用Wireshark抓取arp、snmp、icmp、dhcp等报文的方法

1 ARP 基础知识学习基础知识学习 1 1 ARP 协议的概念 ARP 即地址解析协议 实现通过 IP 得知其物理地址 在 CP IP 网络环境下 每个主 机分配了一个 32 位的 IP 地址 这种互联网地址是在网际范围表示主机的一种逻辑地址 为了让报文在物理线路上的传输 必须知道对方目的主机的物理地址 这样就存在把 IP 地 址变成物理地址的转换问题 一以太网环境为例 为了正确的向目的主机传送报文 就必 须将主机的 32 位 IP 地址转换成 48 位的以太网的地址 这就需要在互联层有一组服务将 IP 地址转换成物理地址 这组协议就是 ARP 协议 1 2 ARP 协议实现的基本功能 在以太网协议中 同一局域网中的一台主机要和另一台主机进行直接通信 必须知道 目标主机的 MAC 地址 而在 TCP IP 协议栈中 网络层和传输层只关心目标主机的 IP 地 址 这就导致再以太网中使用 IP 协议时 数据链路层的以太网协议连接到上层 IP 协议提 供的数据中 只包含目的的 IP 地址 于是需要一种方法 更具目的主机的 IP 的地址 获 取其 MAC 地址 这就是 ARP 协议要做的事 所谓地址解析 address resolution 就是主机 再发送阵前将目标地址转换成目标 MAC 地址的过程 另外 当发送主机和目标及不在同一个局域网时 即便知道目的主机的 MAC 地址 两者也不能直接通信 必须有路由转发才行 所以此时 发送主机通过 ARP 协议获得的将 不是目的主机的真实 MAC 地址 而是一台可以通往局域网外地路由器的某个端口的 MAC 地址 于是此后发送主机发送目的和主机的所有帧 都将发往该路由 通过他向外发送 这种情况成为 ARP 代理 ARP Proxy 1 3 工作的原理 每台装有 TCP IP 协议的电脑里都有一个 ARP 缓存表 表里 IP 与 MAC 地址是一一 对应的 例如 主机 A 192 168 1 5 主机 B 192 168 1 1 发送数据 当发送数据时 主机 A 会 在自己的 ARP 缓存表中查找是否有目标 IP 地址 如果找到了 也就知道了目标 MAC 地 址 直接将目标 MAC 地址写进帧里发送就可以了 如果缓存表中没有找到目标 IP 地址 主机 A 就会在网络上发送一个广播 主机 地址就是 主机 的 MAC 地址 这 表示向同一网段内的所有主机发出这样的询问 我是 192 168 1 5 我的硬件地址是 主机 A 的 MAC 地址 请问 IP 地址为 192 168 1 1 的 MAC 地址是什么 网络上其他主机并不响 应 ARP 询问 只有主机 B 接收到这个帧时 才向主机 A 做出这样的回应 192 168 1 1 的 MAC 地址是 00 aa 00 62 c6 09 这样 主机 A 就知道了主机 B 的 MAC 地址 它就可以 向主机 B 发送信息了 同时 A 和 B 还同时都更新了自己的 ARP 缓存表 因为 A 在询问的 时候把自己的 IP 和 MAC 地址一起告诉了 B 下次 A 再向主机 B 或者 B 向 A 发送信息时 直接从各自的 ARP 缓存表里查找就可以了 ARP 缓存表采用了老化机制 即设置了生存 时间 TTL 在一段时间内 一般 15 到 20 分钟 如果表中的某一行没有使用 就会被删 除 这样可以大大减少 ARP 缓存表的长度 加快查询 1 4 抓包并分析报文抓包并分析报文 1 4 1 抓包抓包 环境搭建方法 用一根网线连接两台主机 不妨记做主机 A 主机 B 主机 A 向主机 B 通信 操作步骤如下 1 测试环境 用一根网线将主机 A 主机 B 连接起来 并进行 ping 操作 ping 对方的 IP 直到 ping 同为止 2 打开主机 B 的 本地连接状态 查看 IP 地址 也可以在主机 B 上进行 ipconfig all 操 作 得到 IP 3 在主机 A 上进行 arp d 操作 目的是清空 ARP 缓存表 4 在主机 A 上进行 arp a 操作 目的是查看 ARP 缓存表的内容是否被清空 5 在主机 A 上打开抓包软件 Wireshark 并正确配置网管 6 在主机 A 上 ping 主机 B 的 IP 地址 7 过滤报文 并进行分析 1 4 2 报文分析 如下所示 图 1 1 是具体的操作命令 图 1 2 是主机 A 向网络发出的请求报文 图 1 3 是主机 B 向主机 A 发出的响应报文 从图 1 2 可以看出 源 MAC 地址为 44 