正文

為什么抓包沒有arp的回應包（為什么抓包抓不到icmp包）

發(fā)布時間：2023-03-19 01:24:16 稿源：創(chuàng)意嶺閱讀： 121 問大家

大家好！今天讓創(chuàng)意嶺的小編來大家介紹下關于為什么抓包沒有arp的回應包的問題，以下是小編對此問題的歸納整理，讓我們一起來看看吧。

開始之前先推薦一個非常厲害的Ai人工智能工具，一鍵生成原創(chuàng)文章、方案、文案、工作計劃、工作報告、論文、代碼、作文、做題和對話答疑等等

只需要輸入關鍵詞，就能返回你想要的內(nèi)容，越精準，寫出的就越詳細，有微信小程序端、在線網(wǎng)頁版、PC客戶端

官網(wǎng)：https://ai.de1919.com

本文目錄:

1、為什么我wireshark抓到的arp包，arp響應是顯示broadcast廣播
2、為什么ensp抓包輸入arporicmp是空白
3、50分跪求網(wǎng)絡高手幫忙解決關于局域網(wǎng)ARP攻擊問題
4、STM32+UIP返回ARP應答包超時造成PC端數(shù)據(jù)發(fā)送丟失的問題

為什么抓包沒有arp的回應包（為什么抓包抓不到icmp包）

一、為什么我wireshark抓到的arp包，arp響應是顯示broadcast廣播

【前言】某天在家里訪問某電商網(wǎng)站首頁的時候突然吃驚地發(fā)現(xiàn)瀏覽器突然跳到了第三方網(wǎng)站再回到電商網(wǎng)站，心里第一個反應就是中木馬了。竟然有這樣的事，一定要把木馬大卸八塊。【原因排查】首先在重現(xiàn)的情況下抓包，電商網(wǎng)站確實返回了一段JavaScript讓瀏覽器跳轉(zhuǎn)到了yiqifa;第二個HTTP響應由于晚到，被系統(tǒng)忽略(Wireshark識別為out-of-order)。這兩個HTTP響應包，必然一真一假?？旖沂菊嫦嗔恕? 再來看看兩個HTTP響應的IP頭。第一個包TTL值是252，第二個包TTL值是56，而之前TCP三次握手時該電商服務器的TTL值是56，故可以判斷先到的包是偽造的，真的包晚到而被系統(tǒng)忽略。至此，確認是鏈路上的劫持。更多鏈路劫持攻擊的信息可以先看看筆者之前寫的文章《鏈路劫持攻擊一二三》。【攻擊方式】繼續(xù)分析偽造的數(shù)據(jù)包。偽造包的TTL值是252，也就是說它的原始TTL值應該是255(大于252的系統(tǒng)默認TTL值只能是255了，一般不會修改)，也就表明攻擊者的設備離我隔了3個路由;而正常的該電商網(wǎng)站的HTTP響應TTL值是56，隔了8個路由。物理上假的設備離我近，所以偽造的HTTP響應會先到——比較有意思的是，筆者實際監(jiān)測時候發(fā)現(xiàn)也有偽造包晚到導致劫持失敗的情況。推測是一個旁路設備偵聽所有的數(shù)據(jù)包，發(fā)現(xiàn)請電商網(wǎng)站首頁的HTTP請求就立即返回一個定制好的HTTP響應。大致的攻擊示意圖如下。當時筆者推測攻擊者在鏈路上大動干戈應該不會只針對一個網(wǎng)站，于是就訪問了下易迅、淘寶、天貓這些電商網(wǎng)站，結果發(fā)現(xiàn)易迅也受到同樣的攻擊?？雌饋磉@次流量劫持的目的是將電商網(wǎng)站流量導給返利聯(lián)盟，通過返利聯(lián)盟獲得當前用戶成交金額的返利。基本確認運營商有問題，但是無法確認是運營商官方故意的還是遭到黑客攻擊或者是內(nèi)部人士偷偷搞的。【攻擊源定位】來看看當時的路由結果：如果按初始TTL值為255來算，HTTP包到達本機后為252，推算出經(jīng)過了3(255-252)個路由，出問題的地方就在第4個路由附近，也就是這里的119的關鍵字重新訪問主頁的情況;再比如某些設備的HTTP阻斷會向服務器發(fā)特定的RST包(我見過發(fā)IP Id為8888的案例)。防護方面，這個案例只是偽造數(shù)據(jù)包，并沒有實施阻斷，所以只要客戶端的安全軟件把疑似出問題的包(一次TCP會話中TTL值相差很大或者IPId突然跳變)攔截就可以防御。為了避免誤殺，可以攔截并休眠1秒，如果沒有同樣的數(shù)據(jù)包過來再放行。有自己客戶端的可以走自己的私有協(xié)議，網(wǎng)站類就困難一些，部署HTTPS吧。百度主頁近期就使用了HTTPS，不過大部分用戶還是不習慣在瀏覽器里輸“https://”，所以還是存在被劫持的風險(類似的工具有SSLStrip)。當然了，對抗也會隨之升級的，比如這次發(fā)現(xiàn)的GMail證書偽造事件。在HTTPS尚不能大規(guī)模普及的情況下，是否可以給用戶或者終端軟件提供一個規(guī)避鏈路劫持的安全服務呢?似乎是可以的。下圖是筆者構想的一個簡單的通過本地代理軟件加云服務的方式規(guī)避不安全ADSL鏈路的解決方案。一些瀏覽器的云加速也客觀上實現(xiàn)了這個功能。對于安全性不確定的公共WiFi，也可以用類似的方法來規(guī)避風險。【后記】希望本文對你有幫助。在鏈路劫持防護這件事上，騰訊歡迎與業(yè)界討論甚至合作。

