全面揭露:我是一名學生,是的,我正在研究一個實驗報告對於我的互聯網安全課程,但這不是一個直接的實驗室問題 - 我只是想了解更多有關我所看到的輸出的信息。
我使用Kevin Du教授的方法設定了兩台虛擬機SEED 實驗室虛擬機。我在機器 A10.0.2.4和機器 B上設定了兩台 Ubuntu 機器10.0.2.5。然後我嘗試10.0.2.7從機器 A 進行 ping 操作。
在 Wireshark 上,我注意到正在發送 ARP 封包,詢問 的 MAC 位址10.0.2.7。我理解這是因為機器 A 不知道10.0.2.7當它嘗試 ping 該特定 IP 時的 MAC 位址(並且它收到一個,Destination not reachable因為沒有機器回應該特定 ARP 請求。
這意味著沒有10.0.2.7發送任何目的地的資料包。然而,我在機器 B ( 10.0.2.5)上編寫了一個小型嗅探器程序,用於pcap檢測具有目標 IP 的資料包10.0.2.7,並且我確實嗅探了那個方向的資料包:
但是,我的兩個問題是:
什麼是
PcsCompu_88:8c:cc?這是我機器的 MAC 位址嗎10.0.2.4?如果是,為什麼顯示的是該位址而不是機器 A 的 IP 位址10.0.2.4? Wireshark 何時選擇顯示 MAC 位址和 IP 位址?為什麼仍然有機器 B 嗅探到的封包流量流向
10.0.2.7?我在機器 B 的 Wireshark 中只能看到請求 的 MAC 位址的 ARP 廣播10.0.2.7。
答案1
MAC 位址為 6 個位元組,其中 3 個位元組為製造商,另外 3 個位元組為唯一設備部分。 PcsCompu 是製造商位元組的尋找方式。 88:8c:cc 是後三個位元組。
ARP 封包在第 2 層運行,因為它們是在第 3 層 (IP) 通訊的資訊尚未可用時使用的。 WireShark 將顯示封包的所有標頭欄位。如果是 IP 封包,則會顯示來源 IP 位址。
網路上唯一的封包是 ARP,廣播到子網路上的所有主機都會收到它們。