37 e6 46 e7 98 源 IP 地址为 10 1 22 11 目的 MAC 为 00 00 00 00 00 00 目的 IP 为 10 1 11 22 其中源是指主机 A 目的是指 B 主机 从图 1 3 可以看出 源 MAC 地址为 f4 6d 04 c1 0b de 源 IP 为 10 1 11 22 目的 MAC 地址为 44 37 e6 46 e7 98 目的 IP 为 10 1 22 11 其中 源是指主机 B 目的是指主 机 A 从图 1 3 可以看出 图 1 1 图 1 2 图 1 3 2 DHCP 的相关学习的相关学习 2 1 DHCP 的基础概念 DHCP Dynamic Host Configuration Protolo 是一个局域网协议 使用 UDP 协议工作 主要有两个用途 给内部网络或网络服务商自动分配 IP 地址给用户和给内部网络管理员作 为对所有计算机做中央管理的手段 2 2 DHCP 结构介绍 DHCP 是动态主机配置协议 他的前身是 BOOTP 网络主机使用 BOOT POM 而 不是磁盘启动 BOOTP 则可以自动地为那些主机设定 TCP IP 环境 但 BOOTP 的缺点是 在设定前必须获得客户端的硬件地址 而且 与 IP 是相对静止的 换言之 BOOTP 缺乏 动态性 而 DHCP 可以说是 BOOTP 的增强版本 它分为两部分 一个是服务器端 一 个是客户端 所有的 IP 网络设定数据都由 DHCP 服务器集中管理 并负责处理客户的 DHCP 要求 而客户端则会服从服务器分配下来的 IP 环境数据 比较 BOOTP DHCP 通过 租约 的概念 有效且动态的分配 TCP IP 设定 而且 作为兼容考虑 DHCP 完全照顾 了 BOOTP Client 的需求 DHCP 的分配形式 首先 必须至少一台 DHCP 工作在网络上 面 他会监听网络的 DHCP 请求 并与客户端磋商 TCP IP 的设定环境 2 3 地址分配 IP 地址分配方式主要有 3 中 即手动分配 Manual Allocation 自动分配 Automatic Allocation 和动态分配 Dynamic Allocation 手动分配是指 网络管理员为某些少数特定的 Host 绑定固定 IP 地址 且地址不会过期 自动分配是指 一旦 DHCP 客户端第一次成功从 DHCP 服务器端租用到 IP 地址之后 就永远使用这个地址 动态分配是指 当 DHCOP 客户端第一次从 DHCP 服务器租到 IP 后 就永久使用该地 址 只要租约到期 就释放 release 这个 IP 地址 2 4 工作原理 下图是首次登陆时 DHCP 工作过程 DHCP dscover DHCP offer DHCP request DHCP ACK DHCP discover 功能是 寻找 DHCP 服务器 具体过程如下 当 DHCP 客户端第一次登录网络的时候 客户发现本机上没有任何 IP 数据设定 他 会向网络发出一个 DHCP DISCOVER 封包 因为客户端还不知道自己属于哪一个网络 所以封包的来源地址会为 0 0 0 0 而目的地址则为 255 255 255 255 然后再附上 DHCP discover 的信息 向网络进行广播 在 Linux 下 DHCP dscover 的等待时间设为 4 秒 也 就是 当客户端将第一个 DHCP Discover 封包发送出去后 在 4 秒内没有得到响应的话 客户端 DHCP 服务器 将执行第二次 DHCP discover 广播 如果一直得不到响应的情况下 再执行第三次 第四 次 一共只能执行 4 次 他们的等待时间一次为 4 秒 8 秒 16 秒 32 秒 最大到 64 秒 此时 客户端认为服务器不可达 之后 客户端再等待一段时间 Linux 下通常为 5m 重 新尝试 DHCP offer 功能是 提供 IP 租约 具体过程如下 当 DHCP 服务器监听到客户端发出的 DHCP discover 广播后 它会从那些还没有租出去 的地址范围内 选择最前面的空值 IP 其他的 TCP IP 设定 响应给客户端一个 DHCP OFFER 封包 由于客户端在开始的时候还没有 IP 地址 所以在其 DHCP discover 封 包内会带有其 MAC 地址信息 DHCP 服务器相应的 DHCP offer 封包会根据这些资料传递 给要求租约的客户 根据服务器端的设定 DHCP offer 封包会包含一个租约期限的信息 DHCP request 功能是 