二、為什么ensp抓包輸入arporicmp是空白

安裝錯誤。在控制面板中，刪除NPCAP。重安裝winpcap、wireshark 注意一定不要安裝npcap

三、50分跪求網(wǎng)絡高手幫忙解決關于局域網(wǎng)ARP攻擊問題

防范ARP地址欺騙類病毒

什么是ARP協(xié)議

要想了解ARP欺騙攻擊的原理，首先就要了解什么是ARP協(xié)議。ARP是地址轉(zhuǎn)換協(xié)議的英文縮寫，它是一個鏈路層協(xié)議，工作在OSI模型的第二層，在本層和硬件接口間進行聯(lián)系，同時為上層（網(wǎng)絡層）提供服務。

我們知道，二層的以太網(wǎng)交換設備并不能識別32位的IP地址，它們是以48位以太網(wǎng)地址（就是我們常說的MAC地址）傳輸以太網(wǎng)數(shù)據(jù)包的。因此IP地址與MAC地址之間就必須存在一種對應關系，而ARP協(xié)議就是用來確定這種對應關系的協(xié)議。

ARP工作時，首先請求主機發(fā)送出一個含有所希望到達的IP地址的以太網(wǎng)廣播數(shù)據(jù)包，然后目標IP的所有者會以一個含有IP和MAC地址對的數(shù)據(jù)包應答請求主機。這樣請求主機就能獲得要到達的IP地址對應的MAC地址，同時請求主機會將這個地址對放入自己的ARP表緩存起來，以節(jié)約不必要的ARP通信。ARP緩存表采用了老化機制，在一段時間內(nèi)如果表中的某一行沒有使用（Windows系統(tǒng)這個時間為2分鐘，而Cisco路由器的這個時間為5分鐘），就會被刪除。通過下面的例子我們可以很清楚地看出ARP的工作機制。

假定有如下五個IP地址的主機或者網(wǎng)絡設備，它們分別是：

主機A 192.168.1.2

主機B 192.168.1.3

網(wǎng)關C 192.168.1.1

主機D 10.1.1.2

網(wǎng)關E 10.1.1.1

假如主機A要與主機B通信，它首先會檢查自己的ARP緩存中是否有192.168.1.3這個地址對應的MAC地址，如果沒有它就會向局域網(wǎng)的廣播地址發(fā)送ARP請求包，大致的意思是192.168.1.3的MAC地址是什么請告訴192.168.1.2，而廣播地址會把這個請求包廣播給局域網(wǎng)內(nèi)的所有主機，但是只有192.168.1.3這臺主機才會響應這個請求包，它會回應192.168.1.2一個ARP包，大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。這樣的話主機A就得到了主機B的MAC地址，并且它會把這個對應的關系存在自己的ARP緩存表中。之后主機A與主機B之間的通信就依靠兩者緩存表里的MAC地址來通信了，直到通信停止后2分鐘，這個對應關系才會從表中被刪除。

