正文

為什么抓包沒有arp的回應(yīng)包（為什么抓包抓不到icmp包）

發(fā)布時(shí)間：2023-03-19 01:24:16 稿源：創(chuàng)意嶺閱讀： 121 問大家

大家好！今天讓創(chuàng)意嶺的小編來大家介紹下關(guān)于為什么抓包沒有arp的回應(yīng)包的問題，以下是小編對此問題的歸納整理，讓我們一起來看看吧。

開始之前先推薦一個(gè)非常厲害的Ai人工智能工具，一鍵生成原創(chuàng)文章、方案、文案、工作計(jì)劃、工作報(bào)告、論文、代碼、作文、做題和對話答疑等等

只需要輸入關(guān)鍵詞，就能返回你想要的內(nèi)容，越精準(zhǔn)，寫出的就越詳細(xì)，有微信小程序端、在線網(wǎng)頁版、PC客戶端

官網(wǎng)：https://ai.de1919.com

本文目錄:

1、為什么我wireshark抓到的arp包，arp響應(yīng)是顯示broadcast廣播
2、為什么ensp抓包輸入arporicmp是空白
3、50分跪求網(wǎng)絡(luò)高手幫忙解決關(guān)于局域網(wǎng)ARP攻擊問題
4、STM32+UIP返回ARP應(yīng)答包超時(shí)造成PC端數(shù)據(jù)發(fā)送丟失的問題

