wireshark学习笔记

wireshark学习笔记

从一道面试题开始

A ping B 理论分析

注意：通过MAC判断--1单播，2组播，3广播， 手动修改MAC时不允许修改成组播或广播。

十六进制0x0b转为二进制时为11

• A需要判断B是否和它是一个网段

  A通过自己的掩码判断自己的网段是192.168.26.0/24，用自己的掩码与B主机的IP地址做与运算，计算出B主机的网段是192.168.26.0/24，于是A认为B与它处于同一网段。

• A会按照通信规则，发ARP广播询问B主机的MAC地址

  who has 192.168.26.3， tell 192.168.26.129

• B主机由于和A主机处于同一个交换机的同一个VLAN，所以B主机会受到A发送的ARP广播，B主机执行以下内容：B主机不会再去判断A主机是否处于同一网段，而直接进行ARP单播回复，将自己的MAC地址告诉A

• A主机受到B主机的回复后，就开始准备ICMP的单播请求报文

  源IP：192.168.26.129 目标IP：192.168.26.3

  源MAC：00:aa:aa:aa:aa:aa 目标MAC：00:bb:bb:bb:bb:bb

• A发送的ICMP单播请求报文经过交换机的转发顺利到达B主机

  • 此时，B会判断A是否与之处于同一网段，B通过自己的子网掩码判断自己的网段是192.168.26.0/27，然后通过自己的子网掩码判断A主机的网段为192.168.26.128/27，于是B主机认为A主机和它不在同一个网段。

  • 此时，B主机需要请求网关的帮助，ARP广播网关的MAC地址，网关回复B以后，才会开始准备ICMP的回复报文：

  源IP：192.168.26.3 目标IP：192.168.26.129

  源MAC：00:bb:bb:bb:bb:bb 目标MAC：00:50:56:E7:51:F1

• B发送的ICMP回复报文由网关转发到A主机之后，ICMP完成一次请求和回复。

B上抓的ARP包：

A上抓的ARP包：

B ping A 理论分析