2. 科技
    3. ARP协议抓包分析 -- wireshark

    ARP协议抓包分析 -- wireshark

    科技2022-07-12  122

    ARP协议抓包分析 – wireshark

    ARP- Address Resolution Protocol协议,即地址解析协议。该协议功能就是将IP地址解析成MAC地址。

    在发送数据的时候,只知道目标IP地址,不知道MAC地址,而又不能跨越第二、三层实现通讯,所以需要使用地址解析协议。使用地址解析协议之后,计算机可以根据网络层中的IP地址数据,得到目标地址MAC地址,以保障通讯的顺利进行。

    **arp**命令,ARP缓存表维护工具

    在计算机中都会提供一个arp命令,用于增加、删除和查询缓存表中的静态地址对应关系。

    使用方式如下:

    arp Show and manipulate your system's ARP cache. - Show current arp table: arp -a - Clear the entire cache: sudo arp -a -d - Delete a specific entry: arp -d {{address}} - Create an entry: arp -s {{address}} {{mac_address}}

    **arp**请求报文格式

    第一个字段是广播MAC地址,地址为0x FF FF FF FF FF FF,其目标是网络上的所有主机

    第二个字段,源MAC地址

    第三个字段是协议类型,arp的协议类型是0x0806

    硬件类型:占两字节,表示ARP报文可以在哪种类型的网络上传输,值为1时表示为以太网地址。

    上层协议类型:占两字节,表示硬件地址要映射的协议地址类型,映射IP地址时的值为0x0800。

    MAC地址长度:占一字节,标识MAC地址长度,以字节为单位,此处为6。

    IP协议地址长度:占一字节,标识IP得知长度,以字节为单位,此处为4。

    操作类型:占2字节,指定本次ARP报文类型。1标识ARP请求报文,2标识ARP应答报文。

    源MAC地址:占6字节,标识发送设备的硬件地址。

    源IP地址:占4字节,标识发送方设备的IP地址。

    目的MAC地址:占6字节,表示接收方设备的硬件地址,在请求报文中该字段值全为0,即00-00-00-00-00-00,表示任意地址,因为现在不知道这个MAC地址。

    目的IP地址:占4字节,表示接受方的IP地址。

    **arp**应答报文格式

    arp应答协议报文和arp请求协议报文类似。不同的是,此时以太网头部帧头部分的目的MAC地址为发送ARP协议地址解析请求的MAC地址,而源MAC地址为被解析的主机MAC地址。同时操作类型为2表示是应答数据报文

    抓获的一个ARP请求报文

    No. Time Source Destination Protocol Length Info 48 0.585964653 HIWIFI_65:b0:40 Chongqin_e1:18:a9 ARP 42 Who has 192.168.199.235? Tell 192.168.199.1 Frame 48: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface wlp4s0, id 0 Ethernet II, Src: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40), Dst: Chongqin_e1:18:a9 (40:23:43:e1:18:a9) Destination: Chongqin_e1:18:a9 (40:23:43:e1:18:a9) Source: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40) Type: ARP (0x0806) Address Resolution Protocol (request) Hardware type: Ethernet (1) Protocol type: IPv4 (0x0800) Hardware size: 6 Protocol size: 4 Opcode: request (1) Sender MAC address: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40) Sender IP address: 192.168.199.1 Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00) Target IP address: 192.168.199.235

    抓获的APP回复报文

    No. Time Source Destination Protocol Length Info 49 0.000021455 Chongqin_e1:18:a9 HIWIFI_65:b0:40 ARP 42 192.168.199.235 is at 40:23:43:e1:18:a9 Frame 49: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface wlp4s0, id 0 Ethernet II, Src: Chongqin_e1:18:a9 (40:23:43:e1:18:a9), Dst: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40) Destination: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40) Source: Chongqin_e1:18:a9 (40:23:43:e1:18:a9) Type: ARP (0x0806) Address Resolution Protocol (reply) Hardware type: Ethernet (1) Protocol type: IPv4 (0x0800) Hardware size: 6 Protocol size: 4 Opcode: reply (2) Sender MAC address: Chongqin_e1:18:a9 (40:23:43:e1:18:a9) Sender IP address: 192.168.199.235 Target MAC address: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40) Target IP address: 192.168.199.1
    Processed: 0.011, SQL: 8