WireShark 分析 ARP 协议

１．WireShark 抓包工具介绍

是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

2. ARP 协议

ARP根据IP地址获取物理地址的一个TCP/IP协议。ARP为IP地址到对应的硬件地址之间提供动态映射。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。

3. 具体实验

本实验使用的版本是wireshark2.4.7版，打开软件，选择“捕获”-“选项”。

选择当前连的网，一般选择流量“起起伏伏”的那个接口。

此时会有海量的数据包，为了便于分析，我们使用过滤器输入“arp”以筛选出arp报文。

选取以下的发送和接收的报文进行分析，arp一次请求由广播的请求报文和单播的应答报文组成，所以这一组报文的源MAC地址和目的MAC地址是对调的。可以看一下Info的信息很有意思，请求报文广播说“谁有192.168.43.143的mac地址？告诉192.168.43.1吧！”，响应的报文对请求的地址单播说“192.168.43.143的mac地址是54：8c：a0:35：19:e6”。

下面的Address ResolutionProtocol就是arp协议，这个报文是请求包，因为目标的MAC地址是全0。

具体的字段解释如下，源IP是192.168.43.1，目的IP是192.168.43.143，但是不知道具体的目的地的mac地址

以下是响应包的内容：

它在响应包里面把mac地址补全，单播发给了源地址192.168.43.1。