再來看一個非局域網(wǎng)內(nèi)部的通信過程。假如主機A需要和主機D進行通信，它首先會發(fā)現(xiàn)這個主機D的IP地址并不是自己同一個網(wǎng)段內(nèi)的，因此需要通過網(wǎng)關來轉(zhuǎn)發(fā)，這樣的話它會檢查自己的ARP緩存表里是否有網(wǎng)關192.168.1.1對應的MAC地址，如果沒有就通過ARP請求獲得，如果有就直接與網(wǎng)關通信，然后再由網(wǎng)關C通過路由將數(shù)據(jù)包送到網(wǎng)關E，網(wǎng)關E收到這個數(shù)據(jù)包后發(fā)現(xiàn)是送給主機D（10.1.1.2）的，它就會檢查自己的ARP緩存，看看里面是否有10.1.1.2對應的MAC地址，如果沒有就使用ARP協(xié)議獲得，如果有就是用該MAC地址與主機D通信。

通過上面的例子我們知道，在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址，IP地址與MAC對應的關系依靠ARP表，每臺主機（包括網(wǎng)關）都有一個ARP緩存表。在正常情況下這個緩存表能夠有效保證數(shù)據(jù)傳輸?shù)囊粚σ恍裕裰鳈CB之類的是無法截獲A與D之間的通信信息的。

但是主機在實現(xiàn)ARP緩存表的機制中存在一個不完善的地方，當主機收到一個ARP的應答包后，它并不會去驗證自己是否發(fā)送過這個ARP請求，而是直接將應答包里的MAC地址與IP對應的關系替換掉原有的ARP緩存表里的相應信息。這就導致主機B截取主機A與主機D之間的數(shù)據(jù)通信成為可能。

首先主機B向主機A發(fā)送一個ARP應答包說192.168.1.1的MAC地址是02-02-02-02-02-02，主機A收到這個包后并沒有去驗證包的真實性而是直接將自己ARP列表中的192.168.1.1的MAC地址替換成02-02-02-02-02-02，同時主機B向網(wǎng)關C發(fā)送一個ARP響應包說192.168.1.2的MAC是02-02-02-02-02-02，同樣，網(wǎng)關C也沒有去驗證這個包的真實性就把自己ARP表中的192.168.1.2的MAC地址替換成02-02-02-02-02-02。當主機A想要與主機D通信時，它直接把應該發(fā)送給網(wǎng)關192.168.1.1的數(shù)據(jù)包發(fā)送到02-02-02-02-02-02這個MAC地址，也就是發(fā)給了主機B，主機B在收到這個包后經(jīng)過修改再轉(zhuǎn)發(fā)給真正的網(wǎng)關C，當從主機D返回的數(shù)據(jù)包到達網(wǎng)關C后，網(wǎng)關也使用自己ARP表中的MAC，將發(fā)往192.168.1.2這個IP地址的數(shù)據(jù)發(fā)往02-02-02-02-02-02這個MAC地址也就是主機B，主機B在收到這個包后再轉(zhuǎn)發(fā)給主機A完成一次完整的數(shù)據(jù)通信，這樣就成功地實現(xiàn)了一次ARP欺騙攻擊。

因此簡單點說，ARP欺騙的目的就是為了實現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽。大部分的木馬或病毒使用ARP欺騙攻擊也是為了達到這個目的。

