使用tcpdump观察ARP的通信过程

本文是《Linux高性能服务器编程》第1章的实验,实验机器是我在阿里云的远程主机(服务机)以及本地虚拟机(客户机),系统都是Ubuntu 16.04。使用xshell远程登录服务机,客户机则在VMware Workstation中打开。服务机的安全组设置了8888端口对外开放,服务机以太网网卡接口为eth0(通过ifconfig查看),公网IP为aliyunserv(具体IP配置于/etc/hosts中)。客户机以太网网卡接口为ens33,局域网IP为192.168.43.4,并且设置为桥接模式。客户机(虚拟机)的宿主机(windows系统)同一局域网IP为192.168.43.3。

1. 开启服务机的echo服务

首先查看是否支持echo服务。/etc目录是Linux的配置目录,底下包含各种配置文件,比如密码文件/etc/passwd,像安装完mysql后也会有个/etc/mysql目录,底下是mysql的配置文件。这里的/etc/service文件记录了主机上可能用到的服务及常用端口号/传输层协议。

# cat /etc/services | grep echo
echo        7/tcp
echo        7/udp
at-echo     204/tcp             # AppleTalk echo
at-echo     204/udp
echo        4/ddp           # AppleTalk Echo Protocol

grep查找包含某字符串的行,前2行即echo服务,同时支持TCP和UDP。但是要查看系统上是否有该服务,得确认是否在对应端口上有监听套接字,因此用netstat命令,-l选项即listening,处于LISTEN(监听)状态的套接字,默认只会显示已连接的套接字。

# netstat -l | grep echo
# 

可以看到没有echo进程监听,因此需要主动启用echo服务。

  1. 安装openbsd-inetd
sudo apt-get install openbsd-inetd
  1. 使用超级权限打开/etc/initd.conf文件,按照注释中的示例添加echo服务(第22行)
 16 #:INTERNAL: Internal services      
 17 #discard        stream  tcp nowait  root    internal
 18 #discard        dgram   udp wait    root    internal
 19 #daytime        stream  tcp nowait  root    internal
 20 #time       stream  tcp nowait  root    internal
 21                                    
 22 echo stream tcp nowait root internal
  1. 启动服务并查看是否启动成功,这里我一开始用start启动服务,发现没有启动成功,后来改成了restart重启服务才成功的。PS:我这里是root用户,因此不需要加sudo。
# /etc/init.d/openbsd-inetd restart
[ ok ] Restarting openbsd-inetd (via systemctl): openbsd-inetd.service.
# netstat -lp | grep echo
tcp        0      0 *:echo                  *:*                     LISTEN   

netstat-p选项查看对应进程的PID和名字。端口号被echo替代了,因为echo用的是众所周知的端口号,就像ssh对应端口22,mysql对应端口3306一样。可以用-n选项查看实际端口号。

2. 客户机telnet远程连接服务机

$ telnet aliyunserv echo
Trying aliyunserv...
telnet: Unable to connect to remote host: Connection refused

从错误提示来看是connect调用失败,errno被设置为ECONNREFUSED。即服务机响应了一个RST,回顾UNPv1的解释,产生RST的三个原因是:

  1. 目的地为某端口的SYN到达,然而该端口上没有正在监听的服务器;
  2. TCP想取消一个连接;
  3. TCP接收到了一个根本不存在的连接上的分节。

从排除法可知是原因2,因为我在安全组上只开启了8888号端口,因此7号端口默认不接受外部连接请求。于是登录阿里云,添加安全组规则如下图所示

添加安全组规则

终于成功连接echo服务,Ctrl+]退出telnet,如下所示

$ telnet aliyunserv 7
Trying aliyunserv...
Connected to aliyunserv.
Escape character is '^]'.
你好,阿里云!
你好,阿里云!
^]
telnet> q
Connection closed.

telnet的功能是连接指定IP和端口,然后输入信息回车后发送给对端,接着接收对端的回复。对于echo服务器而言发送和接收的信息是一样的。

3. 连接远程地址

ARP协议实现了任意网络层地址到任意物理地址的转换,比如最常见的,从IPv4地址到MAC地址。(注:下文均用MAC地址替代物理地址,IP地址替代网络层地址)其工作原理是主机向所在的网络广播一个ARP请求,该请求包含目标机器的网络地址,只有被请求的目标机器会回应一个ARP应答。
其中ARP维护一个高速缓存,其中包含经常访问或者最近访问的机器网络地址到物理地址的映射 ,防止每次访问对端都要查询MAC地址,从而减少网络中不必要的流量。通过arp命令可以查看-a、添加-s、删除-dARP缓存项。

$ arp -a
? (192.168.43.1) at e6:46:da:f4:f7:5c [ether] on ens33

首先在客户机打开新的终端执行抓包命令,-e选项开启以太网帧头部信息的显示,-n选项使用IP地址(而非主机名)代表主机,-t选项关闭时间戳的显示。

$ sudo tcpdump arp -ent

然后在原来的终端上删除该缓存项后用telnet连接到服务机

$ arp -a
? (192.168.43.1) at <incomplete> on ens33
$ telnet aliyunserv echo
Trying aliyunserv...
Connected to aliyunserv.
Escape character is '^]'.