接受 IP 租约 其具体过程如下 如果客户端收到网络上多台 DHCP 服务器的响应 会挑选其中一个 DHCP offer 通常是 最先抵达的那个 并且向网络中发送一 DHCP request 广播封包 告诉所有的 DHCP 服务 器它将指定接受哪一台服务器提供的 IP 地址 同时 客户端还会向网络发送一个 ARP 封 包 查询网络上面有没有其他机器使用该 IP 地址 如果发现该 IP 已被占用 客户端则会 发出一个 DHCPDECLIENT 封包该 DHCP 服务器 拒绝接受其 DHCP offer 并重新发送 DHCP discover 信息 客户端也可以发送 DHCP request 向服务器提出 DHCP 选择 问题 DHCP 服务器提供给客户端的 IP 都是没有被租出去的 为什么客户端会发现地址冲 突呢 DHCP ACK 功能是 确认租约 其具体过程如下 当 DHCP 服务器收到客户端的 DHCP resqust 之后 会向客户端发送一个 DHCPACK 响应 确认租约的正式生效 也就结束了一个完整的 DHCP 工作过程 DHCP 发送流程第一次登陆之后 一旦 DHCP 客户端成功的从服务器那里获取 DHCP 租 约之后 除非其租约已经失效并且 IP 地址也重新设定回 0 0 0 0 否则就无需发送 DHCP discover 信息了 而会直接使用已经租用到的 IP 地址向之前的 DHCP 服务器发出 DHCP request 信息 DHCP 服务器会尽量让客户端使用原来的 IP 地址 如果没有问题的话 直 接响应 DHCPARK 来确认即可 如果地址已经无效或已被其他机器使用了 服务器则会相 应一个 DHCPNARK 封包给客户端 要求其重新执行 DHCP discover 至于 IP 的租约期 限是非常讲究的 在开机时候发出 DHCP requst 请求之外 在租约期限一半时也会发出 如果此时得不到 DHCP 服务器的确认的话 客户端还是可以继续用的 但当租约期限过了 87 5 的时候 还是无法与当初的 DHCP 服务器联系不上 他将和其他的 DHCP 服务器通 信 如果此时没有其他的服务器的话 客户端必须停止使用该 IP 并发送一个 DHCP discover 封包开始 抓包并分析抓包并分析 抓包步骤 1 打开 Wireshark 选择正确的网关 2 ipconfig all 命令操作 查看本机的 IP 地址 子网掩码 默认网关 DHCP 服务器等 3 ipconfig release 命令操作 释放本机的 Ip 地址和子网掩码 4 对抓的包进行过滤 5 分析报文 报文分析 如图 2 2 是 DHCP release 封包 户端端给 DHCP 服务器的 包括的信息有 客户端 MAC 地址 44 37 e6 46 e7 98 客户端 IP 地址 10 1 95 45 DHCP 服务器 MAC 00 90 fb 2e 88 85 DHCP 服务器的 IP 10 1 95 45 如图 2 3 是 DHCP discover 封包 户端端给 DHCP 服务器的 其目的是 寻找 DHCP service 包括的信息有 客户端 MAC 地址 44 37 e6 46 e7 98 客户端 IP 地址 0 0 0 0 DHCP 服务器 MAC ff fff ff ff ff ff DHCP 服务器 IP 地址 255 255 255 255 由此可以判断 这是一个广播包 图 2 4 是 DHCP offer 封包 是 DHCP 服务器发给客户端的 其目的是 提供 IP 包括的 信息有 DHCP 服务器的 MAC 00 90 fb 2e 88 85 DHCP 服务器的 IP 10 1 95 45 客户 端 MAC 地址 44 37 e6 46 e7 98 提供给客户端的 IP 地址是 10 1 95 45 但实际上这时端的 IP 任然为 0 0 0 0 除此之外 DHCP offer 封包里面还包含了 IP 租约 期限 30 minutes 图 2 5 是 DHCP request 封包 是客户端发给 DHCP 服务器的 其目的是 接受 IP 包括 的信息有 客户端的 IP 0 0 0 0 客户端 MAC 是 44 37 e6 46 e7 98 DHCP 服务器的 MAC ff ff ff ff ff ff DHCP 服务器的 IP 0 0 0 0 可以判断这是一个广播包 图 2 6 是 DHCP ACK 封包 是 DHCP 服务器发给客户端的 其目的是 确认租约 包括 的信息有 DHCP 服务器的 MAC 