1、ARP協議簡介
說到網絡中的IP地址就不得不說APR協議。何爲ARP?全名叫做Address Resolution Protocol(地址解析協議)。網絡中的設備發送消息時將包含目標IP地址信息存入本設備APR緩存中並保留一段時間,下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網絡中各個主機互相信任的基礎上的,網絡上的主機可以自主發送ARP應答消息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存;由此***者就可以向某一主機發送僞ARP應答報文,使其發送的信息無法到達預期的主機或到達錯誤的主機,這就構成了一個ARP欺騙。ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關係、添加或刪除靜態對應關係等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。
ARP緩存是個用來儲存IP地址和MAC地址的緩衝區,其本質就是一個IP地址-->MAC地址的對應表,表中每一個條目分別記錄了網絡上其他主機的IP地址和對應的MAC地址。每一個以太網或令牌環網絡適配器都有自己單獨的表。當地址解析協議被詢問一個已知IP地址節點的MAC地址時,先在ARP緩存中查看,若存在,就直接返回與之對應的MAC地址,若不存在,才發送ARP請求向局域網查詢。
爲使廣播量最小,ARP維護IP地址到MAC地址映射的緩存以便將來使用。ARP緩存可以包含動態和靜態項目。動態項目隨時間推移自動添加和刪除。每個動態ARP緩存項的潛在生命週期是10分鐘。新加到緩存中的項目帶有時間戳,如果某個項目添加後2分鐘內沒有再使用,則此項目過期並從ARP緩存中刪除;如果某個項目已在使用,則又收到2分鐘的生命週期;如果某個項目始終在使用,則會另外收到2分鐘的生命週期,一直到10分鐘的最長生命週期。靜態項目一直保留在緩存中,直到重新啓動計算機爲止。(以上出自https://baike.baidu.com/item/ARP/609343?fr=aladdin)
2、抓取直連設備IP
環境:將被獲取的設備服務器B和計算機A相連(可直接用網線直連)
在A設備上將網口的所有IP信息清除(即改爲DHCP),此步驟不做也可以,建議不要省略
網線連接後,打開安裝好的wirshark軟件,在過濾規則中輸入 arp(只顯示arp的數據包)
如果是直連的話,服務器B在關機狀態下此界面是沒有任何數據包顯示的,接下來,只需要打開服務器B設備,就會獲取直連網絡中的ARP數據包。在數據包中就有服務器B的IP等信息了
who has XX.XX.XX.XX ? Tell BB.BB.BB.BB
此處BB.BB.BB.BB就是需要獲取的地址。也包括此設備的MAC地址。