linux 解析arp数据包
Linux 解析 ARP 数据包基础概念
ARP(Address Resolution Protocol) 是一种用于将网络层地址(如IP地址)映射到链路层地址(如MAC地址)的协议。在局域网中,当主机需要发送数据包给另一个主机时,如果目标IP地址在同一子网内,源主机需要知道目标主机的MAC地址才能进行通信。ARP协议就是用来解决这个问题的。
ARP 数据包结构
ARP数据包通常包含以下字段:
- 硬件类型:表示链路层协议类型,如以太网。
- 协议类型:表示网络层协议类型,如IPv4。
- 硬件地址长度:硬件地址(如MAC地址)的字节数。
- 协议地址长度:协议地址(如IP地址)的字节数。
- 操作码(Opcode):表示ARP请求或应答。
- 发送方硬件地址:发送方的MAC地址。
- 发送方协议地址:发送方的IP地址。
- 目标硬件地址:初始为空,应答时填入发送方的MAC地址。
- 目标协议地址:请求的目标IP地址。
优势
- 快速映射:ARP缓存可以存储最近解析过的IP到MAC地址的映射,加快后续通信速度。
- 简化网络配置:允许动态发现网络中的设备,无需手动配置每台设备的MAC地址。
类型
- ARP请求:询问某个IP地址对应的MAC地址。
- ARP应答:响应ARP请求,提供所需的MAC地址。
- ** Gratuitous ARP**:主机发送自己的IP和MAC地址,用于检测IP地址冲突或更新ARP缓存。
应用场景
- 局域网通信:在同一个子网内的设备间进行通信时使用。
- 网络诊断工具:如
arp命令,用于查看和管理ARP缓存。
遇到的问题及解决方法
问题:ARP 缓存中毒(ARP Spoofing)
原因:攻击者伪造ARP应答,将错误的MAC地址与目标IP地址关联,导致数据包被错误地发送到攻击者。
解决方法:
- 静态ARP表项:为关键设备设置静态ARP条目,防止动态更新。
- ARP监控软件:使用如ARPwatch等工具监控ARP流量,及时发现异常。
- 启用ARP检查:在交换机上启用ARP检查功能,拒绝非法ARP报文。
示例代码:使用 scapy 库发送和接收 ARP 请求
from scapy.all import ARP, Ether, srp
# 定义目标IP地址
target_ip = "192.168.1.1"
# 创建ARP请求包
arp = ARP(pdst=target_ip)
ether = Ether(dst="ff:ff:ff:ff:ff:ff")
packet = ether/arp
# 发送和接收数据包
result = srp(packet, timeout=2, verbose=0)[0]
# 解析响应
for sent, received in result:
print(f"IP: {received.psrc}, MAC: {received.hwsrc}")这段代码使用scapy库构造并发送一个ARP请求,然后接收并打印出响应中的IP和MAC地址。
通过以上信息,您可以更好地理解Linux中ARP数据包的工作原理及其相关问题。
相关·内容
2回答
我最好使用系统调用,这样内核就可以处理所有这些问题,并且可以利用ARP缓存。我知道我可以构建并发送自己的ARP请求,但是除非我自己实现它,否则我不会拥有缓存功能等,所以感觉就像是让内核来处理它。
浏览 3提问于2010-07-19得票数 0
回答已采纳
1回答
(ARP =地址解析协议- RFC 826)有没有办法通过用户世界程序在Windows上发送和接收ARP流量?在Linux上,我们可以只创建原始套接字来发送ARP流量,但在Windows上,我的研究表明,我们需要编写一个可用于发送此类流量的驱动程序。我的问题是:在不安装驱动程序的情况下,Windows是否有任何方法允许发送/接收ARP数据包?
浏览 0提问于2012-05-17得票数 3
回答已采纳
当Linux接收来自具有LAN源IP的发送方的UDP数据包时,Linux是否会将该数据包的源MAC地址沿源IP地址放入ARP缓存表?
浏览 0提问于2017-09-25得票数 0
回答已采纳
我想知道为什么我会得到以下结果:
如果我试图访问本地网络上的一个不存在的主机,例如使用命令ping,我会在tcpdump arp命令中看到,我的计算机每秒钟发送一次who-has请求,但每隔三秒就会收到三条消息
浏览 0提问于2015-07-22得票数 2
回答已采纳
1回答
pcap_set_filter(pdesc->pd, filter, 0, netp);
总之,我的问题是如何正确设置libpcap来从系统中获取arp数据包?
