❶ 抓包抓到很多ARP包是怎麼回事
1、ARP(Address Resolution Protocol)即地址解析協議, 用於實現從 IP 地址到 MAC 地址的映射,即詢問目標IP對應的MAC地址。
2、在網路通信中,主機和主機通信的數據包需要依據OSI模型從上到下進行數據封裝,當數據封裝完整後,再向外發出。所以在區域網的通信中,不僅需要源目IP地址的封裝,也需要源目MAC的封裝。
3、一般情況下,上層應用程序更多關心IP地址而不關心MAC地址,所以需要通過ARP協議來獲知目的主機的MAC地址,完成數據封裝。
總結:表面上看是ip之間的通信,實際是通過ARP廣播將ip與mac對應形成映射關系。所以網路中事實存在著大量的ARP廣播,所以抓包會抓到,如果不需要,可以選擇過濾掉。謝謝採納!!
❷ 網路抓包
可以肯定的告訴你 沒問題
找一個免費的或者試用版的抓包工具並不難。我使用了一種叫做SpyNet3.12 的抓包工具,非常小巧, 運行的速度也很快。安裝完畢後我們就有了一台抓包主機。你可以通過SpyNet設置抓包的類型,比如是要捕獲IP包還是ARP包,還可以根據目的地址的不同,設置更詳細的過濾參數。
2.配置網路路由。
你的路由器有預設網關嗎?如果有,指向了哪裡?在病毒爆發的時候把預設網關指向另外一台路由器是很危險的(除非你想搞癱這台路由器)。在一些企業網里往往僅指出網內地址段的路由,而不加預設路由,那麼就把預設路由指到抓包主機上吧(它不下地獄誰下地獄?當然這台主機的性能最好是高一點的,否則很容易被病毒沖擊而亡)。這樣可以讓那些病毒主機發出的絕大部分掃描都自動送上門來。或者把網路的出口映像到抓包主機上,所有對外訪問的網路包都會被分析到。
3.開始抓包。
抓包主機已經設置好了,網路里的數據包也已經送過來了,那麼我們看看網路里傳輸的到底是些什麼。打開SpyNet 點擊Capture 你會看到好多的數據顯示出來,這些就是被捕獲的數據包(如圖)。
圖中的主體窗口裡顯示了抓包的情況。列出了抓到數據包的序號、時間、源目的MAC地址、源目的IP地址、協議類型、源目的埠號等內容。很容易看出IP地址為10.32.20.71的主機在極短的時間內向大量的不同主機發出了訪問請求,並且目的埠都是445。
4.找出染毒主機。
從抓包的情況看,主機10.32.20.71值得懷疑。首先我們看一下目的IP地址,這些地址我們網路里存在嗎?很可能網路里根本就沒有這些網段。其次,正常情況下訪問主機有可能在這么短的時間里發起這么多的訪問請求嗎?在毫秒級的時間內發出幾十甚至幾百個連接請求,正常嗎?顯然這台10.32.20.71的主機肯定有問題。再了解一下Microsoft-DS協議,該協議存在拒絕服務攻擊的漏洞,連接埠是445,從而進一步證實了我們的判斷。這樣我們就很容易地找到了染毒主機的IP地址。剩下的工作就是給該主機操作系統打補丁殺病毒了。
既然抓到了病毒包,我們看一下這個數據包二進制的解碼內容:
這些數據包的長度都是62個位元組。數據包前12個位元組包括了目的MAC和源MAC的地址信息,緊跟著的2位元組指出了數據包的類型,0800代表的是IP包格式,0806代表ARP包格式。接著的20個位元組是封裝的IP包頭,包括了源、目的IP地址、IP版本號等信息。剩下的28個位元組封裝的是TCP包頭,包括了源、目的埠,TCP鏈接的狀態信息等。這就構成了一個62位元組的包。可以看出除了這些包頭數據之外,這個包沒有攜帶其他任何的有效數據負荷,所以這是一個TCP要求445埠同步的空包,也就是病毒主機在掃描445埠。一旦染毒主機同步上沒有採取防護措施的主機445埠,便會利用系統漏洞傳播感染。
編輯本段抓包
在實際語言應用中 還有露餡 被別人當場抓到的意思
英文名稱為Sniffer,中文可以翻譯為嗅探器,是一種威脅性極大的被動攻擊工具。使用這種工具,可以監視網路的狀態、數據流動情況以及網路上傳輸的信息。當信息以明文的形式在網路上傳輸時,便可以使用網路監聽的方式來進行攻擊。將網路介面設置在監聽模式,便可以將網上傳輸的源源不斷的信息截獲。黑客們常常用它來截獲用戶的口令。據說某個骨幹網路的路由器曾經被黑客攻入,並嗅探到大量的用戶口令。本文將詳細介紹Sniffer的原理和應用。
❸ TCP傳輸過程中均勻出現4%的亂序包,這樣的亂序是否會影響TCP的RTT為什麼
TCP重傳問題:
當你看到通信鏈路上發生重傳,進行以下步驟:
定位問題——是一個特定IP地址,特定連接,特定應用,還是其他問題。
查看問題是否由於通信鏈路,丟包,慢速伺服器還是PC。查看應用是否慢速。
如果不是由於上述原因,檢查延時變化。
TCP重復ACK與亂序:
如果重復ACK和重傳數量較少(少於1個百分比),是可以接受的。
如果重復ACK發生在無線網路環境,或是Internet之上的連接,延時或是延時的改變對於這類網路來說很常見,所以也沒有什麼可做的。
如果發生在組織內的網路,則可能有問題。如果發生在LAN之上,檢查嚴重的問題,例如緩存和CPU負載,慢速伺服器,等等。如果發生在WAN之上,查看延時,負載以及線路不穩定。
❹ 用抓包工具發現有大量的arp數據包,最近老是掉線,ping網關延時不高但是老丟包怎麼回事啊
用arp -a看看IP和MAC的對應,如果IP和MAC對應不正確,使數據出去找不到正確的路徑,才會出現丟包,虛假的ARP數據報會影響到網路中的每台電腦,要想防止這種能夠攻擊就要對區域網中的每台電腦進行管理,現在的免疫牆就是對每台電腦進行管理,通過安裝免疫驅動從網卡上獲得正確的信息,檢查發出的數據,攔截虛假的數據,放行真實的數據,使網路中的數據都是安全的
❺ 一些TCP常見問題如重傳、亂序等要如何處理
TCP連接問題:https://community.emc.com/thread/212373
如果SYN報文收到回復RST,則檢查攔截了port號的防火牆。
