2.1 - 网络协议 - ARP协议原理，报文解析，抓包实战

「作者主页」：士别三日wyx
「作者简介」：CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」：对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

ARP（Address Resolution Protocol）是 「地址解析协议」，可以根据IP地址获取Mac地址。

「Mac地址」是计算机的「唯一标识」，数据从网络层传输到链路层时，只知道IP地址，但不知道Mac地址，因此需要使用ARP协议将IP地址解析成Mac地址，才能通信。

1、ARP协议原理

ARP协议规定：每台计算机和路由器都维护一个「ARP缓存表」，用来保存IP和Mac地址的映射关系。

arp -a可以查看ARP地址缓存表

通信的时候，计算机就根据目的IP判断是不是「同网段IP」，如果是同网段，就在当前局域网内查询。

1. 先查自己的「ARP缓存表」，如果有，就直接跟Mac地址对应的计算机通信。
2. 如果没有，就发「ARP广播」，报文里携带目的IP地址，局域网内的所有主机都会收到广播。
3. 收到广播的主机会看目的IP是不是自己，如果不是，就什么也不做。
4. 如果是，就响应一个「ARP单播」，把自己的Mac地址发回去。
5. 计算机收到响应的单播，就跟报文里的Mac地址通信，然后把IP和Mac地址保存到自己的ARP缓存表里，下次就直接查表，不用广播了。

如果目的IP「不是同网段」，就通过路由器发给目标局域网的路由器。

1. 路由器先查自己的ARP缓存表，如果有，就把Mac地址发回去。
2. 如果没有，就广播，收到单播的Mac地址，保存到自己的ARP缓存表里，然后把Mac地址发回去。

2、ARP协议报文

• Hardware type：硬件类型【2字节】
• Protocol type：协议类型【2字节】
• Hardware size：硬件地址长度【1字节】
• Portocol size：协议长度【1字节】
• Opcode：操作类型【2字节】request表示请求，reply表示响应
• Sender Mac address：发送方Mac地址【6字节】
• Sender IP address：发送方IP地址【4字节】
• Target MAC address：目标Mac地址【6字节】
• Target IP address：目标IP地址【4字节】
  

3、ARP协议抓包分析

1）cmd 获取局域网内所有主机，注意把第三位IP地址改成自己的网段

代码的意思是：ping 192.168.0.1 到 192.168.0.255 之间的所有IP

for /L %i IN (1,1,254) DO ping -w 2 -n 1 192.168.31.%i

2）arp -a 查看本网段的IP

3）记录一个本网段的IP，然后 arp -d 清空ARP表

4）Wireshark开启抓包后，ping 那个本网段的IP

5）显示过滤器中输入：arp，过滤ARP协议的数据包

• 第一个包是ARP协议的广播请求包，我的电脑（7a:d3:8e:0e:32:4f）发送了一个广播（Broadcast）报文：“谁是192.168.31.118？告诉192.168.31.121（我的IP）”
• 第二个包是ARP协议的单播响应包，有个电脑响应我： “192.168.31.118 是 74：b5:87：db：06：ac”

第一个包的数据中，request表示这是ARP请求包，包里源、目的IP、源Mac都有值，但目的Mac没有值。意思是：我不知道这个IP的Mac地址。

第二个包的数据中，reply表示这是ARP响应包，包里源、目的IP，源、目的Mac都有值了。接收方可以从这里获取Mac地址。

4、ARP自主学习

1）arp -d 清空ARP表。

2）ping 前面记录的那个IP，模拟一次ARP寻址。

3）arp -a 查看ARP表，可以看到那个IP被缓存了。

4）Wireshark开启抓包，再ping一次那个IP。

查看ARP请求包的目的MAC地址，不再是空的了。因为这是第二次访问，ARP缓存表李有记录了，就不再广播了。