00 90 fb 2e 88 85 DHCP 服务器的 IP 10 1 95 45 客 户端 MAC 地址 44 37 e6 46 e7 98 客户端的 IP 地址是 10 1 95 45 图 2 1 图 2 2 图 2 3 图 2 4 图 2 5 图 2 6 3 ICPM 协议的简单介绍协议的简单介绍 3 1 ICMP 协议的简单介绍协议的简单介绍 ICMP 是 Internet Control Message Protocol Internet 控制报文协议 它是 TCP IP 协议 族的一个子协议 用于在 IP 主机 路由器之间传递控制消息 控制消息是指网络通不通 主机是否可达 路由是否可用等网络本身的消息 这些控制消息虽然并不传输用户数据 但是对于用户数据的传递起着重要的作用 ICMP 是一个 错误侦测与回报机制 其目的就是让我们能够监测网路的连接状况 也 能确保连线的准确性 其功能有 侦测远端主机是否存在 建立及维护路由资料 重导路 由传输路径 资料流量控制 ICMP 在沟通中透过不同的类别 Type 与代码 code 让 机器来辨别不同的连线状况 ICMP 协议对网络安全有重要的意义 ICMP 本身的特点决定了它非常容易用于攻击网 络上的路由器和主机 比如 可以利用操作系统规定的数据包最大尺寸不超过 64KB 这一 规定 向主机发起 Ping of Death 死亡之 Ping 攻击 Ping of Death 攻击原理是 如果数 据包的尺寸超过了 64KB 上限时 主机就会出现内存分配错误 导致 TCP IP 堆栈崩溃 导致主机死机 现在操作系统已经取消了发送 ICMP 数据包的大小的限制 解决了这个漏 洞 此外 向目标主机长时间 连续 大量地发送 ICMP 数据包时 也会最终使系统瘫痪 大量的 ICMP 数据包会形成 ICMP 风暴 市的目标主机耗费大量的 CPU 资源处理 疲 于奔命 3 2 ICMP 消息类型的过滤规则消息类型的过滤规则 Echo Request 和 Reply 类型 8 和 0 允许 Ecto Request 消息出战以便于内部用户能够 PING 一个远程主机 阻止入站 Ecto Request 和出战 Echo Reply 可以防止外部网络的主机对内部网络进行扫描 如果您使 用了位于外部网络的监视器来监视内部网络 就应该只允许来自特定外部 IP 的 Echo Request 进入您的网络 限制 ICMP Echo 包的大小可以组织 Ping Floods 的攻击 并且可 以阻止那些利用 Echo Request 和 Reply 来 偷运 数据通过防火墙的木马程序 Dastination unreachable 类型 3 允许其入站以便于内部网络可以使用 traceroute 需要注意的是 有些攻击者可以使用 它来进行针对绘画的 DoS 攻击 如果您曾经经历过类似的攻击 也可以阻止它 组追出站 的 ICMP Dastination unreachable 消息 因为它可能会泄露内部网络的结构 不过有一个例 外 对于那些允许外部网络通过 TCP 访问的内部主机 如位于 DMZ 区的 Web 服务器 发 出来的 Dastnation unreachable 应该允许他通过 为了能够支持 Path MTU Discovery 您应该允许出站的 Packet Too Big 消息 类型 3 代码 4 到达那些主机 Source quench 类型 4 阻止其入站 因为他可以作为一种 DoS 攻击 能够降低发送者的发送速度 允许其 出站以便于内部主机能够控制发送端发出数据的速度 有些防火墙会回略所有直接发送到 防火墙端口的 Source Quench 消息 以防止针对于防火墙的 DoS 攻击 Reddirect 类型 5 9 10 Redirect 重定向 Router announcement Router selection 类型 5 9 10 这些消息 存在潜在危险 因为它们可以用来把数据重定向到攻击者的机器 这些消息应该被阻止 TTL exceeded 类型 11 允许其进站以便于内部用户可以使用 traceroute firewalking 使用很低的 TTL 值来 对网络进行扫描 甚至可以通过防火墙对内部网络进行扫描 所以就应该禁止其出站 一 些防火墙可以阻止 TTL 值小于设定值的数据包进入防火墙 Parameter problem 类型 12 禁止其进站和出站 通常使用一个能用数据包一致性检查的防火墙 错误和恶意的数 据包都会被阻塞 3 3 Ping 和和 