分析两次抓包中的源/目的IP与MAC地址变化及对应关系

一、IP与MAC地址关系的基本概念

在以太网通信中，每个设备都具有唯一的物理地址（MAC地址）和逻辑地址（IP地址）。通常情况下，一个IP地址对应一个MAC地址。但在某些网络行为或攻击场景下，这种一对一的关系可能被打破。

二、如何识别两次抓包中源/目的IP与MAC的对应关系

在网络故障排查或安全分析中，技术人员通常使用Wireshark等工具对数据包进行捕获，并通过以下方法识别IP与MAC的对应关系：

1. 查看ARP请求与响应：通过追踪ARP广播，可以明确哪些IP地址绑定到哪些MAC地址。
2. 对比时间戳与通信方向：若两个抓包点位于不同网络节点（如防火墙前后），可依据通信的时间顺序判断是否经过NAT或代理。
3. 统计相同IP的不同MAC出现频率：若某IP地址在多个抓包中对应不同的MAC地址，则可能存在异常。

# 示例：使用tshark提取IP与MAC的映射关系
tshark -r capture1.pcap -T fields -e eth.src -e ip.src | sort | uniq
tshark -r capture2.pcap -T fields -e eth.dst -e ip.dst | sort | uniq
    

三、IP相同但MAC不同：可能涉及的行为与攻击手段

当发现同一IP地址在不同抓包中对应不同的MAC地址时，可能涉及以下几种情况：

• NAT转换：多台设备共享公网IP，导致源IP相同但源MAC不同。
• 代理服务器：客户端通过代理访问目标服务器，源IP由代理统一提供。
• ARP欺骗：攻击者伪造ARP响应，将自己的MAC绑定到其他主机的IP上，实现中间人攻击。
• 虚拟化环境：虚拟机漂移或快照恢复后，IP可能保留但MAC变化。

可以通过比对抓包点的位置（如交换机端口、路由器接口）来辅助判断具体原因。

四、NAT或代理环境下如何推断真实通信端点

在存在NAT或代理的环境中，直接观察到的IP和MAC地址往往不是原始通信端点的信息。此时可通过以下方法进行推断：

1. 检查NAT日志：若具备防火墙/NAT设备的日志权限，可匹配内部IP与外部IP的映射记录。
2. 分析TCP连接状态：通过三次握手的SYN报文源IP/MAC判断初始发起方。
3. 结合DNS查询：查找DNS请求中的主机名与IP映射，帮助定位源主机。
4. 使用流量镜像技术：将交换机镜像端口接入抓包设备，获取原始通信信息。

下面是一个典型的NAT转换过程示意图：

五、高级分析技巧与工具推荐

为了更高效地进行IP与MAC关联分析，建议使用以下工具和技术：

• TSHARK：命令行版Wireshark，适合批量处理抓包文件。
• Elastic Stack + Packetbeat：构建集中式网络流量日志分析平台。
• Python脚本 + Scapy库：自动化提取IP-MAC映射并生成报告。
• SIEM系统：如Splunk、QRadar等，支持对IP与MAC异常行为的实时告警。

以下是一个使用Scapy提取IP与MAC映射的简单脚本示例：

from scapy.all import *

def extract_ip_mac(pkt):
    if pkt.haslayer(IP) and pkt.haslayer(Ether):
        src_ip = pkt[IP].src
        src_mac = pkt[Ether].src
        print(f"{src_ip} -> {src_mac}")

sniff(offline="capture.pcap", prn=extract_ip_mac)