为什么抓包没有arp的回应包（为什么抓包抓不到icmp包）

大家好！今天让创意岭的小编来大家介绍下关于为什么抓包没有arp的回应包的问题，以下是小编对此问题的归纳整理，让我们一起来看看吧。

开始之前先推荐一个非常厉害的Ai人工智能工具，一键生成原创文章、方案、文案、工作计划、工作报告、论文、代码、作文、做题和对话答疑等等

只需要输入关键词，就能返回你想要的内容，越精准，写出的就越详细，有微信小程序端、在线网页版、PC客户端

官网：https://ai.de1919.com

本文目录:

• 1、为什么我wireshark抓到的arp包，arp响应是显示broadcast广播

• 2、为什么ensp抓包输入arporicmp是空白

• 3、50分跪求网络高手帮忙解决关于局域网ARP攻击问题

• 4、STM32+UIP返回ARP应答包超时造成PC端数据发送丢失的问题

一、为什么我wireshark抓到的arp包，arp响应是显示broadcast广播

【前言】 某天在家里访问某电商网站首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到电商网站，心里第一个反应就是中木马了。 竟然有这样的事，一定要把木马大卸八块。 【原因排查】 首先在重现的情况下抓包，电商网站确实返回了一段JavaScript让浏览器跳转到了yiqifa;第二个HTTP响应由于晚到，被系统忽略(Wireshark识别为out-of-order)。 这两个HTTP响应包，必然一真一假。快揭示真相了。 再来看看两个HTTP响应的IP头。 第一个包TTL值是252，第二个包TTL值是56，而之前TCP三次握手时该电商服务器的TTL值是56，故可以判断先到的包是伪造的，真的包晚到而被系统忽略。 至此，确认是链路上的劫持。 更多链路劫持攻击的信息可以先看看笔者之前写的文章《链路劫持攻击一二三》。 【攻击方式】 继续分析伪造的数据包。 伪造包的TTL值是252，也就是说它的原始TTL值应该是255(大于252的系统默认TTL值只能是255了，一般不会修改)，也就表明攻击者的设备离我隔了3个路由;而正常的该电商网站的HTTP响应TTL值是56，隔了8个路由。物理上假的设备离我近，所以伪造的HTTP响应会先到——比较有意思的是，笔者实际监测时候发现也有伪造包晚到导致劫持失败的情况。 推测是一个旁路设备侦听所有的数据包，发现请电商网站首页的HTTP请求就立即返回一个定制好的HTTP响应。大致的攻击示意图如下。 当时笔者推测攻击者在链路上大动干戈应该不会只针对一个网站，于是就访问了下易迅、淘宝、天猫这些电商网站，结果发现易迅也受到同样的攻击。看起来这次流量劫持的目的是将电商网站流量导给返利联盟，通过返利联盟获得当前用户成交金额的返利。 基本确认运营商有问题，但是无法确认是运营商官方故意的还是遭到黑客攻击或者是内部人士偷偷搞的。 【攻击源定位】 来看看当时的路由结果： 如果按初始TTL值为255来算，HTTP包到达本机后为252，推算出经过了3(255-252)个路由，出问题的地方就在第4个路由附近，也就是这里的119的关键字重新访问主页的情况;再比如某些设备的HTTP阻断会向服务器发特定的RST包(我见过发IP Id为8888的案例)。 防护方面，这个案例只是伪造数据包，并没有实施阻断，所以只要客户端的安全软件把疑似出问题的包(一次TCP会话中TTL值相差很大或者IPId突然跳变)拦截就可以防御。为了避免误杀，可以拦截并休眠1秒，如果没有同样的数据包过来再放行。 有自己客户端的可以走自己的私有协议，网站类就困难一些，部署HTTPS吧。百度主页近期就使用了HTTPS，不过大部分用户还是不习惯在浏览器里输“https://”，所以还是存在被劫持的风险(类似的工具有SSLStrip)。当然了，对抗也会随之升级的，比如这次发现的GMail证书伪造事件。 在HTTPS尚不能大规模普及的情况下，是否可以给用户或者终端软件提供一个规避链路劫持的安全服务呢?似乎是可以的。下图是笔者构想的一个简单的通过本地代理软件加云服务的方式规避不安全ADSL链路的解决方案。 一些浏览器的云加速也客观上实现了这个功能。对于安全性不确定的公共WiFi，也可以用类似的方法来规避风险。 【后记】 希望本文对你有帮助。在链路劫持防护这件事上，腾讯欢迎与业界讨论甚至合作。

二、为什么ensp抓包输入arporicmp是空白

安装错误。在控制面板中，删除NPCAP。重安装winpcap、wireshark 注意一定不要安装npcap

三、50分跪求网络高手帮忙解决关于局域网ARP攻击问题

防范ARP地址欺骗类病毒

什么是ARP协议

要想了解ARP欺骗攻击的原理，首先就要了解什么是ARP协议。ARP是地址转换协议的英文缩写，它是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时为上层（网络层）提供服务。

我们知道，二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址（就是我们常说的MAC地址）传输以太网数据包的。因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。

ARP工作时，首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的ARP通信。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用（Windows系统这个时间为2分钟，而Cisco路由器的这个时间为5分钟），就会被删除。通过下面的例子我们可以很清楚地看出ARP的工作机制。

