Wireshark入门与进阶系列十二之IP冲突

0x00 前言

        这里，我们介绍如何使用wireshark 来分析网络中IP冲突的问题。其中IP冲突一般是指局域网中的IP冲突，例如两台主机使用了相同的IP地址。更进一步的划分个人主机IP冲突和服务器主机IP冲突。但是我们的分析的角度都是从本地个人电脑着手的。

0x01 个人主机IP冲突

现象: 首先，我们所说的个人主机包括笔记本等PC端、手机等移动端。然后，我们在相同的局域网环境(通俗地说，共同连接相同的一个WIFI、校园网内、公司内网），接着，个人主机A和个人主机B是被分配了相同的IP地址，这里我们假定为192.168.5.31。至于为啥会出现两台主机使用了一个相同的IP？这里有很多原因：1、个人主机B手动分配了自己IP为：192.168.5.31，但是这个IP已经之前已被DHCP分配了给主机A。所以产生了IP冲突。
2、在同一个局域网（WIFI、校园网、公司内网），接入的用户数目过多，导致IP重新分配。即是接入的用户很多，在IP地址不够用的情况下。例如192.168.5.31已经被分配了主机A，但是主机A下线了。主机B上线了，但这时，接入的用户数目过多，这时DHCP池已经没有IP地址分配了，这时一些已经分配了的IP地址，但这些拥有已分配的IP地址的主机下线了。这时IP又会被收回分配给主机B。由于DHCP更新的问题，主机A还可以使用原来的地址。这时就造成IP冲突。还有很多原因这里就不一一介绍了。
下面我们来简单分析这些问题的产生原因。

本地主机A为：192.168.5.31

设置wireshark 显示过滤器为：!dns and ip.addr == 192.168.5.31 

或者!(dns and arp) and tcp.port == 80 or tcp.port == 443

其他设置：【视图】--【解释名称】--【解释网络地址】、【解释物理地址】<<--（勾选）

判断依据：首先尽可能关闭本地主机A的网络连接【浏览器、下载、各种网络通信-QQ、微信等等】，让本地主机处于一种无连接状态

然后我们观察其中捕获的流量。

现象1：如果此时出现很多其他网络连接（百度，淘宝等或者一些其他网站），证明局域网另外一台同IP的主机正在上网，从而证明IP冲突

现象2：如果此时没有出现很多其他连接，证明局域网另外一台同IP的主机没有进行上网或者网络流量极小，从而证明IP冲突

现象3：对于源主机是网站的IP，会有两次的回传连接，并且长度都是一样的。证明局域网另外一台同IP的主机正在上网，从而证明IP冲突







0x02 服务器IP冲突

        对于服务器的IP冲突，这里比个人电脑稍微复杂点。因为我们通过访问WEB服务来发现IP十分冲突。因为第一点：两台服务必须提供web服务；第二，这两台服务必须存活，没有做负载均衡设置；第三，这两台服务器具有不同的标志。第四，对外服务的端口必须一致。这里，我假设服务器的IP为：192.168.5.31，容器为JETTY，当然其他容器也是可以，那么我们在个人主机访问服务器的地址为：http://192.168.5.31:8000/

现象：我们通过访问http://192.168.5.31:8000/，发现有时可以访问该网页，有时访问不了。或者可以访问这个地址，但是访问速度很慢。

#备注：因为手上没有现成的案例，这个暂时按照个人主机IP冲突处理，其实在服务器的网关那里抓包，分析的方式和现象和个人主机IP冲突是一模一样的。但是从个人主机这个角度，分析难度就大很多。就类似古代中医用牵线把脉那样困难了。

下面我们来简单分析这些问题的产生原因。

服务器的A为：192.168.5.31

服务器的B为：192.168.5.31

设置wireshark 显示过滤器为：!dns and ip.addr == 192.168.5.31

其他设置：【视图】--【解释名称】--【解释网络地址】、【解释物理地址】<<--（勾选）

判断依据：

现象1：如果此时出现很多其他网络连接（百度，淘宝等或者一些其他网站），证明局域网另外一台同IP的主机正在上网，从而证明IP冲突

现象2：如果此时没有出现很多其他连接，证明局域网另外一台同IP的主机没有进行上网或者网络流量极小，从而证明IP冲突

现象3：对于源主机是网站的IP，会有两次的回传连接，并且长度都是一样的。证明局域网另外一台同IP的主机正在上网，从而证明IP冲突

欢迎大家分享更好的思路，热切期待^^_^^ !