难道没有ip和MAC地址查询的工具吗?!

bleem1998

还有个问题阿。。。
我用arping -c 1 -a 00:11:09:05:3b:9b查询IP地址
另一个窗口用tcpdump rarp监听所有的RARP包
请问这是为什么呢？
难道他发的不是RARP包？

platinum

这个可就不清楚了，如果有必要的话，不妨看一下 arping 的源码

bleem1998

ok
有时间一定会看看的
也就1000来行代码

skylove

arp和rarp

bleem1998

arp/rarp只能维护本地信息
查询怕是不行纳

skylove

只要在同一内网中,arp和rarp是可以帮助查到的...
比如你是x.1想查x.3的mac,那么你 ping x.3 ...在此过程中,会在发ping包前,先行查阅x.3的mac,并让对方回应到(tcp/ip 第一卷第4章中有个实验,是用tcpdump从第3台机器上查看2台机器进行访问时候arp的ask和replay情形的,您可以参考阅读),之后,arp 就会ask广播此网内所有主机,然后x.3进行replay,x.1机器得到后就会记录在案...此记录默认是20分钟,所以此20分钟内,都可以用arp命令得到该包信息.

以下是我ssh到一台sun机器后,对内网内2台机器的测试,您可以大致看看就明白了.

1. 
   
2. [root@cwnu-www /]# arp -an | grep 194
   
3. ce0    210.41.194.241       255.255.255.255       50:78:1c:1c:a0:5c
   
4. #原本在这里,只有一台机器的mac被存储了;
   
5. [root@cwnu-www /]# ping 210.41.194.243
   
6. 210.41.194.243 is alive
   
7. #我尝试着ping了一台原本不被记录mac的机器
   
8. [root@cwnu-www /]# arp -an | grep 194
   
9. ce0    210.41.194.241       255.255.255.255       50:78:1c:1c:a0:5c
   
10. ce0    210.41.194.243       255.255.255.255       50:78:1c:1c:9c:54
    
11. #此时,那台被我所ping的机器的mac地址也被记录了...
    

复制代码

楼主可以抽空看看tcp/ip 协议第4章,上面有更详尽准确地描述....

ecloud

图形工具ethreal（好像是这个名字吧）很好用，功能很全，非常好！

skylove

用那个我不如用sniffer pro了呢~~~ 虽然是在windows平台下,但的确是更好用一些的...

还是知道原理和细节比较好,自己都能用shell或者c写个小工具出来不是更容易控制么?

lb520_8

nmap -sP -PI -PT -on 192.168.1.0/24 > maclist.txt
可以得到所有的mac地址