總結:
筆記本電腦通過網線直連未知IP的網絡設備(先將其斷電),欲知悉其IP地址,需先在筆記本上開啟wireshark程序,然后開啟抓取此固網接口收到的ARP報文;
接着將未知IP的網絡設備上電。【開機上電后,此設備會試圖獲取所配置網關IP對應的MAC地址,這樣就會向外發送ARP報文(攜帶自身的IP地址和MAC地址)】
這樣我們就會在wireshark軟件商抓取到此報文(可以通過篩選ARP類型來過濾掉其他報文)。【時間通常在一分鍾以內(如果筆記本電腦本地IP地址和DNS地址都配置成自動獲取,則會因為網絡發包沖突少而更快收到未知IP的網絡設備發送的ARP報文)】
==================================================================================================================
1、ARP協議簡介
說到網絡中的IP地址就不得不說APR協議。何為ARP?全名叫做Address Resolution Protocol(地址解析協議)。網絡中的設備發送消息時將包含目標IP地址信息存入本設備APR緩存中並保留一段時間,下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網絡中各個主機互相信任的基礎上的,網絡上的主機可以自主發送ARP應答消息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存;由此***者就可以向某一主機發送偽ARP應答報文,使其發送的信息無法到達預期的主機或到達錯誤的主機,這就構成了一個ARP欺騙。ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態對應關系等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。
ARP緩存是個用來儲存IP地址和MAC地址的緩沖區,其本質就是一個IP地址-->MAC地址的對應表,表中每一個條目分別記錄了網絡上其他主機的IP地址和對應的MAC地址。每一個以太網或令牌環網絡適配器都有自己單獨的表。當地址解析協議被詢問一個已知IP地址節點的MAC地址時,先在ARP緩存中查看,若存在,就直接返回與之對應的MAC地址,若不存在,才發送ARP請求向局域網查詢。
為使廣播量最小,ARP維護IP地址到MAC地址映射的緩存以便將來使用。ARP緩存可以包含動態和靜態項目。動態項目隨時間推移自動添加和刪除。每個動態ARP緩存項的潛在生命周期是10分鍾。新加到緩存中的項目帶有時間戳,如果某個項目添加后2分鍾內沒有再使用,則此項目過期並從ARP緩存中刪除;如果某個項目已在使用,則又收到2分鍾的生命周期;如果某個項目始終在使用,則會另外收到2分鍾的生命周期,一直到10分鍾的最長生命周期。靜態項目一直保留在緩存中,直到重新啟動計算機為止。(以上出自https://baike.baidu.com/item/ARP/609343?fr=aladdin)
2、抓取直連設備IP
環境:將被獲取的設備服務器B和計算機A相連(可直接用網線直連)
在A設備上將網口的所有IP信息清除(即改為DHCP),此步驟不做也可以,建議不要省略
網線連接后,打開安裝好的wirshark軟件,在過濾規則中輸入 arp(只顯示arp的數據包)
如果是直連的話,服務器B在關機狀態下此界面是沒有任何數據包顯示的,接下來,只需要打開服務器B設備,就會獲取直連網絡中的ARP數據包。在數據包中就有服務器B的IP等信息了
who has XX.XX.XX.XX ? Tell BB.BB.BB.BB
此處BB.BB.BB.BB就是需要獲取的地址。也包括此設備的MAC地址。