arp

IP 包头分析 Version：4 #互联网协议IPv4 Header length: 20 bytes #IP包头部长度20字节 Differentiated Services Field: 0x00(DSCP CS0,ECN:0x00: Not-ECT) #差分服务字段 Total Length: 40 #IP包的总长度40 Identification: 0x2bd3 (11219) #标识字段 Flags: 0x4000, Don't Fragment #标记字段 Fragment offset: 0 #分的偏移量 Time to live: 128 #生存期TTL Protocol: TCP (6) #此包内封装的上层协议为TCP Header checksum: 0x46a8 #头部数据的校验和 Source: 192.168.43.70 #源IP地址 Destination: 163.177.151.10 #目标IP地址 udp 分析 udp Src Port ：为源端口号 8000 Dst Port：为目的端口号 4021 用户数据报长度为309比特 校验和为 0x7c4b 数据大小为 301bytes Arp 解析 这里是 arp指向性查询数据包 1是被请求的 ip地址， 2是请求的 ip地址 3是表明这是一个请求的数据包 4是目的 mac地址 5是源 mac地址

中国人民公安大学 Chinese people ’ public security university 网络对抗技术 实验报告 实验二 网络嗅探与欺骗 学生姓名 周松 年级 201721440020 区队 17网四 指导教师 高见 信息技术与网络安全 学院 201 6 年 11 月 7 日 实验任务总纲 20 1 6 —20 1 7 学年 第 一 学期 一、实验目的 1．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术； 2．了解并熟悉常用的网络嗅探方式，掌握常用抓包软件的使用方法和过滤技巧，能够对给定的数据包分析网络基本行为；掌握ARP欺骗的基本原理，以及基于ARP欺骗的DNS攻击方式； 3．达到巩固课程知识和实际应用的目的。 二、实验要求 1．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。 2．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。 3．软件工具可使用office2003或2007、CAIN、Wireshark等。 4．实验结束后，保留电子文档。 三 、实验步骤 1．准备 提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。 2．实验环境 描述实验所使用的硬件和软件环境（包括各种软件工具）；

I am opening a TAP device using p->fd = open("/dev/net/tun", O_RDWR); // skipping error handling code ifr.ifr_flags = IFF_TAP | IFF_ONE_QUEUE | IFF_NO_PI; strncpy(ifr.ifr_name, p->name, IFNAMSIZ-1); result = ioctl(p->fd, TUNSETIFF, &ifr); // skipping error handling and setting ipv4 address & netmask code ifr.ifr_flags = (IFF_UP | IFF_RUNNING); result = ioctl(dummySock, SIOCSIFFLAGS, &ifr); The problem I am facing is when an application (say mozilla) wants to send out a packet via the tap device, it needs to get the dst mac address. So the kernel sends out an ARP request. The application I am

默认情况下，路由器处理广播的方式是 转发IP地址广播但阻挡MAC地址广播， 路由不会根据mac地址广播，只有交换机才能根据mac进行泛洪。https://www.zhihu.com/question/20643350 arp broadcast enable命令用来使能终结子接口的ARP广播功能。 undo arp broadcast enable命令用来取消终结子接口的ARP广播功能。 缺省情况下，终结子接口没有使能ARP广播功能。 只有配置了mode user-termination命令和control-vid命令后，才能在对应的子接口上配置arp broadcast enable命令。 当IP报文需要从终结子接口发出，但是没有相应的ARP表项时： 接入设备能够主动发送ARP报文，不需要配置终结子接口的ARP广播功能，就可以实现从该终结子接口的转发。 接入设备不能够主动发送ARP报文： 如果终结子接口上没有配置arp broadcast enable命令，那么系统会直接把该IP报文丢弃。此时该终结子接口的路由可以看作是黑洞路由。 如果终结子接口上配置了arp broadcast enable命令，那么系统会构造带Tag的ARP广播报文，然后再从该终结子接口发出。 使能或去使能终结子接口的ARP广播功能，会使该终结子接口的路由状态发生一次先Down再Up的变化

arp协议** 定义 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。其作用是在以太网环境中，数据的传输所依懒的是MAC地址而非IP地址，而将已知IP地址转换为MAC地址的工作是由ARP协议来完成的。 映射方式（动态映射） 动态映射时，每次只要机器知道另一台机器的逻辑（IP）地址，就可以使用协议找出相对应的物理地址。已经设计出的实现了动态映射协议的有ARP和RARP两种。ARP把逻辑（IP）地址映射为物理地址。RARP把物理地址映射为逻辑（IP）地址。 ARP原理及流程 在任何时候，一台主机有IP数据报文发送给另一台主机，它都要知道接收方的逻辑（IP）地址。但是IP地址必须封装成帧才能通过物理网络。这就意味着发送方必须有接收方的物理（MAC）地址，因此需要完成逻辑地址到物理地址的映射。而ARP协议可以接收来自IP协议的逻辑地址，将其映射为相应的物理地址，然后把物理地址递交给数据链路层。 请求 任何时候，当主机需要找出这个网络中的另一个主机的物理地址时，它就可以发送一个ARP请求报文，这个报文包好了发送方的MAC地址和IP地址以及接收方的IP地址。因为发送方不知道接收方的物理地址，所以这个查询分组会在网络层中进行广播。 响应 局域网中的每一台主机都会接受并处理这个ARP请求报文，然后进行验证，查看接收方的IP地址是不是自己的地址

