❶ 抓包抓到很多ARP包是怎么回事
1、ARP(Address Resolution Protocol)即地址解析协议, 用于实现从 IP 地址到 MAC 地址的映射,即询问目标IP对应的MAC地址。
2、在网络通信中,主机和主机通信的数据包需要依据OSI模型从上到下进行数据封装,当数据封装完整后,再向外发出。所以在局域网的通信中,不仅需要源目IP地址的封装,也需要源目MAC的封装。
3、一般情况下,上层应用程序更多关心IP地址而不关心MAC地址,所以需要通过ARP协议来获知目的主机的MAC地址,完成数据封装。
总结:表面上看是ip之间的通信,实际是通过ARP广播将ip与mac对应形成映射关系。所以网络中事实存在着大量的ARP广播,所以抓包会抓到,如果不需要,可以选择过滤掉。谢谢采纳!!
❷ 网络抓包
可以肯定的告诉你 没问题
找一个免费的或者试用版的抓包工具并不难。我使用了一种叫做SpyNet3.12 的抓包工具,非常小巧, 运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型,比如是要捕获IP包还是ARP包,还可以根据目的地址的不同,设置更详细的过滤参数。
2.配置网络路由。
你的路由器有缺省网关吗?如果有,指向了哪里?在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的(除非你想搞瘫这台路由器)。在一些企业网里往往仅指出网内地址段的路由,而不加缺省路由,那么就把缺省路由指到抓包主机上吧(它不下地狱谁下地狱?当然这台主机的性能最好是高一点的,否则很容易被病毒冲击而亡)。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把网络的出口映像到抓包主机上,所有对外访问的网络包都会被分析到。
3.开始抓包。
抓包主机已经设置好了,网络里的数据包也已经送过来了,那么我们看看网络里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来,这些就是被捕获的数据包(如图)。
图中的主体窗口里显示了抓包的情况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求,并且目的端口都是445。
4.找出染毒主机。
从抓包的情况看,主机10.32.20.71值得怀疑。首先我们看一下目的IP地址,这些地址我们网络里存在吗?很可能网络里根本就没有这些网段。其次,正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗?在毫秒级的时间内发出几十甚至几百个连接请求,正常吗?显然这台10.32.20.71的主机肯定有问题。再了解一下Microsoft-DS协议,该协议存在拒绝服务攻击的漏洞,连接端口是445,从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机操作系统打补丁杀病毒了。
既然抓到了病毒包,我们看一下这个数据包二进制的解码内容:
这些数据包的长度都是62个字节。数据包前12个字节包括了目的MAC和源MAC的地址信息,紧跟着的2字节指出了数据包的类型,0800代表的是IP包格式,0806代表ARP包格式。接着的20个字节是封装的IP包头,包括了源、目的IP地址、IP版本号等信息。剩下的28个字节封装的是TCP包头,包括了源、目的端口,TCP链接的状态信息等。这就构成了一个62字节的包。可以看出除了这些包头数据之外,这个包没有携带其他任何的有效数据负荷,所以这是一个TCP要求445端口同步的空包,也就是病毒主机在扫描445端口。一旦染毒主机同步上没有采取防护措施的主机445端口,便会利用系统漏洞传播感染。
编辑本段抓包
在实际语言应用中 还有露馅 被别人当场抓到的意思
英文名称为Sniffer,中文可以翻译为嗅探器,是一种威胁性极大的被动攻击工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。黑客们常常用它来截获用户的口令。据说某个骨干网络的路由器曾经被黑客攻入,并嗅探到大量的用户口令。本文将详细介绍Sniffer的原理和应用。
❸ TCP传输过程中均匀出现4%的乱序包,这样的乱序是否会影响TCP的RTT为什么
TCP重传问题:
当你看到通信链路上发生重传,进行以下步骤:
定位问题——是一个特定IP地址,特定连接,特定应用,还是其他问题。
查看问题是否由于通信链路,丢包,慢速服务器还是PC。查看应用是否慢速。
如果不是由于上述原因,检查延时变化。
TCP重复ACK与乱序:
如果重复ACK和重传数量较少(少于1个百分比),是可以接受的。
如果重复ACK发生在无线网络环境,或是Internet之上的连接,延时或是延时的改变对于这类网络来说很常见,所以也没有什么可做的。
如果发生在组织内的网络,则可能有问题。如果发生在LAN之上,检查严重的问题,例如缓存和CPU负载,慢速服务器,等等。如果发生在WAN之上,查看延时,负载以及线路不稳定。
❹ 用抓包工具发现有大量的arp数据包,最近老是掉线,ping网关延时不高但是老丢包怎么回事啊
用arp -a看看IP和MAC的对应,如果IP和MAC对应不正确,使数据出去找不到正确的路径,才会出现丢包,虚假的ARP数据报会影响到网络中的每台电脑,要想防止这种能够攻击就要对局域网中的每台电脑进行管理,现在的免疫墙就是对每台电脑进行管理,通过安装免疫驱动从网卡上获得正确的信息,检查发出的数据,拦截虚假的数据,放行真实的数据,使网络中的数据都是安全的
❺ 一些TCP常见问题如重传、乱序等要如何处理
TCP连接问题:https://community.emc.com/thread/212373
如果SYN报文收到回复RST,则检查拦截了port号的防火墙。
