Interpretando a saída do Wireshark para um teste de ping entre duas máquinas

tag-icon tag-icon networking ping wireshark
Interpretando a saída do Wireshark para um teste de ping entre duas máquinas

Transparência completa: Sou estudante e sim, estou trabalhando em umRelatório de laboratóriopara meu curso de Segurança na Internet, mas esta não é uma pergunta direta de laboratório. Estou apenas curioso para entender mais sobre os resultados que estou vendo.

Eu configurei duas máquinas virtuais usando o professor Kevin DuVMs de laboratório SEED. Eu configurei duas máquinas Ubuntu em Machine A 10.0.2.4e Machine B 10.0.2.5. Em seguida, tento fazer ping 10.0.2.7na Máquina A. Obtenho a seguinte saída:

insira a descrição da imagem aqui

No Wireshark, percebo que pacotes ARP estão sendo enviados solicitando o endereço MAC do arquivo 10.0.2.7. Entendo que isso ocorre porque a Máquina A não sabe o endereço MAC de 10.0.2.7quando tenta executar ping nesse IP específico (e recebe um Destination not reachableporque nenhuma máquina responde a essa solicitação ARP específica.

insira a descrição da imagem aqui

Isso implica que nenhum pacote destinado 10.0.2.7foi enviado. No entanto, escrevi um pequeno programa sniffer na Máquina B ( 10.0.2.5) usando pcappacotes com IP de destino 10.0.2.7e, de fato, farejo pacotes direcionados nessa direção:

insira a descrição da imagem aqui

No entanto, minhas duas perguntas aqui são:

  1. O que é PcsCompu_88:8c:cc? Esse é o endereço MAC da minha máquina 10.0.2.4? Se for, por que isso é exibido em vez do endereço IP da Máquina A 10.0.2.4? Quando o Wireshark escolhe exibir o endereço MAC versus o endereço IP?

  2. Por que ainda há tráfego de pacotes detectado pela Máquina B em direção a 10.0.2.7? Tudo o que posso ver no Wireshark da Máquina B são transmissões ARP solicitando o endereço MAC de 10.0.2.7.

Responder1

O endereço MAC tem 6 bytes, composto por 3 bytes do fabricante e 3 bytes para a parte exclusiva do dispositivo. PcsCompu é como os bytes do fabricante são consultados. 88:8c:cc são os três segundos bytes.

Os pacotes ARP operam na camada 2 porque são usados ​​quando as informações para a comunicação da camada 3 (IP) ainda não estão disponíveis. O WireShark exibirá todos os campos de cabeçalho de um pacote. Se fosse um pacote IP, exibiria o endereço IP de origem.

Os únicos pacotes na rede seriam os ARPs que são transmitidos para todos os hosts na sub-rede que os receberiam.

informação relacionada