為什么抓包沒有arp的回應(yīng)包（為什么抓包抓不到icmp包）

一、為什么我wireshark抓到的arp包，arp響應(yīng)是顯示broadcast廣播

【前言】某天在家里訪問某電商網(wǎng)站首頁的時(shí)候突然吃驚地發(fā)現(xiàn)瀏覽器突然跳到了第三方網(wǎng)站再回到電商網(wǎng)站，心里第一個(gè)反應(yīng)就是中木馬了。竟然有這樣的事，一定要把木馬大卸八塊。【原因排查】首先在重現(xiàn)的情況下抓包，電商網(wǎng)站確實(shí)返回了一段JavaScript讓瀏覽器跳轉(zhuǎn)到了yiqifa;第二個(gè)HTTP響應(yīng)由于晚到，被系統(tǒng)忽略(Wireshark識(shí)別為out-of-order)。這兩個(gè)HTTP響應(yīng)包，必然一真一假?？旖沂菊嫦嗔?。再來看看兩個(gè)HTTP響應(yīng)的IP頭。第一個(gè)包TTL值是252，第二個(gè)包TTL值是56，而之前TCP三次握手時(shí)該電商服務(wù)器的TTL值是56，故可以判斷先到的包是偽造的，真的包晚到而被系統(tǒng)忽略。至此，確認(rèn)是鏈路上的劫持。更多鏈路劫持攻擊的信息可以先看看筆者之前寫的文章《鏈路劫持攻擊一二三》。【攻擊方式】繼續(xù)分析偽造的數(shù)據(jù)包。偽造包的TTL值是252，也就是說它的原始TTL值應(yīng)該是255(大于252的系統(tǒng)默認(rèn)TTL值只能是255了，一般不會(huì)修改)，也就表明攻擊者的設(shè)備離我隔了3個(gè)路由;而正常的該電商網(wǎng)站的HTTP響應(yīng)TTL值是56，隔了8個(gè)路由。物理上假的設(shè)備離我近，所以偽造的HTTP響應(yīng)會(huì)先到——比較有意思的是，筆者實(shí)際監(jiān)測時(shí)候發(fā)現(xiàn)也有偽造包晚到導(dǎo)致劫持失敗的情況。推測是一個(gè)旁路設(shè)備偵聽所有的數(shù)據(jù)包，發(fā)現(xiàn)請電商網(wǎng)站首頁的HTTP請求就立即返回一個(gè)定制好的HTTP響應(yīng)。大致的攻擊示意圖如下。當(dāng)時(shí)筆者推測攻擊者在鏈路上大動(dòng)干戈應(yīng)該不會(huì)只針對一個(gè)網(wǎng)站，于是就訪問了下易迅、淘寶、天貓這些電商網(wǎng)站，結(jié)果發(fā)現(xiàn)易迅也受到同樣的攻擊?？雌饋磉@次流量劫持的目的是將電商網(wǎng)站流量導(dǎo)給返利聯(lián)盟，通過返利聯(lián)盟獲得當(dāng)前用戶成交金額的返利。基本確認(rèn)運(yùn)營商有問題，但是無法確認(rèn)是運(yùn)營商官方故意的還是遭到黑客攻擊或者是內(nèi)部人士偷偷搞的。【攻擊源定位】來看看當(dāng)時(shí)的路由結(jié)果：如果按初始TTL值為255來算，HTTP包到達(dá)本機(jī)后為252，推算出經(jīng)過了3(255-252)個(gè)路由，出問題的地方就在第4個(gè)路由附近，也就是這里的119的關(guān)鍵字重新訪問主頁的情況;再比如某些設(shè)備的HTTP阻斷會(huì)向服務(wù)器發(fā)特定的RST包(我見過發(fā)IP Id為8888的案例)。防護(hù)方面，這個(gè)案例只是偽造數(shù)據(jù)包，并沒有實(shí)施阻斷，所以只要客戶端的安全軟件把疑似出問題的包(一次TCP會(huì)話中TTL值相差很大或者IPId突然跳變)攔截就可以防御。為了避免誤殺，可以攔截并休眠1秒，如果沒有同樣的數(shù)據(jù)包過來再放行。有自己客戶端的可以走自己的私有協(xié)議，網(wǎng)站類就困難一些，部署HTTPS吧。百度主頁近期就使用了HTTPS，不過大部分用戶還是不習(xí)慣在瀏覽器里輸“https://”，所以還是存在被劫持的風(fēng)險(xiǎn)(類似的工具有SSLStrip)。當(dāng)然了，對抗也會(huì)隨之升級的，比如這次發(fā)現(xiàn)的GMail證書偽造事件。在HTTPS尚不能大規(guī)模普及的情況下，是否可以給用戶或者終端軟件提供一個(gè)規(guī)避鏈路劫持的安全服務(wù)呢?似乎是可以的。下圖是筆者構(gòu)想的一個(gè)簡單的通過本地代理軟件加云服務(wù)的方式規(guī)避不安全ADSL鏈路的解決方案。一些瀏覽器的云加速也客觀上實(shí)現(xiàn)了這個(gè)功能。對于安全性不確定的公共WiFi，也可以用類似的方法來規(guī)避風(fēng)險(xiǎn)。【后記】希望本文對你有幫助。在鏈路劫持防護(hù)這件事上，騰訊歡迎與業(yè)界討論甚至合作。

二、為什么ensp抓包輸入arporicmp是空白

安裝錯(cuò)誤。在控制面板中，刪除NPCAP。重安裝winpcap、wireshark 注意一定不要安裝npcap

三、50分跪求網(wǎng)絡(luò)高手幫忙解決關(guān)于局域網(wǎng)ARP攻擊問題

防范ARP地址欺騙類病毒

什么是ARP協(xié)議

要想了解ARP欺騙攻擊的原理，首先就要了解什么是ARP協(xié)議。ARP是地址轉(zhuǎn)換協(xié)議的英文縮寫，它是一個(gè)鏈路層協(xié)議，工作在OSI模型的第二層，在本層和硬件接口間進(jìn)行聯(lián)系，同時(shí)為上層（網(wǎng)絡(luò)層）提供服務(wù)。

我們知道，二層的以太網(wǎng)交換設(shè)備并不能識(shí)別32位的IP地址，它們是以48位以太網(wǎng)地址（就是我們常說的MAC地址）傳輸以太網(wǎng)數(shù)據(jù)包的。因此IP地址與MAC地址之間就必須存在一種對應(yīng)關(guān)系，而ARP協(xié)議就是用來確定這種對應(yīng)關(guān)系的協(xié)議。

