天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

用抓包工具轻轻松松排查网络故障

2008-7-4塞迪网sohaha

 

当一台电脑需要发送数据给另一台电脑,比如192.168.0.2 MAC地址是:00-19-e0-29-7f-47要发送数据给192.168.0.3,MAC地址是00-11-5b-7e-08-ae,这个时候,192.168.0.2就会在网络上发送一个ARP广播,这个ARP广播包的数据结构就是

源地址:192.168.0.2 MAC地址:00-19-e0-29-7f-47

目标地址:192.168.0.3

数据包:“谁是192.168.0.3,请返回你的MAC地址”

当192.168.0.3收到后,就会回应一个数据包

源地址:

IP地址:192.168.0.3

MAC地址:00-11-5b-7e-08-ae

数据包:“我的MAC地址是00-11-5b-7e-08-ae”

当192.168.0.2接收到这个数据包后,就会在本地缓存记下192.168.0.3的MAC地址。

我们可以通过ARP -a 命令看到这个缓存:

C:\>arp -a

Interface: 192.168.0.2 --- 0x2

Internet Address Physical Address Type

192.168.0.3 00-11-5b-7e-08-ae dynamic

这其中的Internet Address就是IP地址,Physical Address就是物地址,Type 下面是dynamic,表示是动态更新。

默认情况下ARP缓存的超时时限是两分钟,也就是2分钟以后,又会发起一次ARP询问,而ARP欺骗正是利用这个特点。

一般ARP欺骗都是进行网关欺骗,也就是大家上网都要通过的一个节点,如一般网络中192.168.0.1是网关地址,假设他的MAC地址是00-90-7f-2e-47-bf,

我们看192.168.0.2如何进行ARP欺骗

首先192.168.0.2会在网络中不断地发送数据包,格式如下:

源地址:

IP:192.168.0.2 MAC:00-19-e0-29-7f-47

目标地址:192.168.0.255 [广播,意思是所有网络上的电脑都能接收到]

数据包:“我是192.168.0.1,我的MAC是00-19-e0-29-7f-47”

[其实真正的192.168.0.1的MAC地址应该是00-90-7f-2e-47-bf]

网络中所有的电脑在接收到这个ARP欺骗数据包后,就会更新本地的ARP缓存,

将192.168.0.1对应的MAC地址由正确的00-90-7f-2e-47-bf改成192.168.0.2电脑的MAC地址:00-19-e0-29-7f-47

这样,以后所有发往网关的数据,都会发到192.168.0.2这台电脑上。但是发送的电脑并不知道自已发错了。

192.168.0.2这台电脑就可以对捕获的数据包进行分析,获得自已想要的数据,如帐号和密码。这一般是一些病毒最终想要的东西。

通过上面的了解,我们知道,一个电脑如果进行ARP欺骗,必然要发送大量的ARP回应,而不是ARP询问,我们只要查看我们捕获的数据包里,谁发送了大量的ARP回应,就可以很快找到这台电脑。

通过专业网络嗅探工具,大大方便了日常的网络管理工作。

这样我们再也不用一个个交换机断电,一根根网络去拔下来,再接上去。

网络管理,从此变得轻松!

责任编辑:封小明

本文来源:塞迪网 作者:sohaha

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行