通過Wireshark抓取直連裝置的IP地址

Wireshark是免費的網路協定檢測程式，支援Unix，Windows。

1、ARP協定簡介

說到網路中的IP地址就不得不說APR協定。何為ARP？全名叫做Address Resolution Protocol（地址解析協定）。網路中的裝置傳送訊息時將包含目標IP地址資訊存入本裝置APR快取中並保留一段時間，下次請求時直接查詢ARP快取以節約資源。地址解析協定是建立在網路中各個主機互相信任的基礎上的，網路上的主機可以自主傳送ARP應答訊息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP快取；由此***者就可以向某一主機傳送偽ARP應答報文，使其傳送的資訊無法到達預期的主機或到達錯誤的主機，這就構成了一個ARP欺騙。ARP命令可用於查詢本機ARP快取中IP地址和MAC地址的對應關係、新增或刪除靜態對應關係等。相關協定有RARP、代理ARP。NDP用於在IPv6中代替地址解析協定。

ARP快取是個用來儲存IP地址和MAC地址的緩衝區，其本質就是一個IP地址-->MAC地址的對應表，表中每一個條目分別記錄了網路上其他主機的IP地址和對應的MAC地址。每一個乙太網或令牌環網路介面卡都有自己單獨的表。當地址解析協定被詢問一個已知IP地址節點的MAC地址時，先在ARP快取中檢視，若存在，就直接返回與之對應的MAC地址，若不存在，才傳送ARP請求向區域網查詢。

為使廣播量最小，ARP維護IP地址到MAC地址對映的快取以便將來使用。ARP快取可以包含動態和靜態專案。動態專案隨時間推移自動新增和刪除。每個動態ARP快取項的潛在生命週期是10分鐘。新加到快取中的專案帶有時間戳，如果某個專案新增後2分鐘內沒有再使用，則此專案過期並從ARP快取中刪除；如果某個專案已在使用，則又收到2分鐘的生命週期；如果某個專案始終在使用，則會另外收到2分鐘的生命週期，一直到10分鐘的最長生命週期。靜態專案一直保留在快取中，直到重新啟動計算機為止。

2、抓取直連裝置IP

環境：將被獲取的裝置伺服器B和計算機A相連（可直接用網線直連）

在A裝置上將網口的所有IP資訊清除（即改為DHCP），此步驟不做也可以，建議不要省略

網線連線後，開啟安裝好的wirshark軟體，在過濾規則中輸入 arp(只顯示arp的封包)

如果是直連的話，伺服器B在關機狀態下此介面是沒有任何封包顯示的，接下來，只需要開啟伺服器B裝置，就會獲取直連網路中的ARP封包。在封包中就有伺服器B的IP等資訊了

who has XX.XX.XX.XX ? Tell BB.BB.BB.BB

此處BB.BB.BB.BB就是需要獲取的地址。也包括此裝置的MAC地址。

在Ubuntu 17.10, 16.04中安裝Wireshark 2.4.4  http://www.linuxidc.com/Linux/2018-01/150472.htm

Wireshark 2.6 發布，世界上受歡迎的網路協定分析器 https://www.linuxidc.com/Linux/2018-04/152059.htm

Linux公社的RSS地址：https://www.linuxidc.com/rssFeed.aspx

本文永久更新連結地址：https://www.linuxidc.com/Linux/2018-08/153437.htm