ARP工作時(shí)，首先請求主機(jī)發(fā)送出一個(gè)含有所希望到達(dá)的IP地址的以太網(wǎng)廣播數(shù)據(jù)包，然后目標(biāo)IP的所有者會(huì)以一個(gè)含有IP和MAC地址對的數(shù)據(jù)包應(yīng)答請求主機(jī)。這樣請求主機(jī)就能獲得要到達(dá)的IP地址對應(yīng)的MAC地址，同時(shí)請求主機(jī)會(huì)將這個(gè)地址對放入自己的ARP表緩存起來，以節(jié)約不必要的ARP通信。ARP緩存表采用了老化機(jī)制，在一段時(shí)間內(nèi)如果表中的某一行沒有使用（Windows系統(tǒng)這個(gè)時(shí)間為2分鐘，而Cisco路由器的這個(gè)時(shí)間為5分鐘），就會(huì)被刪除。通過下面的例子我們可以很清楚地看出ARP的工作機(jī)制。

假定有如下五個(gè)IP地址的主機(jī)或者網(wǎng)絡(luò)設(shè)備，它們分別是：

主機(jī)A 192.168.1.2

主機(jī)B 192.168.1.3

網(wǎng)關(guān)C 192.168.1.1

主機(jī)D 10.1.1.2

網(wǎng)關(guān)E 10.1.1.1

假如主機(jī)A要與主機(jī)B通信，它首先會(huì)檢查自己的ARP緩存中是否有192.168.1.3這個(gè)地址對應(yīng)的MAC地址，如果沒有它就會(huì)向局域網(wǎng)的廣播地址發(fā)送ARP請求包，大致的意思是192.168.1.3的MAC地址是什么請告訴192.168.1.2，而廣播地址會(huì)把這個(gè)請求包廣播給局域網(wǎng)內(nèi)的所有主機(jī)，但是只有192.168.1.3這臺(tái)主機(jī)才會(huì)響應(yīng)這個(gè)請求包，它會(huì)回應(yīng)192.168.1.2一個(gè)ARP包，大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。這樣的話主機(jī)A就得到了主機(jī)B的MAC地址，并且它會(huì)把這個(gè)對應(yīng)的關(guān)系存在自己的ARP緩存表中。之后主機(jī)A與主機(jī)B之間的通信就依靠兩者緩存表里的MAC地址來通信了，直到通信停止后2分鐘，這個(gè)對應(yīng)關(guān)系才會(huì)從表中被刪除。

再來看一個(gè)非局域網(wǎng)內(nèi)部的通信過程。假如主機(jī)A需要和主機(jī)D進(jìn)行通信，它首先會(huì)發(fā)現(xiàn)這個(gè)主機(jī)D的IP地址并不是自己同一個(gè)網(wǎng)段內(nèi)的，因此需要通過網(wǎng)關(guān)來轉(zhuǎn)發(fā)，這樣的話它會(huì)檢查自己的ARP緩存表里是否有網(wǎng)關(guān)192.168.1.1對應(yīng)的MAC地址，如果沒有就通過ARP請求獲得，如果有就直接與網(wǎng)關(guān)通信，然后再由網(wǎng)關(guān)C通過路由將數(shù)據(jù)包送到網(wǎng)關(guān)E，網(wǎng)關(guān)E收到這個(gè)數(shù)據(jù)包后發(fā)現(xiàn)是送給主機(jī)D（10.1.1.2）的，它就會(huì)檢查自己的ARP緩存，看看里面是否有10.1.1.2對應(yīng)的MAC地址，如果沒有就使用ARP協(xié)議獲得，如果有就是用該MAC地址與主機(jī)D通信。

通過上面的例子我們知道，在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址，IP地址與MAC對應(yīng)的關(guān)系依靠ARP表，每臺(tái)主機(jī)（包括網(wǎng)關(guān)）都有一個(gè)ARP緩存表。在正常情況下這個(gè)緩存表能夠有效保證數(shù)據(jù)傳輸?shù)囊粚σ恍?，像主機(jī)B之類的是無法截獲A與D之間的通信信息的。

