21T37 ARP w Wireshark’u [Tego Nie Wiesz]

Mapowanie MAC-IP

Wi臋cej miejsc do pos艂uchania:

Spotify

Link do artyku艂u.

Transkrypcja:

O:00 Wprowadzenie

0:13 Topologia

1:25 Wireshark

3:50 Pakiet Odpowiedzi w cz臋艣ci ARP

6:05 Podsumowanie

Cze艣膰! Chcia艂by艣 zobaczy膰, jak wygl膮daj膮 szczeg贸艂owe parametry protoko艂u ARP w Wiresharku? Je偶eli tak, to w tym odcinku poka偶臋, jak ten protok贸艂 dzia艂a.

Najpierw topologia. Mamy tutaj prost膮 sytuacj臋, mamy PC, adres IP tego PC na tym interfejsie, kt贸ry teraz b臋dziemy obserwowa膰, to jest 192.168.0.107. To jest adres interfejsu PC. Je偶eli chodzi o bram臋, to jest 192.168.0.1. Te dwa adresy
b臋dziemy obserwowa膰. Teraz mo偶emy zobaczy膰, 偶e je偶eli chodzi o tablic臋
routingu, to domy艣ln膮 bram臋, kt贸r膮 b臋dziemy u偶ywa膰, to jest w艂a艣nie 192.168.0.1. Mo偶emy to potwierdzi膰 poleceniem route print. Faktycznie tak jest.
Przez interfejs z ko艅c贸wk膮 107 na gatewaya 192.168.0.1. Podobnie mo偶emy sobie wy艣wietli膰 polecenie netstat-r, t臋 sam膮 informacj臋, i widzimy, 偶e tablica routingu si臋 przedstawia w ten sam spos贸b. Te dwa polecenia pokazuj膮 tak naprawd臋 to samo.

Teraz przejd藕my do Whiresharka. W Whiresharku wygenerujemy sobie nas艂uchiwanie tego ruchu, a nast臋pnie ograniczymy do zawarto艣ci tylko protoko艂u ARP. B臋dziemy sniffowa膰, nas艂uchiwa膰 na interfejsie Wi-fi. Teraz trzeba wygenerowa膰 jaki艣 ruch. Mamy tutaj r贸偶ne pakiety, kt贸re id膮, to nas na razie nie interesuje. Ograniczmy teraz filtrem do protoko艂u ARP. Nic nam si臋
tu na razie nie pokazuje. Okej, to wygenerujmy w takim razie nowy ruch do Google.pl.

Mamy tutaj dwa pakiety. Mo偶emy si臋 temu bli偶ej przyjrze膰. Czyli mamy tak: Liteon, to jest karta sieciowa na PC, czyli od komputera idzie pakiet do routera, Tp-Link to jest router, protoko艂em ARP i w tym protokole idzie zapytanie, jaki MAC adres ma adres IP z ko艅c贸wk膮 0.1. Czyli komputer chcia艂by si臋 dowiedzie膰, jaki ma MAC interfejs routera, kt贸ry jest z przypisanym adresem IP z ko艅c贸wk膮 0.1 i odpowiedz, jaki to jest MAC adres unicastem do hosta, do mnie, a ja mam adres 0.107. Na to zapytanie ARP-owe odpowiada router do komputera. Odpowiada tak: 192.168.01, czyli m贸j adres IP, kt贸ry posiadam ma MAC adres z ko艅c贸wk膮 ab:d6 i tak dzia艂a ARP, czyli jest najpierw zapytanie broadcastowe, odpowied藕 jest unicastem. To Ci jeszcze za chwil臋 poka偶臋, 偶e faktycznie tak jest.

Przeskoczymy sobie dalej. Przeanalizujmy sobie teraz pakiet odpowiedzi. Mamy w cz臋艣ci tego pakietu, tej cz臋艣ci ARP-owej, jak j膮 rozwiniemy, to mo偶emy sobie zobaczy膰, 偶e jest takie pole jak: Sender MAC address i Target MAC address. To jest odpowied藕, czyli patrzymy, 偶e jest sender, czyli komputer o takim MAC adresie i adresie IP wysy艂a do routera informacje o takim adresie IP, czyli 0.1. To jest pakiet odpowiedzi, czyli tu widzimy, 偶e id膮 unicasty, bo jest od konkretnego MAC adresu do konkretnego MAC adresu, nie ma tu 偶adnego broadcastu. Mo偶emy sobie te偶 sprawdzi膰 w tablicy ARP-贸w na naszym PC, analizujemy interfejs 0.107 i widzimy, 偶e tu jest wpis ARP-owy, czy adres IP z ko艅c贸wk膮 0.1, ma MAC adres dynamicznie nauczony o MAC adresie z ko艅c贸wk膮 ab:d6.
Czyli dzi臋ki ARP-owi ten system nauczy艂 si臋, jaki MAC adres ma wstawia膰 do pakietu, kt贸ry b臋dzie kierowany na adres 0.101-0.101 to oczywi艣cie bram膮, wi臋c wszystkie pakiety, kt贸re s膮 spoza sieci 192.168.01, s膮 kierowane na MAC adres
z ko艅c贸wk膮 ab:d6. Pozosta艂e wpisy ARP-owe, jak tutaj widzisz, s膮 multicastami i one nas mniej interesuj膮 w tym zagadnieniu dzisiejszym.

Je偶eli chodzi o dzia艂anie ARP-a, to tyle. Je偶eli masz jakie艣 pytania, to oczywi艣cie pisz w komentarzu. T臋 stron臋 teoretyczn膮 mocniej rozwin臋 w moim podca艣cie, wi臋c je偶eli chcesz pos艂ucha膰 troch臋 wi臋cej na temat protoko艂u ARP i jego zastosowania, to zapraszam Ci臋 do mojego podcastu. Na tyle dzisiaj, dzi臋kuj臋 Ci za uwag臋 i do zobaczenia ju偶 za tydzie艅.

Autor: Darek Koralewski

Od pocz膮tku swojej kariery, czyli od 2004 roku, zajmuj臋 si臋 sieciami komputerowymi ze szczeg贸lnym uwzgl臋dnieniem ich bezpiecze艅stwa oraz sieciami programowalnymi. Mam na swoim koncie ca艂膮 list臋 certyfikat贸w r贸偶nych producent贸w, dwa najwa偶niejsze to te po艣wiadczaj膮ce najwy偶szy poziom wiedzy eksperckiej z zakresu rozwi膮za艅 Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwi膮zania Aruba ACDX#1255. Wi臋cej informacji mo偶esz znale藕膰 na moich portalach spo艂eczno艣ciowych.