三次SYN而沒有任何回復,或者是由於應用程序沒有響應,或者是由於防火牆攔截了特定埠上的請求。
永遠記住確認一下是否有NAT,埠轉發,以及涉及TCP和UDP埠的機制。這些機制可能會中斷TCP正常操作。
TCP重傳問題:
當你看到通信鏈路上發生重傳,進行以下步驟:
定位問題——是一個特定IP地址,特定連接,特定應用,還是其他問題。
查看問題是否由於通信鏈路,丟包,慢速伺服器還是PC。查看應用是否慢速。
如果不是由於上述原因,檢查延時變化。
TCP重復ACK與亂序:
如果重復ACK和重傳數量較少(少於1個百分比),是可以接受的。
如果重復ACK發生在無線網路環境,或是Internet之上的連接,延時或是延時的改變對於這類網路來說很常見,所以也沒有什麼可做的。
如果發生在組織內的網路,則可能有問題。如果發生在LAN之上,檢查嚴重的問題,例如緩存和CPU負載,慢速伺服器,等等。如果發生在WAN之上,查看延時,負載以及線路不穩定。
❻ 訪問網頁,在PC端用wireshark抓包,為什麼會抓到很多的bad tcp
沒什麼關系的。底層畢竟有亂序抖動啥的。或者校驗和沒做檢驗。不影響應用收到的數據的,只是表明網路不好。
❼ 在本機用wireshark在公司區域網內抓包,出現大量ARP數據包如圖,能幫我找到是哪台機器中毒了嗎
這是是 ARP廣播包, 簡單點說就是,你要訪問192.168.1.156這個地址, 但是你的電腦並沒有他的MAC所以會發送一個ARP廣播請求包,
如果1.156接收到這個請求,會發送應答 並攜帶自己的MAC地址, 你的電腦就會保存這個MAC地址,然後就可以進行區域網通信的,,,,(廣域網是ROUTER 應答這個不在介紹范圍內)
出現這種問題的原因:
1. 1.156 跟你不在一個網段, 比如你是172.16.1.45 掩碼255.255.255.0
2. 掩碼不同, 192.168.1.156是 掩碼255.255.0.0,而你自己是255.255.255.0
3. IP(網路位) 掩碼段相同 , 但是沒插網線,,,,,不要笑, 這種白痴很多很多。。。
4. 協議棧錯誤,,這是傳說中的存在
5. ARP病毒,IPV4的噩夢,,,低級下流的病毒...
希望可以幫到你
❽ tcp多線程收包,應用程序收包亂序
看源代碼會比較好。
#define TCP_A_RETRANSMISSION 0x0001
#define TCP_A_OUT_OF_ORDER 0x0200
/* RETRANSMISSION/FAST RETRANSMISSION/OUT-OF-ORDER
* If the segment contains data (or is a SYN or a FIN) and
* if it does not advance the sequence number, it must be one
* of these three.
* Only test for this if we know what the seq number should be
* (tcpd->fwd->nextseq)
*
* Note that a simple KeepAlive is not a retransmission
*/
/* If there were >=2 plicate ACKs in the reverse direction
* (there might be plicate acks missing from the trace)
* and if this sequence number matches those ACKs
* and if the packet occurs within 20ms of the last
* plicate ack
* then this is a fast retransmission
*/
/* If the segment came <3ms since the segment with the highest
* seen sequence number and it doesn't look like a retransmission
* then it is an OUT-OF-ORDER segment.
* (3ms is an arbitrary number)
*/
這個大概是說序號有跳躍,就是原來的序號+片段長度<新序號,而且不是快速重傳,
那就是亂序
/* Check for spurious retransmission. If the current seq + segment length
* is less then the receivers lastask, the packet contains plicated
* data and may be considered spurious.
*/
❾ 如何抓取無線網路數據包
使用wireshark
❿ 網路抓包
區域網中的ARP請求報文,沒關系的 很正常!
區域網中各主機會進行ARP學習,以便進行IP通信,同時ARP在動態更新至主機中,如你此處的ARP -a顯示出來,如果不使用此條件,在老化時間後,會重新進行學習.
因此區域網中ARP請求報文是會有很多的,因為ARP請求是通過廣播方式發送的,因此你也會抓到本區域網中其他PC進行ARP請求的報文,當然如果他請求的不是你,你的PC也不會響應的.
你說十幾秒鍾才收到一次,相當正常,哪怕是一秒鍾一次也正常,這個還跟區域網主機數量有關.
樓上仁兄說你中了ARP病毒,哈哈 我笑了!
真中了ARP病毒,你抓包應該會發現不斷的ARP請求,且有重要終點就是發起請求方的MAC可能為同一個.
如一秒鍾發十個,且來自於同一主機,這時就需要注意了.
不過你的現象相當的正常,不用擔心 !
祝你好運!