但是主機(jī)在實(shí)現(xiàn)ARP緩存表的機(jī)制中存在一個(gè)不完善的地方，當(dāng)主機(jī)收到一個(gè)ARP的應(yīng)答包后，它并不會(huì)去驗(yàn)證自己是否發(fā)送過這個(gè)ARP請求，而是直接將應(yīng)答包里的MAC地址與IP對應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。這就導(dǎo)致主機(jī)B截取主機(jī)A與主機(jī)D之間的數(shù)據(jù)通信成為可能。

首先主機(jī)B向主機(jī)A發(fā)送一個(gè)ARP應(yīng)答包說192.168.1.1的MAC地址是02-02-02-02-02-02，主機(jī)A收到這個(gè)包后并沒有去驗(yàn)證包的真實(shí)性而是直接將自己ARP列表中的192.168.1.1的MAC地址替換成02-02-02-02-02-02，同時(shí)主機(jī)B向網(wǎng)關(guān)C發(fā)送一個(gè)ARP響應(yīng)包說192.168.1.2的MAC是02-02-02-02-02-02，同樣，網(wǎng)關(guān)C也沒有去驗(yàn)證這個(gè)包的真實(shí)性就把自己ARP表中的192.168.1.2的MAC地址替換成02-02-02-02-02-02。當(dāng)主機(jī)A想要與主機(jī)D通信時(shí)，它直接把應(yīng)該發(fā)送給網(wǎng)關(guān)192.168.1.1的數(shù)據(jù)包發(fā)送到02-02-02-02-02-02這個(gè)MAC地址，也就是發(fā)給了主機(jī)B，主機(jī)B在收到這個(gè)包后經(jīng)過修改再轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)C，當(dāng)從主機(jī)D返回的數(shù)據(jù)包到達(dá)網(wǎng)關(guān)C后，網(wǎng)關(guān)也使用自己ARP表中的MAC，將發(fā)往192.168.1.2這個(gè)IP地址的數(shù)據(jù)發(fā)往02-02-02-02-02-02這個(gè)MAC地址也就是主機(jī)B，主機(jī)B在收到這個(gè)包后再轉(zhuǎn)發(fā)給主機(jī)A完成一次完整的數(shù)據(jù)通信，這樣就成功地實(shí)現(xiàn)了一次ARP欺騙攻擊。

因此簡單點(diǎn)說，ARP欺騙的目的就是為了實(shí)現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽。大部分的木馬或病毒使用ARP欺騙攻擊也是為了達(dá)到這個(gè)目的。

如何發(fā)現(xiàn)及清除

局域網(wǎng)內(nèi)一旦有ARP的攻擊存在，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān)，讓所有上網(wǎng)的流量必須經(jīng)過ARP攻擊者控制的主機(jī)。其他用戶原來直接通過網(wǎng)關(guān)上網(wǎng)，現(xiàn)在卻轉(zhuǎn)由通過被控主機(jī)轉(zhuǎn)發(fā)上網(wǎng)。由于被控主機(jī)性能和程序性能的影響，這種轉(zhuǎn)發(fā)并不會(huì)非常流暢，因此就會(huì)導(dǎo)致用戶上網(wǎng)的速度變慢甚至頻繁斷線。另外ARP欺騙需要不停地發(fā)送ARP應(yīng)答包，會(huì)造成網(wǎng)絡(luò)擁塞。

一旦懷疑有ARP攻擊我們就可以使用抓包工具來抓包，如果發(fā)現(xiàn)網(wǎng)內(nèi)存在大量ARP應(yīng)答包，并且將所有的IP地址都指向同一個(gè)MAC地址，那么就說明存在ARP欺騙攻擊，并且這個(gè)MAC地址就是用來進(jìn)行ARP欺騙攻擊的主機(jī)MAC地址，我們可以查出它對應(yīng)的真實(shí)IP地址，從而采取相應(yīng)的控制措施。另外，我們也可以到路由器或者網(wǎng)關(guān)交換機(jī)上查看IP地址與MAC地址的對應(yīng)表，如果發(fā)現(xiàn)某一個(gè)MAC對應(yīng)了大量的IP地址，那么也說明存在ARP欺騙攻擊，同時(shí)通過這個(gè)MAC地址查出用來ARP欺騙攻擊的主機(jī)在交換機(jī)上所對應(yīng)的物理端口，從而進(jìn)行控制。

