2.1 - 网络协议 - ARP协议原理,报文解析,抓包实战

「作者主页」:士别三日wyx
「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

ARP协议

  • 1、ARP协议原理
  • 2、ARP协议报文
  • 3、ARP协议抓包分析
  • 4、ARP自主学习

ARP(Address Resolution Protocol)是 「地址解析协议」,可以根据IP地址获取Mac地址。

「Mac地址」是计算机的「唯一标识」,数据从网络层传输到链路层时,只知道IP地址,但不知道Mac地址,因此需要使用ARP协议将IP地址解析成Mac地址,才能通信。

在这里插入图片描述

1、ARP协议原理

ARP协议规定:每台计算机和路由器都维护一个「ARP缓存表」,用来保存IP和Mac地址的映射关系。

arp -a可以查看ARP地址缓存表

在这里插入图片描述

通信的时候,计算机就根据目的IP判断是不是「同网段IP」,如果是同网段,就在当前局域网内查询。

  1. 先查自己的「ARP缓存表」,如果有,就直接跟Mac地址对应的计算机通信。
  2. 如果没有,就发「ARP广播」,报文里携带目的IP地址,局域网内的所有主机都会收到广播。
  3. 收到广播的主机会看目的IP是不是自己,如果不是,就什么也不做。
  4. 如果是,就响应一个「ARP单播」,把自己的Mac地址发回去。
  5. 计算机收到响应的单播,就跟报文里的Mac地址通信,然后把IP和Mac地址保存到自己的ARP缓存表里,下次就直接查表,不用广播了。

如果目的IP「不是同网段」,就通过路由器发给目标局域网的路由器。

  1. 路由器先查自己的ARP缓存表,如果有,就把Mac地址发回去。
  2. 如果没有,就广播,收到单播的Mac地址,保存到自己的ARP缓存表里,然后把Mac地址发回去。

在这里插入图片描述


2、ARP协议报文


2.1 - 网络协议 - ARP协议原理,报文解析,抓包实战_第1张图片

  • Hardware type:硬件类型【2字节】
  • Protocol type:协议类型【2字节】
  • Hardware size:硬件地址长度【1字节】
  • Portocol size:协议长度【1字节】
  • Opcode:操作类型【2字节】request表示请求,reply表示响应
  • Sender Mac address:发送方Mac地址【6字节】
  • Sender IP address:发送方IP地址【4字节】
  • Target MAC address:目标Mac地址【6字节】
  • Target IP address:目标IP地址【4字节】
    2.1 - 网络协议 - ARP协议原理,报文解析,抓包实战_第2张图片

3、ARP协议抓包分析


1)cmd 获取局域网内所有主机,注意把第三位IP地址改成自己的网段

代码的意思是:ping 192.168.0.1192.168.0.255 之间的所有IP

for /L %i IN (1,1,254) DO ping -w 2 -n 1 192.168.31.%i

2)arp -a 查看本网段的IP

2.1 - 网络协议 - ARP协议原理,报文解析,抓包实战_第3张图片

3)记录一个本网段的IP,然后 arp -d 清空ARP表

2.1 - 网络协议 - ARP协议原理,报文解析,抓包实战_第4张图片

4)Wireshark开启抓包后,ping 那个本网段的IP

5)显示过滤器中输入:arp,过滤ARP协议的数据包

2.1 - 网络协议 - ARP协议原理,报文解析,抓包实战_第5张图片

  • 第一个包是ARP协议的广播请求包,我的电脑(7a:d3:8e:0e:32:4f)发送了一个广播(Broadcast)报文:“谁是192.168.31.118?告诉192.168.31.121(我的IP)”
  • 第二个包是ARP协议的单播响应包,有个电脑响应我: “192.168.31.11874:b5:87:db:06:ac

第一个包的数据中,request表示这是ARP请求包,包里源、目的IP、源Mac都有值,但目的Mac没有值。意思是:我不知道这个IP的Mac地址。

2.1 - 网络协议 - ARP协议原理,报文解析,抓包实战_第6张图片

第二个包的数据中,reply表示这是ARP响应包,包里源、目的IP,源、目的Mac都有值了。接收方可以从这里获取Mac地址。

2.1 - 网络协议 - ARP协议原理,报文解析,抓包实战_第7张图片

4、ARP自主学习

1)arp -d 清空ARP表。

2)ping 前面记录的那个IP,模拟一次ARP寻址。

3)arp -a 查看ARP表,可以看到那个IP被缓存了。

2.1 - 网络协议 - ARP协议原理,报文解析,抓包实战_第8张图片

4)Wireshark开启抓包,再ping一次那个IP。

2.1 - 网络协议 - ARP协议原理,报文解析,抓包实战_第9张图片
查看ARP请求包的目的MAC地址,不再是空的了。因为这是第二次访问,ARP缓存表李有记录了,就不再广播了。

你可能感兴趣的:(《网络安全入门到精通》,网络协议,网络,机器学习,安全,人工智能)