浏览 3提问于2014-01-07得票数 1
回答已采纳
3回答
通过网上搜索得知,地址解析协议是链路层(L2)协议。根据ARP功能,它会向整个网络广播,以检查此特定IP属于谁,从而获得其MAC地址。但是由于地址解析协议是L2协议,它如何知道目的IP地址,因为IP地址被封装在L3中,L2协议无法读取
浏览 19提问于2014-07-05得票数 1
由于特定的网络配置,我希望使用iptables将MAC地址与传出以太网帧相关联,而不是使用普通的ARP解析,或者至少能够在数据包已经收到目的地MAC地址之后破坏它们。这在Linux中是可能的吗?特别是,我想做的是破坏一个传出的数据包,以便它被发送到一个特定的MAC地址,同时携带另一个主机的IP地址。
浏览 0提问于2016-02-06得票数 2
1回答
我在玩替罪羊和wireshark,我已经发送了一个数据包到一个不存在的目的地(10.0.2.14)。Wireshark显示了一个ARP试图解析地址,但是由于它不在,ICMP数据包发送给10.0.2.14 (这里发生了什么?)它是否被转发到网关,并在TTL用完后留给网关丢弃?)最后的数据包描述了10.0.2.2 (源IP)的无偿ARP。我不明白ARP想做什么。
浏览 0提问于2013-09-06得票数 0
回答已采纳
2回答
我只想要TCP和UDP数据包发送到我的局域网之外,没有别的。udp) and (not icmp) and src host myIPAddr and not dst net myNet/myNetBits and not ip broadcast dst = ff:ff:ff:ff:ff:ff type = 0x806
###[ ARP
浏览 5提问于2012-06-05得票数 4
4回答
我想首先发送arp请求并保存应答主机的mac地址,然后通过MAC地址发送ARP包,而不是通过IP发送ARP包。我设法发送ARP包到所有主机并保存应答主机的MAC地址,但是我不知道如何使用目标adress.DO而不是目标IP adress.DO发送ARP包你有什么建议吗?
浏览 1提问于2013-01-26得票数 0
1回答
从过去24小时开始,我的ESET SS5防火墙一直在频繁地检测相同的IP地址和ARP缓存中毒攻击(每2分钟一次)。我对ARP缓存中毒攻击做了一些研究,比如如何将它用作MiM,以及如何使用它作为默认网关。
所以我打电话给Wireshark开始抓捕网络..。90%的捕获记录是从不同源到不同目的地的ARP广播数据包。我从一本计算机网络教科书中了解到,现代ISP不允许广播数据包,但有趣的是,捕获的记录中有90%是ARP数据包。如果这是一个有网络打印机的网络区域(一家公司),那么
浏览 2提问于2012-11-01得票数 2
不止一次,我选择自己想要有一种简单的方法来在我的局域网中动态编辑数据包,所以我认为是时候制造一些“机械”来做这项工作了。我认为世界粮食计划署会完全满足我的需要。我不仅想过滤和编辑我的程序将要运行的计算机上的数据包,而且我还想ARP毒害我局域网中的一台机器,并编辑通过另一台机器路由的数据包(我不知道是否可以使用世界粮食计划署做到这一点;这是我问题的另一部分。另外,我只是想知道如何在Linux中做到这一点。(ServerFault.com的补充问题:)
浏览 4提问于2009-10-15得票数 1
1回答
能否在Linux平台上实现用户空间中的自定义网络接口?netif必须在一个不寻常的物理链路上传输数据包,这是在用户空间中访问的最佳方式。发送和接收功能必须在IP级别上工作,Linux不应该尝试ARP,因为链路不是以太网,并且有自己的地址解析方法。
以C语言为例,如何完成这样的任务?有什么示例代码可以开始吗?
浏览 0提问于2023-02-22得票数 0
回答已采纳
我使用tcpdump来捕获ping操作,我可以获得icmp数据包ping 8.8.8.8,但我不能通过tcpdump捕获arp请求。谢谢~
浏览 7提问于2021-12-17得票数 0
回答已采纳
1回答
在Linux中,如果数据包经过,ARP条目的年龄会被重置/刷新。然而,似乎FreeBSD只是设置了一个定时器,并且无条件地驱逐了ARP条目,即使带有该MAC地址/IP的数据包出现了。有什么方法可以让Linux在看到流量的情况下更新时代吗?
正因为如此,我在局域网上每隔20分钟就会经历一次ARP广播业务的大爆发。
浏览 0提问于2019-01-08得票数 1
如何清除linux by program中的arp缓存,而不是使用arp命令?是否有库函数可以实现这一点?=========================================================================== 编辑
在linux中,我希望定期清除arp cache并发送ping数据包以查找局域网中的主机(通过收集arp cache响应和ICMP回复)。由于有些主机没有回复ping,所以我尝试在我的程序中接收arp<
浏览 9提问于2016-03-10得票数 3
1回答
6s6s2s", ethernet_header) ethertype = ethernet_detailed[2] continue arp_header = packet[0][14:42]
arp_detailed= struct.unpack("2s2s1s1s2s6s4s6s4s", <em
浏览 2提问于2017-07-16得票数 1
2回答
我读了很多文章,发现如何使用套接字(AF_INET、SOCK_RAW、IPPROTO_RAW)发送基于IP的自定义数据包。但是我想从以太网头开始发送完全自定义的数据包。我不能发送ARP数据包,如果我不能形成以太网头,因为ARP不是基于IP的。求求你救命!附言:我使用的是Windows 7,而不是Linux :(
浏览 1提问于2018-06-20得票数 2
1回答
这个问题和这个问题很相似:主要问题- Ubuntu服务器发送ARP请求,请求在不同子网上的主机的MAC地址。如果不是,Wireshark (在Ubuntu服务器上运行的数据包嗅探器)显示它正在发送ARP数据包(“谁有IP x.x.249.x?")服务器上的网络配置是x.x.
浏览 0提问于2015-11-26得票数 1
我试图了解ARP协议是如何在局域网中工作的。下面是我的网络的物理结构:因此,当我尝试从PC3中ping PC1时,我期望第一个数据包超时,因为PC1最初没有PC3的MAC地址,所以它应该先执行一个ARP请求来获取MAC地址。数据包是如何在不知道PC3's MAC地址的情况下到达的?
浏览 0提问于2021-09-23得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
