全面披露:我是一名学生,是的,我正在为我的互联网安全课程编写实验报告,但这不是一个直接的实验问题——我只是想了解更多关于我所看到的输出的信息。
我已经使用 Kevin Du 教授的SEED 实验室虚拟机设置了两个虚拟机。10.0.2.4我在 Machine A和 Machine B上设置了两台 Ubuntu 机器10.0.2.5。然后我尝试从机器 A ping 10.0.2.7。我得到以下输出:
在 Wireshark 上,我注意到正在发送 ARP 数据包,询问 MAC 地址10.0.2.7。我知道这是因为机器 A 不知道10.0.2.7它尝试 ping 那个特定 IP 时的 MAC 地址(并且它收到一个Destination not reachable因为没有机器响应那个特定的 ARP 请求。
这意味着没有发送任何目的地的数据包10.0.2.7。10.0.2.5但是,我在机器 B ( )上编写了一个小型嗅探器程序,使用pcap目标 IP 的数据包10.0.2.7,我确实嗅探了以这种方式前进的数据包:
但是,我的两个问题是:
是什么
PcsCompu_88:8c:cc?那是我机器的 MAC 地址10.0.2.4吗?如果是,为什么显示的不是机器 A 的 IP 地址10.0.2.4?Wireshark 何时选择显示 MAC 地址与 IP 地址?为什么仍然有数据包流量被机器 B 嗅探到
10.0.2.7?我在机器 B 的 Wireshark 中看到的所有内容都是 ARP 广播,询问10.0.2.7.
MAC 地址为 6 个字节,其中 3 个字节为制造商,3 个字节为唯一设备部分。PcsCompu 是制造商字节被查找的内容。88:8c:cc 是后三个字节。
ARP 数据包在第 2 层运行,因为它们在第 3 层 (IP) 通信的信息尚不可用时使用。WireShark 将显示数据包的所有标头字段。如果它是一个 IP 数据包,它将显示源 IP 地址。
网络上唯一的数据包将是广播到子网上所有主机的 ARP 将接收它们。