抓包结果如下

00:0c:29:b0:61:05 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 192.168.43.1 tell 192.168.43.4, length 28
e6:46:da:f4:f7:5c > 00:0c:29:b0:61:05, ethertype ARP (0x0806), length 60: Reply 192.168.43.1 is-at e6:46:da:f4:f7:5c, length 46

第1个包目的MAC地址是广播地址ff:ff:ff:ff:ff:ff,表示整个局域网(LAN),该局域网上所有机器都会收到并处理这样的帧。0x0806表示这是ARP协议。由于以太网头部是14字节,所以前一个length比后一个length大14。
第1个包为Request(请求包),第2个包为Reply(回复包)。
192.168.43.1为路由器地址,因为所访问的远程主机并不在局域网内,所以找到的MAC地址为路由器地址,由路由器来完成后续寻址。

4. 连接局域网内地址

tcpdump抓包命令不变,这次telnet连接宿主机(桥接模式下相当于和客户机在同一个局域网内)。这次不折腾echo服务了,回顾之前的流程,本质是服务器启动监听socket,客户端connect连接服务器,connect伴随着三次握手,握手需要IP寻址,进而需要知道MAC地址。
所以这次直接在宿主机上用python进行监听,打开IDLE窗口,输入脚本如下

>>> import socket
>>> sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
>>> sock.bind(('0.0.0.0', 8888))
>>> sock.listen()
>>> conn, addr = sock.accept()

此时accept陷入阻塞,等待客户机连接。还是在一个终端窗口中开始抓包,tcpdump命令同上。然后在另一个窗口中用telnet连接

$ telnet 192.168.43.3 8888
Trying 192.168.43.3...
Connected to 192.168.43.3.
Escape character is '^]'.

telnet [IP] [端口]等价于调用socket创建TCP套接字,然后调用connect连接对应IP和端口的地址。抓包结果如下

00:0c:29:b0:61:05 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 192.168.43.3 tell 192.168.43.4, length 28
28:e3:47:45:ba:cd > 00:0c:29:b0:61:05, ethertype ARP (0x0806), length 60: Reply 192.168.43.3 is-at 28:e3:47:45:ba:cd, length 46

这次可以看到,第二个数据包(ARP回复包)的源IP是192.168.43.3,即宿主机地址,而非路由器地址。再查看ARP缓存会发现多了一项

$ arp -a
? (192.168.43.1) at e6:46:da:f4:f7:5c [ether] on ens33
IQ8OX37RVFOQ4I9 (192.168.43.3) at 28:e3:47:45:ba:cd [ether] on ens33

局域网路由器的MAC地址为e6:46:da:f4:f7:5c,另一台主机的MAC地址为28:e3:47:45:ba:cd。

5. 小结

从上述抓包过程中可以发现,ARP协议获取的并不是目的主机的真实MAC地址,只有在目的主机在同一个局域网内时才能获取其真实MAC地址,否则获取的是路由器的MAC地址
从这里也可以得出IP地址和MAC地址缺一不可的原因。
首先,若没有IP地址,由于ARP协议是通过广播的形式来查找MAC地址的,如果在整个广域网内用广播的方式来查找,几乎等同于大海捞针。只有在结合IP地址后,才能结合相关寻址算法来找寻源主机到目的主机所经过的路由器组成的路径。同时,ARP缓存只需要记录局域网内的主机MAC地址即可,如果广域网的主机MAC地址也记下来,内存很容易就爆掉。
另一方面,IP首部会记录源IP和目的IP,但是仅靠这两个信息是不知道路径上下一跳路由器的地址的,因此会用MAC地址来记录下一跳路由器的地址。
因此,对于一个发往外网地址的网络包,以太首部+IP首部+数据(传输层、应用层),以太首部记录下一跳路由器的MAC地址,IP首部记录目的地址的IP。虽然这个数据包在物理上是发给路由器的,但是逻辑上是发给目的主机的,前者用物理地址表示,后者用网络地址表示。

其他参考资料

[1] ubuntu 14.04中打开echo、daytime等标准服务详细实例图解
[2] What Is /etc/services in Linux/Unix?
[3] 《Linux高性能服务器编程》
[4] 《Unix网络编程 卷一:套接字联网API》第3版
[5] 《图解TCP/IP》第5版

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,362评论 5 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,330评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,247评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,560评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,580评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,569评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,929评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,587评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,840评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,596评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,678评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,366评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,945评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,929评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,165评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,271评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,403评论 2 342

推荐阅读更多精彩内容