如何發(fā)現(xiàn)及清除

局域網(wǎng)內(nèi)一旦有ARP的攻擊存在，會欺騙局域網(wǎng)內(nèi)所有主機和網(wǎng)關，讓所有上網(wǎng)的流量必須經(jīng)過ARP攻擊者控制的主機。其他用戶原來直接通過網(wǎng)關上網(wǎng)，現(xiàn)在卻轉(zhuǎn)由通過被控主機轉(zhuǎn)發(fā)上網(wǎng)。由于被控主機性能和程序性能的影響，這種轉(zhuǎn)發(fā)并不會非常流暢，因此就會導致用戶上網(wǎng)的速度變慢甚至頻繁斷線。另外ARP欺騙需要不停地發(fā)送ARP應答包，會造成網(wǎng)絡擁塞。

一旦懷疑有ARP攻擊我們就可以使用抓包工具來抓包，如果發(fā)現(xiàn)網(wǎng)內(nèi)存在大量ARP應答包，并且將所有的IP地址都指向同一個MAC地址，那么就說明存在ARP欺騙攻擊，并且這個MAC地址就是用來進行ARP欺騙攻擊的主機MAC地址，我們可以查出它對應的真實IP地址，從而采取相應的控制措施。另外，我們也可以到路由器或者網(wǎng)關交換機上查看IP地址與MAC地址的對應表，如果發(fā)現(xiàn)某一個MAC對應了大量的IP地址，那么也說明存在ARP欺騙攻擊，同時通過這個MAC地址查出用來ARP欺騙攻擊的主機在交換機上所對應的物理端口，從而進行控制。

如何防范？

我們可以采取以下措施防范ARP欺騙。

（1）在客戶端使用arp命令綁定網(wǎng)關的真實MAC地址命令如下：

arp -d *(先清除錯誤的ARP表)

arp -s 192.168.1.1 03-03-03-03-03-03 （靜態(tài)指定網(wǎng)關的MAC地址）

（2）在交換機上做端口與MAC地址的靜態(tài)綁定。

（3）在路由器上做IP地址與MAC地址的靜態(tài)綁定。

（4）使用“ARP SERVER”按一定的時間間隔廣播網(wǎng)段內(nèi)所有主機的正確IP-MAC映射表。

（5）最主要是要提高用戶的安全意識，養(yǎng)成良好的安全習慣，包括：及時安裝系統(tǒng)補丁程序；為系統(tǒng)設置強壯的密碼；安裝防火墻；安裝有效的殺毒軟件并及時升級病毒庫；不主動進行網(wǎng)絡攻擊，不隨便運行不受信任的軟件。

ARP工作原理如下:

在TCP/IP協(xié)議中,A給B發(fā)送IP包,在包頭中需要填寫B(tài)的IP為目標地址,但這個IP包在以太網(wǎng)上傳輸?shù)臅r候,還需要進行一次以太包的封裝,在這個以太包中,目標地址就是B的MAC地址.

計算機A是如何得知B的MAC地址的呢？解決問題的關鍵就在于ARP協(xié)議。

在A不知道B的MAC地址的情況下,A就廣播一個ARP請求包,請求包中填有B的IP(192.168.1.2),以太網(wǎng)中的所有計算機都會接收這個請求,而正常的情況下只有B會給出ARP應答包,包中就填充上了B的MAC地址,并回復給A。

A得到ARP應答后,將B的MAC地址放入本機緩存,便于下次使用。

本機MAC緩存是有生存期的,生存期結束后,將再次重復上面的過程。

ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應答。當計算機接收到ARP應答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此，當局域網(wǎng)中的某臺機器B向A發(fā)送一個自己偽造的ARP應答，而如果這個應答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當A接收到B偽造的ARP應答后，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡流通不是根據(jù)IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網(wǎng)絡不通，導致A不能Ping通C！這就是一個簡單的ARP欺騙。

四、STM32+UIP返回ARP應答包超時造成PC端數(shù)據(jù)發(fā)送丟失的問題

表示不懂ARP響應為什么會超時的

一般這個ARP超時有幾十個ms吧，不懂能跑72M的STM32在干嘛，幾十個ms的時間都回復不了一個ARP

重新設計一下你的STM32程序吧

以上就是關于為什么抓包沒有arp的回應包相關問題的回答。希望能幫到你，如有更多相關問題，您也可以聯(lián)系我們的客服進行咨詢，客服也會為您講解更多精彩的知識和內(nèi)容。