摘要:
在网络分析和故障排查中,了解IP地址与MAC地址的对应关系是非常重要的。网络抓包工具是一种常用的工具,可以帮助我们查看这种对应关系。以下是在网络抓包工具中查看IP与MAC地址对应关... 在网络分析和故障排查中,了解 IP 地址与 MAC 地址的对应关系是非常重要的。网络抓包工具是一种常用的工具,可以帮助我们查看这种对应关系。以下是在网络抓包工具中查看 IP 与 MAC 地址对应关系的步骤:
通过使用网络抓包工具,我们可以方便地查看 IP 地址和 MAC 地址的对应关系,为网络分析和故障排查提供有价值的信息。
怎样查找MAC地址?
局域网管理中经常遇到已知某个MAC地址,要查询其IP地址的情况,有如下几种方法:
方法一:用ARP -A 查询
这种方法只能查到与本机通讯过(20分钟内)的主机MAC地址和IP地址。 可在远程主机所属网段中的任一台主机上运行此命令,这样可查出IP欺骗类病毒的主机。
方法二:用专用软件查,如nbtscan
命令方式是:nbtscan -r 网络号/掩码位,这种方法可查询某网段的所有IP与MAC对应关系,但装有防火墙的主机则禁止查询。
方法三: 如果所连交换机有网管功能,可用ARP SHOW 命令显示交换机的arp缓存信息,这种方式基本可查询所有的IP 与MAC地址,但只有网管才有这个权限。
方法四:用sniffer类的嗅探软件抓包分析,packet中一般都含用IP地址与MAC地址。
方法五:用solarwinds类软件中的MAC ADDRESS DISCOVERY查询,但这个工具好象不能跨网段查询。
抓包工具wireshark 怎么分析
启动wireshark后,通过工具栏中的快捷键(红色标记的按钮)开始新的实时抓包。 主界面上有一个接口列表(如下图红色标记1),列出系统中的网卡,选择一个可以接收数据的网卡开始抓包。 如果遇到NPF驱动未启动,无法抓包的问题,可以在win7或Vista下的C:\system\system32找到,以管理员身份运行,输入net start npf启动NPf服务。 重新启动wireshark即可开始抓包。 在抓包前可以进行设置,如上图红色标记2,点击进入设置对话框,设置如下:Interface:指定在哪个接口上抓包。 Limit each packet:限制每个包的大小。 Capture packets in promiscuous mode:是否打开混杂模式。 Filter:过滤器。 File:输入文件名称将抓到的包写到指定的文件中。 Use ring buffer:是否使用循环缓冲。 Update list of packets in real time:使每个数据包在被截获时就实时显示出来。 单击“OK”按钮开始抓包,系统显示出接收的不同数据包的统计信息,单击“Stop”按钮停止抓包后,分析结果显示在面板中。 为了使抓取的包更有针对性,在抓包前开启了QQ的视频聊天,因为QQ视频使用UDP协议,所以抓取的包大部分是采用UDP协议的包。 wireshark的抓包结果分为三部分:最上面为数据包列表,显示截获的每个数据包的总结性信息;中间为协议树,显示选定的数据包所属的协议信息;最下边是以十六进制形式表示的数据包内容,显示数据包在物理层上传输时的最终形式。 使用wireshark可以很方便地分析该数据包的源地址、目的地址、所属协议等。 上图的数据包列表中,第一列是编号(如第1个包),第二列是截取时间(0.),第三列source是源地址(115.155.39.93),第四列destination是目的地址(115.155.39.112),第五列protocol是这个包使用的协议(这里是UDP协议),第六列info是一些其它的信息,包括源端口号和目的端口号(源端口,目的端口)。 中间的是协议树,通过此协议树可以得到被截获数据包的更多信息,如主机的MAC地址(Ethernet II)、IP地址(Internet protocol)、UDP端口号(user datagram protocol)以及UDP协议的具体内容(data)。 最下面是以十六进制显示的数据包的具体内容,这是被截获的数据包在物理媒体上传输时的最终形式。 当在协议树中选中某行时,与其对应的十六进制代码同样会被选中,这样就可以很方便地对各种协议的数据包进行分析。 网络字节序是指在网络上的数据流是字节流,对于一个多字节数值(如十进制1014 = 0x03 f6),在网络传输时,先传递哪个字节,即先传递高位“03”还是低位“f6”。 下面通过截图具体说明:最下面是物理媒体上传输的字节流的最终形式,都是16进制表示,发送时按顺序先发送00 23 54 c3 …00 03 f6 …接收时也按此顺序接收字节。 选中total length:1014,它的十六进制表示是0x03f6,从下面的蓝色选中区域可以看到,03在前面,f6在后面,即高字节数据在低地址,低字节数据在高地址,所以可知,网络字节序采用的是大端模式。
查找电脑MAC地址的三种不同方法
1、在Windows 9x/2000/XP下单击“开始/程序”,找到“MS-DOS方式”或“命令提示符”。 在命令提示符下输入:“Ipconfig/all”,回车后出现如附图所示的对话框,其中的“Physical Address”即是所查的MAC地址。 2 、 用专用软件查,如nbtscan命令方式是:nbtscan -r 网络号/掩码位,这种方法可查询某网段的所有IP与MAC对应关系,但装有防火墙的主机则禁止查询3、用sniffer类的嗅探软件抓包分析,packet中一般都含用IP地址与MAC地址。 4、用solarwinds类软件中的MAC ADDRESS DISCOVERY查询,但这个工具好象不能跨网段查询。