Interpretación de la salida de Wireshark para una prueba de ping entre dos máquinas

tag-icon tag-icon networking ping wireshark
Interpretación de la salida de Wireshark para una prueba de ping entre dos máquinas

La divulgación completa: Soy estudiante y sí, estoy trabajando en unreporte de laboratoriopara mi curso de Seguridad de Internet, pero esta no es una pregunta de laboratorio directa; solo tengo curiosidad por comprender más sobre los resultados que estoy viendo.

He configurado dos máquinas virtuales utilizando el profesor Kevin Du.Máquinas virtuales de laboratorio de SEED. Configuré dos máquinas Ubuntu en la Máquina A 10.0.2.4y la Máquina 10.0.2.5B. Luego intento hacer ping 10.0.2.7desde la Máquina A. Obtengo el siguiente resultado:

ingrese la descripción de la imagen aquí

En Wireshark, noto que se envían paquetes ARP solicitando la dirección MAC de 10.0.2.7. Entiendo que esto se debe a que la Máquina A no conoce la dirección MAC 10.0.2.7cuando intenta hacer ping a esa IP en particular (y recibe un mensaje Destination not reachableporque ninguna máquina responde a esa solicitud ARP en particular).

ingrese la descripción de la imagen aquí

10.0.2.7Esto implica que nunca se enviaron paquetes destinados a . Sin embargo, escribí un pequeño programa rastreador en la Máquina B ( 10.0.2.5) usando pcappaquetes con IP de destino 10.0.2.7, y de hecho husmeo paquetes que se dirigen en esa dirección:

ingrese la descripción de la imagen aquí

Sin embargo, mis dos preguntas aquí son:

  1. Qué es PcsCompu_88:8c:cc? ¿Es esa la dirección MAC de mi máquina en 10.0.2.4? Si es así, ¿por qué se muestra eso en lugar de la dirección IP de la máquina A 10.0.2.4? ¿Cuándo elige Wireshark mostrar la dirección MAC frente a la dirección IP?

  2. ¿Por qué todavía hay tráfico de paquetes rastreado por la máquina B que se dirige hacia 10.0.2.7? Todo lo que puedo ver en Wireshark desde la Máquina B son transmisiones ARP que solicitan la dirección MAC de 10.0.2.7.

Respuesta1

La dirección MAC tiene 6 bytes, 3 bytes del fabricante y 3 bytes para la parte única del dispositivo. PcsCompu es lo que se busca en los bytes del fabricante. 88:8c:cc son los segundos tres bytes.

Los paquetes ARP funcionan en la capa 2 porque se utilizan cuando la información para la comunicación de la capa 3 (IP) aún no está disponible. WireShark mostrará todos los campos del encabezado de un paquete. Si fuera un paquete IP, mostraría la dirección IP de origen.

Los únicos paquetes en la red serían los ARP que se transmiten a todos los hosts de la subred que los recibirían.

información relacionada