抓ARP包，帮忙解释下。

hkfalcon · 发表于 2007-11-17 15:12:04

让ARP攻击给逼的，开始学的使用科来分析软件，现在网络虽然正常，抓了些数据包，看了看，却有点疑问，大家帮忙给解释下。
如下图：

图1，2，4，5中显示的目标IP和源IP都是一样的，这些包应该不是正常包吧，总是发广播询问自己的MAC给自己。
而图3中的源IP地址是0.0.0.0，这又是什么意思呢？
而且在我抓的包中怎么 ARP - 地址解析协议这个下边的目标物理地址有的是00:00:00:00:00:00而有的却是FF:FF:FF:FF:FF:FF,这个全0地址指的是什么呢？
在有一个问题就是如下图：

这个图上下两个地方的目标物理地址怎么一个是全0一个是全F呢？
麻烦各位帮忙解释一下，先行谢过了

hkfalcon · 发表于 2007-11-19 09:16:24

沉了，顶起，请有经验的帮忙解释一下。

shuofeng2008 · 发表于 2007-11-19 11:11:40

可能是arp欺骗造成的，原因就是杀毒

lbzxy · 发表于 2007-11-19 11:40:45

在ARP请求中，由于不知道目标的MAC地址，所以由0来填充，至于源IP为0，我觉得首先要确定这个MAC是否正确，也就是网络中是否有这个地址，如果没有，那肯定是伪造的在进行ARP欺骗。

hkfalcon · 发表于 2007-11-19 14:37:06

谢谢两位的回复，如楼上所说，如果那哥MAC不存在，那么这个包是伪造的，如果MAC存在的话，不管是怎么样，发这样的包的意义是什么呢？
另外如我帖的第一张图，发包的IP为发包的MAC地址为：00:07:E9:05:6B:02（其IP地址为192.168.1.3），他发的这个包中的目标物理地址却全是1，源IP和目标IP是一样的，而且他的目标IP和源IP是一个别的IP，这样的包是什么意思呢？