我有一个wireshark PCAP文件,我想找到网络中每个设备的MAC地址和私有IP(本地网络IP地址(。当我看到对话下的以太网选项卡时,我可以看到相应的MAC地址。我还在MAC对应的IP选项卡中看到多个IP地址(多个v4和多个v6(。每个MAC是否可以有一个以上的本地IP地址?我知道一个MAC可能有多个IP地址,但我想知道如何只在本地网络中找到这些地址。
每个MAC是否可以有一个以上的本地IP地址?
是的,它比你想象的更常见;然而,我认为PCAP可能会误导你。
对于单播IP地址,多播有不同的规则,有两个主要原因,你会看到两个不同的IP地址去往/来自某个MAC:
- 关联的接口有多个IP地址。以下是linux中具有多个地址的接口示例:
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 00:0c:29:43:c6:d5 brd ff:ff:ff:ff:ff:ff
inet 192.168.110.106/24 brd 192.168.110.255 scope global ens160
valid_lft forever preferred_lft forever
inet 192.168.110.102/24 brd 192.168.110.255 scope global secondary ens160
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fe43:c6d5/64 scope link
valid_lft forever preferred_lft forever
因此192.168.110.106和192.168.110.102都映射到MAC地址00:0c:29:43:c6:d5
- 关联的MAC地址是路由器/网关。在上面的示例中,假设
192.168.110.1是网关并且具有00:0c:29:43:c6:d6的MAC地址。如果192.168.1.10想要向8.8.8.8(或不在192.168.110.1中的任何IP(发送分组,则它将向MAC地址00:0c:29:43:c6:d6发送分组,但目的地IP地址仍然是8.8.8.8。因此,在您的PCAP中,您将看到00:0c:29:43:c6:d6与8.8.8.8关联,即使MAc地址在技术上属于192.168.110.1