當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

ARP协议抓包分析

發(fā)布時間：2025/3/19 编程问答 25 豆豆

生活随笔收集整理的這篇文章主要介紹了 ARP协议抓包分析小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

一、什么是ARP
ARP（地址解析協(xié)議）是根據IP地址獲取物理地址的一個TCP/IP協(xié)議。由于OSI將網絡分為七層，IP地址在OSI模型的第三層，MAC地址在第二層，彼此不直接通信。在通過以太網發(fā)送IP數據包時，需要知道先封裝第三層和第二層的報頭。但由于發(fā)送數據包時只知道目標IP地址，不知道其MAC地址，而又不能跨越第二、三層，所以需要地址解析協(xié)議。
二、ARP工作流程
ARP請求與響應過程
（1）當主機PC1想發(fā)送數據給主機PC2時，首先在自己的本地ARP緩存表中檢查主機PC2匹配的MAC地址；
（2）如果主機PC1在緩存表中沒有找到相應的條目，便將ARP請求幀廣播到本地網絡上的所有主機。該幀中包括源主機PC1的IP地址和MAC地址。本地網絡上的每臺主機都接收到ARP請求并且檢查是否與自己的IP地址匹配。如果主機發(fā)現請求的IP地址與自己的不匹配，則將丟棄ARP請求；
（3）主機PC2發(fā)現請求的IP地址與自己的匹配，則將PC1的IP地址和MAC地址添加到本地緩存表；
（4）主機PC2將包含其MAC地址的ARP回復消息直接發(fā)送給主機PC1（單播）
（5）主機PC1接收到主機PC2的ARP回復消息時，將主機PC2的IP地址和MAC地址添加到自己的本地緩存表。本機緩存是有生存期的，默認ARP緩存的生存周期為120s。主機PC2的MAC地址一旦確定，主機PC1就可以向主機PC2發(fā)送IP消息了；
三、ARP緩存表
arp命令
該命令用于查詢本機ARP緩存中的IP地址和MAC地址對應的關系、添加或刪除靜態(tài)對應關系等。
arp [-s inet_addr [if_addr]] [-d inet_addr [if_addr]] [-a [inet_addr] [-N if_addr]] [-g] [-v]
-s inet_addr [if_addr]:向ARP緩存表中添加可將IP地址inet_addr解析成物理地址eth_addr的靜態(tài)條目。要向指定接口添加靜態(tài)ARP緩存條目，使用if_addr參數，此處[if_addr]代表指派給該接口的IP地址
-d inet_addr [if_addr]:在ARP緩存表中刪除IP地址為inet_addr的IP條目。要刪除指定接口的某項緩存條目，使用if_addr參數，此處[if_addr]代表指派給該接口的IP地址；要刪除所有的條目，可使用*通配符代替 inet_addr。
-a [inet_addr] [-N if_addr]：先是所有接口的當前ARP緩存表；
-g：與-a相同
-v：查看幫助信息
四、捕獲ARP協(xié)議包
實驗環(huán)境
PC1:物理機WIN10（IP:169.254.35.227）[在此啟動虛擬機]
PC2:虛擬機WIN8（IP:169.254.148.228）
使用捕獲過濾器
根據實驗環(huán)境選擇捕獲選項

進入如下界面，當前沒有捕獲到任何包。因為這里使用了捕獲過濾器，僅捕獲ARP包

在PC2上執(zhí)行以下命令，并輸出如下信息

在wireshark中查看抓包記錄

在分析請求ARP協(xié)議包之前我們都會先介紹一下他們的報文格式，以更清楚地理解每個包
ARP報文格式如下：

硬件類型：表明ARP協(xié)議實現在哪種類型的網絡上
協(xié)議類型：表示解析協(xié)議（上層協(xié)議）。這里一般是0800，即IP
硬件地址長度：MAC地址長度，此處為6個字節(jié)
協(xié)議地址長度：IP地址長度，此處為4個字節(jié)
操作類型：表示ARP協(xié)議數據類型。1表示ARP協(xié)議請求數據報，2表示ARP協(xié)議應答數據報
源MAC地址：發(fā)送端MAC地址
源IP地址：發(fā)送端IP地址
目標MAC地址：接收端MAC地址
目標IP地址：接收端IP地址
ARP應答數據報與ARP請求數據包的不同體現在：目標MAC地址，ARP請求數據包為全1的廣播地址，ARP應答數據報為請求得到的真實MAC地址；

查看捕獲的ARP數據包，第一個為ARP請求包

其中，以下內容表示這是第一幀數據報的詳細信息。其中包的大小為42個字節(jié)

以下內容表示以太網幀頭部信息。其中源MAC地址為00:0c:29:ca:4b:58,目標MAC地址為ff:ff:ff:ff:ff:ff(廣播地址)。這里的目標地址為廣播地址，是因為主機PC2不知道PC1主機的MAC地址。這樣，局域網中所有設備都會收到該數據包

以下內容表示地址解析協(xié)議內容，request表示該包是一個請求包。在該包中包括有ARP更詳細的信息字段信息，如下所示：

關于以上ARP頭部的內容和ARP請求報文的格式，我們可以構造出下表：

同樣的方式，分析ARP的響應包

以下是ARP響應包的詳細內容：

嗯嗯~~就醬紫！！！

總結

以上是生活随笔為你收集整理的ARP协议抓包分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

协议
ARP

上一篇： WindowsServer2008防火墙
下一篇： UDP协议抓包分析