Wykorzystanie ARP przy użyciu Wireshark
Koncepcja protokołu ARP
Sieć komputerowa oparta o protokół IPv4 w celu uzyskania informacji o adresie MAC konkretnego urządzenia posługuje się protokołem ARP (ang. Address Resolution Protocol).
Opierając się o ARP można określać do jakiego adresu logicznego (IP) jest przypisany adres fizyczny, czyli MAC.
Jeżeli interesuje Cię ten temat w formie video – kliknij 🙂
Czym jest Wireshark
Kolokwialnie określając oprogramowanie Wireshark, to,,podsłuchiwacz sieci” – ogólnie służy do przechwytywania i zapisywania ruchu sieciowego. Przy wykorzystaniu tego oprogramowania w sposób skrupulatny można zaznajomić się z zawartością przesyłanych pakietów poprzez ich dekodowanie. Program działa na licencji GNU GPL i można -go pobrać ze strony Wireshark · Go Deep.
Wykorzystanie protokołu ARP przy użyciu Wireshark
Lista komend z opisem wykorzystanych do realizacji zadania:
- arp – w wierszu poleceń komenda posłuży do sprawdzenia i wyczyszczenia pamięci podręcznej, która jest używana przez protoków ARP na komputerze (wbudowana część systemu operacyjnego w systemach Windows, Linux i Mac)
- ipconfig – w wierszu poleceń komenda będzie odpowiadać za sprawdzenie interfejsu sieciowego komputera
- route ew. netstat – obie komendy służą do sprawdzenia tras używanych przez stację roboczą, ważna trasa opiera się o wpis 0.0.0.0 gdyż dotyczy trasy domyślnej
Praca ARP na przykładzie stacji roboczej
Powyższy rysunek ma na celu zaobserwowanie protokołu ARP podczas jego pracy.
Pierwsza rzecz o jakiej należy wiedzieć dotyczy tego, że ARP posłuży do odnalezienia adresu MAC karty sieciowej urządzenia stojącym za lokalnym adresem IP na jaki stacja robocza chce przesłać pakiet. Powszechny przykład lokalnego adresu wiążę się z bramą domyślną (ta łączy np. nasz komputer z całą siecią Internet). Stacja robocza ma za zadanie buforowanie tych tłumaczeń w pamięci podręcznej ARP.
Znalezienie adresu IP bramy domyślnej i naszego komputera
Na samym początku należy otworzyć wiersz poleceń w trybie administratora
Używając komendy ipconfig /all odnajdziemy
- adres IP naszego komputera
- adres IP bramy domyślnej
Alternatywna komenda netstat –r posłuży do odnalezienia:
- adresu IP naszego komputera wraz z adresem bramy domyślnej
Komenda route print służy jeszcze jako kolejna możliwość odnalezienia
- znalezienia adresu IP własnego komputera i bramy domyślnej
Uruchomienie programu Wireshark – przechwycenie pakietów filtra arp
Z uprawnieniami administratora uruchamiamy oprogramowanie Wireshark
Ekran startowy Wireshark – interesuje nas połączenie Wi-Fi co ma już widoczny adres IP naszego komputera
Rozpoczęcie przechwytywania interesujących nas pakietów zaczynamy przez Start capture
Wpisanie interesującego nas filtra arp
Sprawdzenie pamięci roboczej arp stacji roboczej – a następnie jej usunięcie
Komenda arp –a posłuży nam do sprawdzenia tablicy arp w celu odnalezienia adresu IP bramy domyślnej
Wykorzystanie komendy arp –d przyda się do wyczyszczenia pamięci podręcznej ARP nie będzie już widoczny adres bramy domyślnej
Uruchomienie strony internetowej w przeglądarce po wyczyszczeniu pamięci podręcznej ARP
Komenda arp –d posłużyła się do wyczyszczenia z pamięci podręcznej ARP adresu bramy domyślnej. Po uruchomienie strony internetowej www.netadminpro.pl spowoduje, że ARP odnajdzie adres bramy domyślnej w celu wysłania pakietów. Dodatkowo nastąpiło zatrzymanie przechwytywania pakietów w Wireshark