实验二 中国人民公安大学 Chinese people’ public security university 网络对抗技术 实验报告 实验二 网络嗅探与欺骗 学生姓名 赵梓博 年级 2017级 区队 网络安全与执法四区队 指导教师 高见老师 信息技术与网络安全学院 2016 年 11 月 7 日 实验任务总纲 2016—2017 学年 第 一 学期 一、实验目的 1．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术； 2．了解并熟悉常用的网络嗅探方式，掌握常用抓包软件的使用方法和过滤技巧，能够对给定的数据包分析网络基本行为；掌握ARP欺骗的基本原理，以及基于ARP欺骗的DNS攻击方式； 3．达到巩固课程知识和实际应用的目的。 二、实验要求 1．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。 2．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。 3．软件工具可使用office2003或2007、CAIN、Wireshark等。 4．实验结束后，保留电子文档。 三、实验步骤 1．准备 提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。 2．实验环境 描述实验所使用的硬件和软件环境（包括各种软件工具）；

概要 ettercap [ OPTIONS ] [ Target1 ] [ TARGET2 ] TARGET的格式为MAC / IP / IPv6 / PORT，其中IP和PORT可以是范围 当IP有多个的时候，可以用“，”分隔不同的C段ip，可以用“-”表示连续的ip，可以用“;”分隔不同表达形式的ip。（例如/192.168.0.1-30,40,50/20,22,25） 描述 Ettercap最初是交换局域网（甚至显然是“拥挤的”局域网）的嗅探器，但在开发过程中，它获得了越来越多的功能，从而使其转变为强大而灵活的中间人攻击工具。 它支持许多协议（甚至是加密协议）的主动和被动解剖，并包括许多用于网络和主机分析的功能（例如OS指纹）。 两个主要的嗅探选项： UNIFIED ，此方法嗅探通过电缆传递的所有数据包。 您可以选择是否将接口置于混杂模式（-p选项）。 未定向到运行ettercap的主机的数据包将使用第3层路由自动转发。 因此，您可以使用从其他工具发起的mitm攻击，并让ettercap修改数据包并为您转发。 BRIDGED ，它使用两个网络接口，并在执行嗅探和内容过滤时将流量从一个转发到另一个。这种嗅探方法完全是秘密的，因为无法找到有人在电缆中间。您可以将此方法视为第1层的mitm攻击。您将位于两个实体之间的电缆中间。不要在网关上使用它，否则它将把您的网关变成网桥。提示

1） 同一套keepalived集群中virtual_router_id 要保持一致 /var/log/messages日志keepalived启动正常日志： Nov 18 22:42:07 db01 Keepalived_vrrp[26691]: Opening file '/etc/keepalived/keepalived.conf'. Nov 18 22:42:07 db01 Keepalived_vrrp[26691]: VRRP_Instance(VI_2) removing protocol VIPs. Nov 18 22:42:07 db01 Keepalived_vrrp[26691]: Using LinkWatch kernel netlink reflector... Nov 18 22:42:07 db01 Keepalived_vrrp[26691]: VRRP sockpool: [ifindex(6), proto(112), unicast(0), fd(10,11)] Nov 18 22:42:08 db01 Keepalived_vrrp[26691]: VRRP_Instance(VI_2) Transition to MASTER STATE Nov 18 22:42:09 db01 Keepalived_vrrp[26691]: VRRP

中国人民公安大学 Chinese people ’ public security university 网络对抗技术 实验报告 实验二 网络嗅探与欺骗 学生姓名 李家 年级 2017 区队 五区 指导教师 高见 信息技术与网络安全 学院 201 6 年 11 月 7 日 实验任务总纲 20 1 6 —20 1 7 学年 第 一 学期 一、实验目的 1．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术； 2．了解并熟悉常用的网络嗅探方式，掌握常用抓包软件的使用方法和过滤技巧，能够对给定的数据包分析网络基本行为；掌握ARP欺骗的基本原理，以及基于ARP欺骗的DNS攻击方式； 3．达到巩固课程知识和实际应用的目的。 二、实验要求 1．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。 2．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。 3．软件工具可使用office2003或2007、CAIN、Wireshark等。 4．实验结束后，保留电子文档。 三 、实验步骤 1．准备 提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。 2．实验环境 描述实验所使用的硬件和软件环境（包括各种软件工具）； 开机并启动软件office2003或2007