三次SYN而没有任何回复,或者是由于应用程序没有响应,或者是由于防火墙拦截了特定端口上的请求。
永远记住确认一下是否有NAT,端口转发,以及涉及TCP和UDP端口的机制。这些机制可能会中断TCP正常操作。
TCP重传问题:
当你看到通信链路上发生重传,进行以下步骤:
定位问题——是一个特定IP地址,特定连接,特定应用,还是其他问题。
查看问题是否由于通信链路,丢包,慢速服务器还是PC。查看应用是否慢速。
如果不是由于上述原因,检查延时变化。
TCP重复ACK与乱序:
如果重复ACK和重传数量较少(少于1个百分比),是可以接受的。
如果重复ACK发生在无线网络环境,或是Internet之上的连接,延时或是延时的改变对于这类网络来说很常见,所以也没有什么可做的。
如果发生在组织内的网络,则可能有问题。如果发生在LAN之上,检查严重的问题,例如缓存和CPU负载,慢速服务器,等等。如果发生在WAN之上,查看延时,负载以及线路不稳定。
❻ 访问网页,在PC端用wireshark抓包,为什么会抓到很多的bad tcp
没什么关系的。底层毕竟有乱序抖动啥的。或者校验和没做检验。不影响应用收到的数据的,只是表明网络不好。
❼ 在本机用wireshark在公司局域网内抓包,出现大量ARP数据包如图,能帮我找到是哪台机器中毒了吗
这是是 ARP广播包, 简单点说就是,你要访问192.168.1.156这个地址, 但是你的电脑并没有他的MAC所以会发送一个ARP广播请求包,
如果1.156接收到这个请求,会发送应答 并携带自己的MAC地址, 你的电脑就会保存这个MAC地址,然后就可以进行局域网通信的,,,,(广域网是ROUTER 应答这个不在介绍范围内)
出现这种问题的原因:
1. 1.156 跟你不在一个网段, 比如你是172.16.1.45 掩码255.255.255.0
2. 掩码不同, 192.168.1.156是 掩码255.255.0.0,而你自己是255.255.255.0
3. IP(网络位) 掩码段相同 , 但是没插网线,,,,,不要笑, 这种白痴很多很多。。。
4. 协议栈错误,,这是传说中的存在
5. ARP病毒,IPV4的噩梦,,,低级下流的病毒...
希望可以帮到你
❽ tcp多线程收包,应用程序收包乱序
看源代码会比较好。
#define TCP_A_RETRANSMISSION 0x0001
#define TCP_A_OUT_OF_ORDER 0x0200
/* RETRANSMISSION/FAST RETRANSMISSION/OUT-OF-ORDER
* If the segment contains data (or is a SYN or a FIN) and
* if it does not advance the sequence number, it must be one
* of these three.
* Only test for this if we know what the seq number should be
* (tcpd->fwd->nextseq)
*
* Note that a simple KeepAlive is not a retransmission
*/
/* If there were >=2 plicate ACKs in the reverse direction
* (there might be plicate acks missing from the trace)
* and if this sequence number matches those ACKs
* and if the packet occurs within 20ms of the last
* plicate ack
* then this is a fast retransmission
*/
/* If the segment came <3ms since the segment with the highest
* seen sequence number and it doesn't look like a retransmission
* then it is an OUT-OF-ORDER segment.
* (3ms is an arbitrary number)
*/
这个大概是说序号有跳跃,就是原来的序号+片段长度<新序号,而且不是快速重传,
那就是乱序
/* Check for spurious retransmission. If the current seq + segment length
* is less then the receivers lastask, the packet contains plicated
* data and may be considered spurious.
*/
❾ 如何抓取无线网络数据包
使用wireshark
❿ 网络抓包
局域网中的ARP请求报文,没关系的 很正常!
局域网中各主机会进行ARP学习,以便进行IP通信,同时ARP在动态更新至主机中,如你此处的ARP -a显示出来,如果不使用此条件,在老化时间后,会重新进行学习.
因此局域网中ARP请求报文是会有很多的,因为ARP请求是通过广播方式发送的,因此你也会抓到本局域网中其他PC进行ARP请求的报文,当然如果他请求的不是你,你的PC也不会响应的.
你说十几秒钟才收到一次,相当正常,哪怕是一秒钟一次也正常,这个还跟局域网主机数量有关.
楼上仁兄说你中了ARP病毒,哈哈 我笑了!
真中了ARP病毒,你抓包应该会发现不断的ARP请求,且有重要终点就是发起请求方的MAC可能为同一个.
如一秒钟发十个,且来自于同一主机,这时就需要注意了.
不过你的现象相当的正常,不用担心 !
祝你好运!