ARP協(xié)議抓包分析 – wireshark

ARP- Address Resolution Protocol協(xié)議，即地址解析協(xié)議。該協(xié)議功能就是將IP地址解析成MAC地址。

在發(fā)送數(shù)據(jù)的時候，只知道目標(biāo)IP地址，不知道MAC地址，而又不能跨越第二、三層實(shí)現(xiàn)通訊，所以需要使用地址解析協(xié)議。使用地址解析協(xié)議之后，計(jì)算機(jī)可以根據(jù)網(wǎng)絡(luò)層中的IP地址數(shù)據(jù)，得到目標(biāo)地址MAC地址，以保障通訊的順利進(jìn)行。

**arp**命令，ARP緩存表維護(hù)工具

在計(jì)算機(jī)中都會提供一個arp命令，用于增加、刪除和查詢緩存表中的靜態(tài)地址對應(yīng)關(guān)系。

使用方式如下：

arp Show and manipulate your system's ARP cache.- Show current arp table:arp -a- Clear the entire cache:sudo arp -a -d- Delete a specific entry:arp -d {{address}}- Create an entry:arp -s {{address}} {{mac_address}}

**arp**請求報(bào)文格式

• 第一個字段是廣播MAC地址，地址為0x FF FF FF FF FF FF，其目標(biāo)是網(wǎng)絡(luò)上的所有主機(jī)

• 第二個字段，源MAC地址

• 第三個字段是協(xié)議類型，arp的協(xié)議類型是0x0806

• 硬件類型：占兩字節(jié)，表示ARP報(bào)文可以在哪種類型的網(wǎng)絡(luò)上傳輸，值為1時表示為以太網(wǎng)地址。

• 上層協(xié)議類型：占兩字節(jié)，表示硬件地址要映射的協(xié)議地址類型，映射IP地址時的值為0x0800。

• MAC地址長度：占一字節(jié)，標(biāo)識MAC地址長度，以字節(jié)為單位，此處為6。

• IP協(xié)議地址長度：占一字節(jié)，標(biāo)識IP得知長度，以字節(jié)為單位，此處為4。

• 操作類型：占2字節(jié)，指定本次ARP報(bào)文類型。1標(biāo)識ARP請求報(bào)文，2標(biāo)識ARP應(yīng)答報(bào)文。

• 源MAC地址：占6字節(jié)，標(biāo)識發(fā)送設(shè)備的硬件地址。

• 源IP地址：占4字節(jié)，標(biāo)識發(fā)送方設(shè)備的IP地址。

• 目的MAC地址：占6字節(jié)，表示接收方設(shè)備的硬件地址，在請求報(bào)文中該字段值全為0，即00-00-00-00-00-00，表示任意地址，因?yàn)楝F(xiàn)在不知道這個MAC地址。

• 目的IP地址：占4字節(jié)，表示接受方的IP地址。

**arp**應(yīng)答報(bào)文格式

arp應(yīng)答協(xié)議報(bào)文和arp請求協(xié)議報(bào)文類似。不同的是，此時以太網(wǎng)頭部幀頭部分的目的MAC地址為發(fā)送ARP協(xié)議地址解析請求的MAC地址，而源MAC地址為被解析的主機(jī)MAC地址。同時操作類型為2表示是應(yīng)答數(shù)據(jù)報(bào)文

抓獲的一個ARP請求報(bào)文

No. Time Source Destination Protocol Length Info48 0.585964653 HIWIFI_65:b0:40 Chongqin_e1:18:a9 ARP 42 Who has 192.168.199.235? Tell 192.168.199.1Frame 48: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface wlp4s0, id 0 Ethernet II, Src: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40), Dst: Chongqin_e1:18:a9 (40:23:43:e1:18:a9)Destination: Chongqin_e1:18:a9 (40:23:43:e1:18:a9)Source: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)Type: ARP (0x0806) Address Resolution Protocol (request)Hardware type: Ethernet (1)Protocol type: IPv4 (0x0800)Hardware size: 6Protocol size: 4Opcode: request (1)Sender MAC address: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)Sender IP address: 192.168.199.1Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)Target IP address: 192.168.199.235

抓獲的APP回復(fù)報(bào)文

No. Time Source Destination Protocol Length Info49 0.000021455 Chongqin_e1:18:a9 HIWIFI_65:b0:40 ARP 42 192.168.199.235 is at 40:23:43:e1:18:a9Frame 49: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface wlp4s0, id 0 Ethernet II, Src: Chongqin_e1:18:a9 (40:23:43:e1:18:a9), Dst: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)Destination: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)Source: Chongqin_e1:18:a9 (40:23:43:e1:18:a9)Type: ARP (0x0806) Address Resolution Protocol (reply)Hardware type: Ethernet (1)Protocol type: IPv4 (0x0800)Hardware size: 6Protocol size: 4Opcode: reply (2)Sender MAC address: Chongqin_e1:18:a9 (40:23:43:e1:18:a9)Sender IP address: 192.168.199.235Target MAC address: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)Target IP address: 192.168.199.1

總結(jié)

以上是生活随笔為你收集整理的ARP协议抓包分析 -- wireshark的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。