能用wireshark来分析网络中的ARP攻击和获取对方的IP地址吗？获取的是MAC地址是吗？

jamella000 · 发表于 2010-5-17 11:21:57

小女子刚开始接触，希望各位高手帮忙告诉下，我最近只会抓本机器网卡发送和接收的包，对于这些包不知道如何分析，从和下手，分析后也找不到自己想要的东西。
例如抓对方QQ的IP地址，我只能找到XX.XX.14.60这个IP，不知道如何去找真正的地址。

billjock · 发表于 2010-5-17 14:15:41

先回答ARP攻击的问题

wireshark小弟没用过。SNIFFER PRO、FLUKE、科来肯定是没问题，截获二层包就可以了。

关于如何查询QQ好友的IP，要明白这个流程

1.你的QQ CLIENT 与 QQ SERVER连接正常
2.对方QQ CLIENT 与 QQ SERVER连接正常
3.经过一定的协商机制后，你的QQ 才可能与对方QQ直接相连，其中，还会夹杂不少的与QQ SERVER通讯的包。

因此，需要抓取一定时间内的包，同时，要做过滤。

看LZ的问法，应该对协议知识不太了解。MAC地址只用于同段内主机通信使用，如果跨网段，目的MAC地址为网关MAC，3层IP地址才是数据包走向的关键。

关于ARP攻击的知识，LZ可以看看这篇文章：什么是ARP攻击

jamella000 · 发表于 2010-5-17 16:56:44

{:4_142:}{:4_142:}
科来我下了，感觉不错的软件，截获二层包是什么意思啊，我不太明白，希望告解。
过滤啊，很麻烦的东西，语法掌握的不是很好。离******还是有差距啊。。。！