Interpretieren der Wireshark-Ausgabe für einen Ping-Test zwischen zwei Maschinen

tag-icon tag-icon networking ping wireshark
Interpretieren der Wireshark-Ausgabe für einen Ping-Test zwischen zwei Maschinen

Vollständige Offenlegung: Ich bin Student und ja, ich arbeite an einemLaborberichtfür meinen Kurs zur Internetsicherheit, aber das ist keine direkte Laborfrage – ich bin einfach neugierig und möchte mehr über die Ergebnisse erfahren, die ich sehe.

Ich habe zwei virtuelle Maschinen mit Professor Kevin DusSEED-Labor-VMs10.0.2.4. Ich habe zwei Ubuntu-Maschinen auf Maschine A und Maschine B eingerichtet 10.0.2.5. Dann versuche ich, 10.0.2.7von Maschine A aus einen Ping zu senden. Ich erhalte die folgende Ausgabe:

Bildbeschreibung hier eingeben

Bei Wireshark stelle ich fest, dass ARP-Pakete gesendet werden, die nach der MAC-Adresse von fragen 10.0.2.7. Ich verstehe das so, weil Maschine A die MAC-Adresse von nicht kennt, 10.0.2.7wenn sie versucht, diese bestimmte IP anzupingen (und sie erhält eine , Destination not reachableweil keine Maschine auf diese bestimmte ARP-Anforderung antwortet).

Bildbeschreibung hier eingeben

Dies bedeutet, dass nie Pakete mit dem Ziel IP 10.0.2.7gesendet wurden. Ich habe jedoch ein kleines Sniffer-Programm auf Maschine B ( 10.0.2.5) geschrieben pcap, das Pakete mit der Ziel-IP abhört 10.0.2.7, und ich sniffe tatsächlich Pakete, die in diese Richtung gehen:

Bildbeschreibung hier eingeben

Meine beiden Fragen hierzu lauten jedoch:

  1. Was ist PcsCompu_88:8c:cc? Ist das die MAC-Adresse meines Rechners bei 10.0.2.4? Wenn ja, warum wird diese anstelle der IP-Adresse von Rechner A angezeigt 10.0.2.4? Wann zeigt Wireshark die MAC-Adresse anstelle der IP-Adresse an?

  2. Warum wird von Maschine B immer noch Paketverkehr in Richtung abgehört 10.0.2.7? Alles, was ich in Wireshark von Maschine B sehen kann, sind ARP-Broadcasts, die nach der MAC-Adresse von fragen 10.0.2.7.

Antwort1

Die MAC-Adresse besteht aus 6 Bytes und besteht aus 3 Bytes Hersteller und 3 Bytes für den eindeutigen Geräteteil. Die Herstellerbytes werden als PcsCompu nachgeschlagen. 88:8c:cc sind die zweiten drei Bytes.

ARP-Pakete arbeiten auf Schicht 2, da sie verwendet werden, wenn die Informationen für die Kommunikation auf Schicht 3 (IP) noch nicht verfügbar sind. WireShark zeigt alle Header-Felder eines Pakets an. Wenn es ein IP-Paket wäre, würde es die Quell-IP-Adresse anzeigen.

Die einzigen Pakete im Netzwerk wären die ARPs, die an alle Hosts im Subnetz gesendet werden und sie empfangen würden.

verwandte Informationen