是B的IP地址,理所当然B要回应这个ARP请求.下图是A上的SNIFFER,A首先进行了ARP广播,然后收到了B 的应答.

如图 1

这样A就有了B的MAC,而B在接到A的ARP广播时候就学到A的MAC,所以双方可以PING通.

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

garnett_wu
 楼主| 发表于 2007-1-12 14:40:40 | 显示全部楼层
网关设成自己,A PING 对方一样是通的,A上抓包

如图2

(抓到的结果与第2种情况一样,所以借用第2种情况的图),A依然是先广播询问11.1.1.1的MAC,这个ARP广播被B接到后,B有义务应答,于是双方知道对方MAC,所以能PING通.与第2种情况不同的是,这里可以明确知道ARP中的11.1.1.1指的是PING中所指定的IP地址而不是网关(此时A网关是10.1.1.1了),那么第2种情况中的11.1.1.1也指的是PING中所指定的IP ?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

garnett_wu
 楼主| 发表于 2007-1-12 14:41:46 | 显示全部楼层
4.网关设成自己,PING 3个不存在的IP,一个是和自己在同一网段的,一个是和网关在同一网段的,一个是和谁都不在同一网段的:
4.1 PING和自己同一网段的IP,PING返回超时,在B上抓包结果如下:

如图3


可以看出,A发出了询问10.1.1.2的ARP广播而不是询问网关(10.1.1.1)的广播,由于这个IP不存在,所以没有机器做出回应.

4.2 PING和网关同一网段的IP,超时,B上接到的是A发出的关于11.1.1.2的ARP广播,由于不存在11.1.1.2这个地址,所以没有机器回应.图略

4.3 PING和谁都不在一个网段的IP,超时,B上接到是A发出的关于100.1.1.1的ARP广播,由于不存在100.1.1.1这个地址,所以没有机器回应.图略.

从上面的3个付实验来看,当网关设置成自己的时候,不管PING的地址是什么,计算机发出的ARP广播都是直接询问PING中所指定IP对应的MAC,没有询问网关的MAC,这符合卷一上的描述,其实计算机在广播询问PING命令指定的IP之前还是会先问网关的MAC的,只是这里由于网关是自己所以这一步就被跳过了,到底是不是这样,继续做下面的实验来测试.

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

garnett_wu
 楼主| 发表于 2007-1-12 14:43:59 | 显示全部楼层
5.A计算机网关设成B的IP地址,但B的网关设置成一个不存在的IP(且与A/B都不在同一网络),PING实验4中的三种情况,

5.1 PING与自己同一网段IP,抓包可以看到B上接到询问10.1.1.2的ARP广播,但10.1.1.2是不存在的IP,所以没有得到回应.

5.2 PING与网关同一网段IP,在A上抓包,可以看到A首先发出了关于网关11.1.1.1的ARP广播请求(对应B接到这个广播请求,图略),B对这个11.1.1.1进行了ARP应答.但这个IP是不存在的所以PING结果超时.

如图4

5.3 PING与谁都不在同一网段,超时,结果类似5.2结果,A发出了关于网关11.1.1.1的请求,B做了应答.但PING是超时的.
5.4 PING计算机B的地址,结果超时,为什么这个也不通呢?按说按照上面的测试,AB计算机都能获得对方MAC,以太网下,有MAC应该就有通信的可能,可这个时候却不通,查看Sniffer抓到的包可以发现:

A发出了关于11.1.1.1的ARP广播请求,B对11.1.1.1做出应答,但是下面接到了多个B发来的关于100.1.1.1的ARP广播请求,且100.1.1.1的回显请求没有得到B的应答.看来B是一直在试图查询B的网关(100.1.1.1)所对应的MAC,在网关的MAC没有获得应答之前,B不会对PING产生回应.从上面的所有实验看出,计算机在与非本网段的地址通信时,计算机首先查找网关的MAC,如果网关MAC得不到回应,是不会对PING作出响应的.因此,实现1和2的情况是属于特殊情况,正好利用了网关与主机IP相同,骗过了计算机.如果AB的网关都设置的与ABip毫不相干的话,相互肯定不通.
在两台主机之间接上交换机,效果一样.
对于卷一上提到的,路由器可以通过代理ARP实现网关与主机不在同一网段通信,在2514/12.3IOS上测试不成功,路由器确实可以接到对网关的ARP广播,但是路由器会过滤
*Mar 1 00:24:45.063: IP ARP req filtered src 21.1.1.2 0016.d30d.1906, dst10.0.4.5 0000.0000.0000 wrong cable, interface Ethernet0.实验没有成功.

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

xiasixia
发表于 2007-1-27 05:59:56 | 显示全部楼层
看得头晕眼花,还是半懂不懂!
本来就觉得自己菜,看完后觉得自己不是普通的菜
回复

使用道具 举报

msi111
发表于 2007-1-28 17:12:21 | 显示全部楼层
看样子得多学习基础知识了.
回复

使用道具 举报

roue
发表于 2007-2-9 10:14:09 | 显示全部楼层
不错,不错,收藏了,谢谢楼主!!1
回复

使用道具 举报

ohxf
发表于 2008-7-23 10:44:09 | 显示全部楼层
不错,收藏了,谢谢楼主!!
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表