ARP協議抓包分析 – wireshark

ARP- Address Resolution Protocol協議，即地址解析協議。該協議功能就是將IP地址解析成MAC地址。

在發送數據的時候，只知道目標IP地址，不知道MAC地址，而又不能跨越第二、三層實現通訊，所以需要使用地址解析協議。使用地址解析協議之后，計算機可以根據網絡層中的IP地址數據，得到目標地址MAC地址，以保障通訊的順利進行。

**arp**命令，ARP緩存表維護工具

在計算機中都會提供一個arp命令，用于增加、刪除和查詢緩存表中的靜態地址對應關系。

使用方式如下：

arp Show and manipulate your system's ARP cache.- Show current arp table:arp -a- Clear the entire cache:sudo arp -a -d- Delete a specific entry:arp -d {{address}}- Create an entry:arp -s {{address}} {{mac_address}}

**arp**請求報文格式

• 第一個字段是廣播MAC地址，地址為0x FF FF FF FF FF FF，其目標是網絡上的所有主機

• 第二個字段，源MAC地址

• 第三個字段是協議類型，arp的協議類型是0x0806

• 硬件類型：占兩字節，表示ARP報文可以在哪種類型的網絡上傳輸，值為1時表示為以太網地址。

• 上層協議類型：占兩字節，表示硬件地址要映射的協議地址類型，映射IP地址時的值為0x0800。

• MAC地址長度：占一字節，標識MAC地址長度，以字節為單位，此處為6。

• IP協議地址長度：占一字節，標識IP得知長度，以字節為單位，此處為4。

• 操作類型：占2字節，指定本次ARP報文類型。1標識ARP請求報文，2標識ARP應答報文。

• 源MAC地址：占6字節，標識發送設備的硬件地址。

• 源IP地址：占4字節，標識發送方設備的IP地址。

• 目的MAC地址：占6字節，表示接收方設備的硬件地址，在請求報文中該字段值全為0，即00-00-00-00-00-00，表示任意地址，因為現在不知道這個MAC地址。

• 目的IP地址：占4字節，表示接受方的IP地址。

**arp**應答報文格式

arp應答協議報文和arp請求協議報文類似。不同的是，此時以太網頭部幀頭部分的目的MAC地址為發送ARP協議地址解析請求的MAC地址，而源MAC地址為被解析的主機MAC地址。同時操作類型為2表示是應答數據報文

抓獲的一個ARP請求報文

No. Time Source Destination Protocol Length Info48 0.585964653 HIWIFI_65:b0:40 Chongqin_e1:18:a9 ARP 42 Who has 192.168.199.235? Tell 192.168.199.1Frame 48: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface wlp4s0, id 0 Ethernet II, Src: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40), Dst: Chongqin_e1:18:a9 (40:23:43:e1:18:a9)Destination: Chongqin_e1:18:a9 (40:23:43:e1:18:a9)Source: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)Type: ARP (0x0806) Address Resolution Protocol (request)Hardware type: Ethernet (1)Protocol type: IPv4 (0x0800)Hardware size: 6Protocol size: 4Opcode: request (1)Sender MAC address: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)Sender IP address: 192.168.199.1Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)Target IP address: 192.168.199.235

抓獲的APP回復報文

No. Time Source Destination Protocol Length Info49 0.000021455 Chongqin_e1:18:a9 HIWIFI_65:b0:40 ARP 42 192.168.199.235 is at 40:23:43:e1:18:a9Frame 49: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface wlp4s0, id 0 Ethernet II, Src: Chongqin_e1:18:a9 (40:23:43:e1:18:a9), Dst: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)Destination: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)Source: Chongqin_e1:18:a9 (40:23:43:e1:18:a9)Type: ARP (0x0806) Address Resolution Protocol (reply)Hardware type: Ethernet (1)Protocol type: IPv4 (0x0800)Hardware size: 6Protocol size: 4Opcode: reply (2)Sender MAC address: Chongqin_e1:18:a9 (40:23:43:e1:18:a9)Sender IP address: 192.168.199.235Target MAC address: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)Target IP address: 192.168.199.1

總結

以上是生活随笔為你收集整理的ARP协议抓包分析 -- wireshark的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。