假定有如下五个IP地址的主机或者网络设备，它们分别是：

主机A 192.168.1.2

主机B 192.168.1.3

网关C 192.168.1.1

主机D 10.1.1.2

网关E 10.1.1.1

假如主机A要与主机B通信，它首先会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送ARP请求包，大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2，而广播地址会把这个请求包广播给局域网内的所有主机，但是只有192.168.1.3这台主机才会响应这个请求包，它会回应192.168.1.2一个ARP包，大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通信就依靠两者缓存表里的MAC地址来通信了，直到通信停止后2分钟，这个对应关系才会从表中被删除。

再来看一个非局域网内部的通信过程。假如主机A需要和主机D进行通信，它首先会发现这个主机D的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通信，然后再由网关C通过路由将数据包送到网关E，网关E收到这个数据包后发现是送给主机D（10.1.1.2）的，它就会检查自己的ARP缓存，看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址与主机D通信。

通过上面的例子我们知道，在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓存表。在正常情况下这个缓存表能够有效保证数据传输的一对一性，像主机B之类的是无法截获A与D之间的通信信息的。

但是主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机D之间的数据通信成为可能。

首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是02-02-02-02-02-02，主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成02-02-02-02-02-02，同时主机B向网关C发送一个ARP响应包说192.168.1.2的MAC是02-02-02-02-02-02，同样，网关C也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成02-02-02-02-02-02。当主机A想要与主机D通信时，它直接把应该发送给网关192.168.1.1的数据包发送到02-02-02-02-02-02这个MAC地址，也就是发给了主机B，主机B在收到这个包后经过修改再转发给真正的网关C，当从主机D返回的数据包到达网关C后，网关也使用自己ARP表中的MAC，将发往192.168.1.2这个IP地址的数据发往02-02-02-02-02-02这个MAC地址也就是主机B，主机B在收到这个包后再转发给主机A完成一次完整的数据通信，这样就成功地实现了一次ARP欺骗攻击。

因此简单点说，ARP欺骗的目的就是为了实现全交换环境下的数据监听。大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的。

如何发现及清除

局域网内一旦有ARP的攻击存在，会欺骗局域网内所有主机和网关，让所有上网的流量必须经过ARP攻击者控制的主机。其他用户原来直接通过网关上网，现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢甚至频繁断线。另外ARP欺骗需要不停地发送ARP应答包，会造成网络拥塞。

一旦怀疑有ARP攻击我们就可以使用抓包工具来抓包，如果发现网内存在大量ARP应答包，并且将所有的IP地址都指向同一个MAC地址，那么就说明存在ARP欺骗攻击，并且这个MAC地址就是用来进行ARP欺骗攻击的主机MAC地址，我们可以查出它对应的真实IP地址，从而采取相应的控制措施。另外，我们也可以到路由器或者网关交换机上查看IP地址与MAC地址的对应表，如果发现某一个MAC对应了大量的IP地址，那么也说明存在ARP欺骗攻击，同时通过这个MAC地址查出用来ARP欺骗攻击的主机在交换机上所对应的物理端口，从而进行控制。

如何防范？

我们可以采取以下措施防范ARP欺骗。

（1）在客户端使用arp命令绑定网关的真实MAC地址命令如下：

arp -d *(先清除错误的ARP表)

arp -s 192.168.1.1 03-03-03-03-03-03 （静态指定网关的MAC地址）

（2）在交换机上做端口与MAC地址的静态绑定。

（3）在路由器上做IP地址与MAC地址的静态绑定。

（4）使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。

（5）最主要是要提高用户的安全意识，养成良好的安全习惯，包括：及时安装系统补丁程序；为系统设置强壮的密码；安装防火墙；安装有效的杀毒软件并及时升级病毒库；不主动进行网络攻击，不随便运行不受信任的软件。

ARP工作原理如下:

在TCP/IP协议中,A给B发送IP包,在包头中需要填写B的IP为目标地址,但这个IP包在以太网上传输的时候,还需要进行一次以太包的封装,在这个以太包中,目标地址就是B的MAC地址.

计算机A是如何得知B的MAC地址的呢？解决问题的关键就在于ARP协议。

在A不知道B的MAC地址的情况下,A就广播一个ARP请求包,请求包中填有B的IP(192.168.1.2),以太网中的所有计算机都会接收这个请求,而正常的情况下只有B会给出ARP应答包,包中就填充上了B的MAC地址,并回复给A。

A得到ARP应答后,将B的MAC地址放入本机缓存,便于下次使用。

本机MAC缓存是有生存期的,生存期结束后,将再次重复上面的过程。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

四、STM32+UIP返回ARP应答包超时造成PC端数据发送丢失的问题

表示不懂ARP响应为什么会超时的

一般这个ARP超时有几十个ms吧，不懂能跑72M的STM32在干嘛，几十个ms的时间都回复不了一个ARP

重新设计一下你的STM32程序吧

以上就是关于为什么抓包没有arp的回应包相关问题的回答。希望能帮到你，如有更多相关问题，您也可以联系我们的客服进行咨询，客服也会为您讲解更多精彩的知识和内容。

推荐阅读：

域名续费为什么那么贵（为什么域名续费越来越贵）

人的手一直微微的抖是为什么（人的手一直微微的抖是为什么原因）

香奈儿为什么叫这个名字（香奈儿为什么要叫香奈儿）

怎么自己做一个网站（如何创建自己的网站平台）

室内设计平面方案讲解（室内设计平面方案讲解的句子）_1