完全な開示: 私は学生です。はい、私は研究報告書インターネット セキュリティ コースの質問ですが、これは直接的なラボの質問ではありません。表示されている出力について、もっと詳しく知りたいだけです。
私はケビン・ドゥ教授のSEED ラボ VM10.0.2.4マシン Aとマシン Bに 2 台の Ubuntu マシンをセットアップしました10.0.2.5。次に、マシン A から ping を試みます10.0.2.7。次の出力が表示されます。
Wireshark で、 の MAC アドレスを要求する ARP パケットが送信されていることに気づきました10.0.2.7。これは、マシン A が10.0.2.7その特定の IP に ping しようとしたときに の MAC アドレスがわからないため (また、その特定の ARP 要求に応答するマシンがないため を受信するため) であると理解していますDestination not reachable。
これは、 宛てのパケットが送信されなかったことを意味します。ただし、私はマシン B ( ) で、宛先 IP が であるパケットをスニファするために を使用する10.0.2.7小さなスニファ プログラムを作成しました。そして、実際にその方向に向かうパケットをスニファしています。10.0.2.5pcap10.0.2.7
しかし、ここでの私の疑問は次の 2 つです。
とは何ですか
PcsCompu_88:8c:cc? それは の私のマシンの MAC アドレスですか10.0.2.4? もしそうなら、なぜそれがマシン A の IP アドレスの代わりに表示されるのですか10.0.2.4? Wireshark はいつ IP アドレスではなく MAC アドレスを表示することを選択するのですか?マシン B によってスニッフィングされた に向かうパケット トラフィックがまだあるのはなぜですか
10.0.2.7? マシン B からの Wireshark で確認できるのは、 の MAC アドレスを要求する ARP ブロードキャストだけです10.0.2.7。
答え1
MAC アドレスは、3 バイトの製造元と 3 バイトの固有デバイス部分で構成される 6 バイトです。製造元バイトは PcsCompu として検索されます。88:8c:cc は 2 番目の 3 バイトです。
ARP パケットは、レイヤー 3 (IP) 通信の情報がまだ利用できないときに使用されるため、レイヤー 2 で動作します。WireShark は、パケットのすべてのヘッダー フィールドを表示します。IP パケットの場合は、送信元 IP アドレスが表示されます。
ネットワーク上の唯一のパケットは、サブネット上のすべてのホストにブロードキャストされる ARP であり、それらを受信します。