Wykorzystanie ARP przy użyciu Wireshark

Koncepcja protokołu ARP

Sieć komputerowa oparta o protokół IPv4 w celu uzyskania informacji o adresie MAC konkretnego urządzenia posługuje się protokołem ARP (ang. Address Resolution Protocol).

Opierając się o ARP można określać do jakiego adresu logicznego (IP) jest przypisany adres fizyczny, czyli MAC.

Jeżeli interesuje Cię ten temat w formie video – kliknij 🙂

Czym jest Wireshark

Kolokwialnie określając oprogramowanie Wireshark, to,,podsłuchiwacz sieci” –  ogólnie służy do przechwytywania i zapisywania ruchu sieciowego. Przy wykorzystaniu tego oprogramowania w sposób skrupulatny można zaznajomić się z zawartością przesyłanych pakietów poprzez ich dekodowanie. Program działa na licencji GNU GPL i można -go pobrać ze strony Wireshark · Go Deep.

Wykorzystanie protokołu ARP przy użyciu Wireshark

Lista komend z opisem wykorzystanych do realizacji zadania:

  1. arp – w wierszu poleceń komenda posłuży do sprawdzenia i wyczyszczenia pamięci podręcznej, która jest używana przez protoków ARP na komputerze (wbudowana część systemu operacyjnego w systemach Windows, Linux i Mac)
  2. ipconfig – w wierszu poleceń komenda będzie odpowiadać za sprawdzenie interfejsu sieciowego komputera
  3. route ew. netstat – obie komendy służą do sprawdzenia tras używanych przez stację roboczą, ważna trasa opiera się o wpis 0.0.0.0 gdyż dotyczy trasy domyślnej

Praca ARP na przykładzie stacji roboczej

Powyższy rysunek ma na celu zaobserwowanie protokołu ARP podczas jego pracy.

Pierwsza rzecz o jakiej należy wiedzieć dotyczy tego, że ARP posłuży do odnalezienia adresu MAC karty sieciowej urządzenia stojącym za lokalnym adresem IP na jaki stacja robocza chce przesłać pakiet. Powszechny przykład lokalnego adresu wiążę się z bramą domyślną (ta łączy np. nasz komputer z całą siecią Internet). Stacja robocza ma za zadanie buforowanie tych tłumaczeń w pamięci podręcznej ARP.

Znalezienie adresu IP bramy domyślnej i naszego komputera

Na samym początku należy otworzyć wiersz poleceń w trybie administratora

Używając komendy ipconfig /all odnajdziemy

  1. adres IP naszego komputera
  2. adres IP bramy domyślnej

Alternatywna komenda netstat –r posłuży do odnalezienia:

  1. adresu IP naszego komputera wraz z adresem bramy domyślnej

Komenda route print służy jeszcze jako kolejna możliwość odnalezienia

  1. znalezienia adresu IP własnego komputera i bramy domyślnej

Uruchomienie programu Wireshark – przechwycenie pakietów filtra arp

Z uprawnieniami administratora uruchamiamy oprogramowanie Wireshark

Ekran startowy Wireshark – interesuje nas połączenie Wi-Fi co ma już widoczny adres IP naszego komputera

Rozpoczęcie przechwytywania interesujących nas pakietów zaczynamy przez Start capture

Wpisanie interesującego nas filtra arp

Sprawdzenie pamięci roboczej arp stacji roboczej – a następnie jej usunięcie

Komenda arp –a posłuży nam do sprawdzenia tablicy arp w celu odnalezienia adresu IP bramy domyślnej

Wykorzystanie komendy arp –d przyda się do wyczyszczenia pamięci podręcznej ARP nie będzie już widoczny adres bramy domyślnej

Uruchomienie strony internetowej w przeglądarce po wyczyszczeniu pamięci podręcznej ARP

Komenda arp –d posłużyła się do wyczyszczenia z pamięci podręcznej ARP adresu bramy domyślnej. Po uruchomienie strony internetowej www.netadminpro.pl spowoduje, że ARP odnajdzie adres bramy domyślnej w celu wysłania pakietów. Dodatkowo nastąpiło zatrzymanie przechwytywania pakietów w Wireshark