traceroute Ping 和 traceroute 命令都依赖于 ICMP ICMP 也可以看做是 IP 协议的伴随协议 ICMP 报文被封装在 IP 数据报发送 一些 ICMP 报文会请求信息 如 在 ping 中 一个 ICMP 回应请求报文会发给远程主 机 如果对方主机存在 期望它们返回一个 ICMP 回应应答报文 一些 ICMP 在网络层发生错误时发送 例如 有一种 ICMP 报文类型表示目的不可达 造成不可达的原因很多 ICMP 报文确定这一问题 如 可能是主机关闭或整个网络连接 断开 有时候 主机本身可能没有问题 但不能发送数据报 例如 IP 首部有个协议字段 它 指明了什么协议应该处理 IP 数据包中的数据部分 IANA 公布了代表协议的数字的列表 例如 如果字段是 6 代表 TCP 报文段 IP 层会把数据发给 TCP 层进行处理 如果字段 为 1 则代表 ICMP 报文 IP 层会将数据传给 IMCP 处理 如果操作系统不支持到达数据 包中协议字段的协议号 它将返回一个指明 协议不可达 的 ICMP 报文 Traceroute 是基于 ICMP 灵活用法和 IP 首部的生存时间字段的 发送数据报时生存时间 字段被初始化为能够穿越网络的最大跳数 每经过一个中间点 该数据字减 1 生存时间字段用于避免数据在网络上无休止的传输下去 数据包的发送路径是由中间路 由器决定的 通过与其他路由器交换信息 路由器决定数据包的下一条路径 最好的 下 一跳 经常由于网络环境的变化而动态改变 这可能导致路由器形成选路循环也会导致正 确路径冲突 在路由循环中 这种情况时可能发生的 例如 路由器 A 认为数据报应该发 送到路由器 B 而路由器 B 又认为数据报应该发送给路由器 A 这时数据报便处于循环选路 中 生存时间字段长为 8 位 所以因特网路径的最大长度为 28 1 即 255 跳 大多数源主机 将该值初始化为更小的值 将生存时间设置过小可能会使数据报不能达到远程目的主机 而设置过大有可能导致处于无限循环的选路中 因为在分组交换网络中发送每个数据包时是独立的 所以有 traceroute 发送的每个数据 报的路径实际上相同 每个数据包沿着一条路径对中间节点进行取样 因为 traceroute 可能 暗示一条主机间并不存在的连接 因特网路径经常变动 在不同的日子或一天的不同时间 对同一个主机执行几次 traceroute 命令来探寻这种变化都会得到不同的结果 为了体现 Internet 路由的有限可见性 许多网路都维护了一个 traceroute 服务器 Traceroute 服务器将显示出从本地网到一个特定目的地执行 traceroute 的结果 3 3 1 ping 和和 ICMP 1 打开 Windows 命令提示符窗口 2 启动 Wireshark 协议分析软件 在过滤窗口上输入 icmp 开始 Wireshark 分组俘获 3 输入 ping 4 当 ping 程序停止时 停止俘获 上述步骤完成后 出现下列命令窗口 图 3 1 命令窗口 停止俘获后 出现如图 3 2 所示的界面 图 3 2 停止俘获后 Wireshark 的界面 从图上可以得到 这是一个 ICMP 回应请求报文 本机 IP 的地址是 10 1 95 45 目的主机 的 IP 是 119 75 218 45 ICMP 的 type 和 code 分别是 8 和 0 停止俘获后 出现如图 3 3 所示的界面 图 3 3 停止俘获后 Wireshark 的界面 从图上可以看出 这是一个 ICMP 回应应答报文 源主机的 IP 是 119 75 218 45 目的主机 的 IP 时 10 1 95 45 ICMP 的 type 和 code 都是 0 3 3 2 Traceroute 和和 ICMP 1 打开 Windows 命令提示符窗口 2 启动 Wireshark 协议分析软件 在过滤窗口上输入 icmp 开始 Wireshark 分组俘获 3 输入 tracert 4 当程序停止时 停止俘获 上述步骤完成后 出现下列命令窗口 图 3 4 命令窗口 图 3 4 停止俘获后 Wireshark 界面 4 HTTP 协议的简单介绍 HTTP Hyper Text Transfer Protocol 即超文本传输协议 是互联网上应用最为广泛的一种网 络协议 所有的 www 都遵循这个协议 一次 HTTP 操作成为一个事务 其工作过程可以分为四步 首先客户机与服务器需要建立连接 只要单击某个超级链接 HTTP 的工作就开始了 建