如何防范？

我們可以采取以下措施防范ARP欺騙。

（1）在客戶端使用arp命令綁定網(wǎng)關(guān)的真實(shí)MAC地址命令如下：

arp -d *(先清除錯(cuò)誤的ARP表)

arp -s 192.168.1.1 03-03-03-03-03-03 （靜態(tài)指定網(wǎng)關(guān)的MAC地址）

（2）在交換機(jī)上做端口與MAC地址的靜態(tài)綁定。

（3）在路由器上做IP地址與MAC地址的靜態(tài)綁定。

（4）使用“ARP SERVER”按一定的時(shí)間間隔廣播網(wǎng)段內(nèi)所有主機(jī)的正確IP-MAC映射表。

（5）最主要是要提高用戶的安全意識(shí)，養(yǎng)成良好的安全習(xí)慣，包括：及時(shí)安裝系統(tǒng)補(bǔ)丁程序；為系統(tǒng)設(shè)置強(qiáng)壯的密碼；安裝防火墻；安裝有效的殺毒軟件并及時(shí)升級病毒庫；不主動(dòng)進(jìn)行網(wǎng)絡(luò)攻擊，不隨便運(yùn)行不受信任的軟件。

ARP工作原理如下:

在TCP/IP協(xié)議中,A給B發(fā)送IP包,在包頭中需要填寫B(tài)的IP為目標(biāo)地址,但這個(gè)IP包在以太網(wǎng)上傳輸?shù)臅r(shí)候,還需要進(jìn)行一次以太包的封裝,在這個(gè)以太包中,目標(biāo)地址就是B的MAC地址.

計(jì)算機(jī)A是如何得知B的MAC地址的呢？解決問題的關(guān)鍵就在于ARP協(xié)議。

在A不知道B的MAC地址的情況下,A就廣播一個(gè)ARP請求包,請求包中填有B的IP(192.168.1.2),以太網(wǎng)中的所有計(jì)算機(jī)都會(huì)接收這個(gè)請求,而正常的情況下只有B會(huì)給出ARP應(yīng)答包,包中就填充上了B的MAC地址,并回復(fù)給A。

A得到ARP應(yīng)答后,將B的MAC地址放入本機(jī)緩存,便于下次使用。

本機(jī)MAC緩存是有生存期的,生存期結(jié)束后,將再次重復(fù)上面的過程。

ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。因此，當(dāng)局域網(wǎng)中的某臺(tái)機(jī)器B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而如果這個(gè)應(yīng)答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當(dāng)A接收到B偽造的ARP應(yīng)答后，就會(huì)更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經(jīng)不是原來那個(gè)了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行，而是按照MAC地址進(jìn)行傳輸。所以，那個(gè)偽造出來的MAC地址在A上被改變成一個(gè)不存在的MAC地址，這樣就會(huì)造成網(wǎng)絡(luò)不通，導(dǎo)致A不能Ping通C！這就是一個(gè)簡單的ARP欺騙。

四、STM32+UIP返回ARP應(yīng)答包超時(shí)造成PC端數(shù)據(jù)發(fā)送丟失的問題

表示不懂ARP響應(yīng)為什么會(huì)超時(shí)的

一般這個(gè)ARP超時(shí)有幾十個(gè)ms吧，不懂能跑72M的STM32在干嘛，幾十個(gè)ms的時(shí)間都回復(fù)不了一個(gè)ARP

重新設(shè)計(jì)一下你的STM32程序吧

以上就是關(guān)于為什么抓包沒有arp的回應(yīng)包相關(guān)問題的回答。希望能幫到你，如有更多相關(guān)問題，您也可以聯(lián)系我們的客服進(jìn)行咨詢，客服也會(huì)為您講解更多精彩的知識(shí)和內(nèi)容。