Wireshark网络分析实战笔记ARP和IP

Posted 2023-02-28 nceuaprsf

ARP

 

工作场景中ARP数据包的数量级：

每台IP设备每分钟1-2个ARP数据包纯属合理。比方说，若网络中的设备数为100，则每分钟诞生200-300个或每秒钟诞生3-4个ARP数据包是合理的

即使每秒产生的数据包略多于3-4个（比如5-10个），也未必就有问题，但需要仔细查找原因

 

代理ARP的应用场合：

在一台路由器之前部署了WAN加速/优化设备:一旦将这种WAN加速/优化设备配置为桥接透明模式运行，此设备就会代替路由器应答ARP请求数据包

在服务器之前部署了以透明模式运行的防火墙、WAF以及其他设备

运行了某种特殊的软件：这种特殊的软件会安装在某台服务器上，但需为之分配一个有别于服务器的IP地址

 

 

IP

用源、目的DNS名称取代源、目的IP地址显示：

使用方法：在view菜单中选择name resolution菜单栏下enable for the network layer

wireshark会借用主机配置的DNS服务器，来执行IP地址和域名之间的转换。

把所抓数据包的源、目的IP地址转换为名称来显示，能有助于发现异常流量：

1、访问某特定公司不允许的web站点流量

2、软件自动升级所触发的流量

3、安装在内网主机的浏览器上的工具栏插件所触发的汹涌流量

 

利用GeoIP来查询IP地址的归属地：

wireshark支持GeoIP数据库来查询所抓数据包中的IP地址的归属地信息（包括：国家、城市、AS等）

使用方法：

1、访问网站：http://dev.maxmind.com/zh-hans/geoip/legacy/geolite/  下载数据库二进制文件

2、在wireshark上点击edit菜单中preferences选项，在preferences窗口中选中name resolution参数，再点击GeoIP database directories旁的edit按钮

3、在弹出的窗口中指定下载的数据库二进制文件所在文件的位置

4、重启wireshark后，可在endpoints工具中的IPv4标签栏中看到GeoIP消息

5、在主窗口的数据包结构显示GeoIP消息：点击edit菜单栏中的preferences选项，在preferences窗口中选中protocol参数，再选中IPv4协议，勾选enable GeoIP lookup

 

 

IP包分片问题

最大传输单元（MTU）：是指由IP包头和数据部分组成的IP数据包的长度

最大报文段大小（MMS）：是指TCP报文段内数据净载的最大长度，亦即上层协议交付给TCP的每个数据单元的最大长度