Wireshark 抓包：ARP 协议中的 “绿影分波” 之象

   ARP（Address Resolution Protocol，地址解析协议）是TCP/IP协议族中的一个重要协议，主要用于在本地网络中将IP地址解析为物理的MAC地址。通过捕获和分析ARP协议的数据包，我们可以更好地理解网络通信的基础过程，排查网络问题，甚至发现潜在的网络安全威胁。

  在本文中，我们将使用Wireshark（一种功能强大的网络抓包工具）来捕获和分析ARP协议的数据包。通过实际操作和案例分析，帮助读者掌握Wireshark的基本使用方法以及ARP协议的工作原理。

---------------------------------------------------------------------------------------------------------------------------------

环境准备

安装Wireshark

获取管理员权限

选择合适的网络接口

抓包设置与ARP数据包捕获

启动抓包

设置ARP过滤器

生成ARP流量

ARP数据包的分析

常见问题与解决方法

总结

---

 

环境准备

1. 安装Wireshark

   • 如果你还没有安装Wireshark，可以从其官方网站（https://www.wireshark.org/）下载并安装。Wireshark支持Windows、macOS和Linux平台。

   • 在安装过程中，记得选择“Wireshark”而不是“TShark”（后者是命令行工具）。

2. 获取管理员权限

   • 在某些系统中，运行Wireshark需要管理员权限，因为它需要访问网络接口的底层功能。

3. 选择合适的网络接口

   • 打开Wireshark后，你会看到一个接口列表，选择你当前连接的网络接口（例如以太网或Wi-Fi接口）。如果你不知道哪个接口是正确的，可以尝试逐一测试。

---

抓包设置与ARP数据包捕获

1. 启动抓包

   • 在Wireshark的主界面中，选择你要捕获的网络接口，然后点击“开始捕获”按钮。（注：有很多的网络连接，选哪个网络链接？左下角cmd回车，输入ipconfig，查看选择对应的网络接口）

     

2. 设置ARP过滤器

   • 为了只捕获ARP协议的数据包，你可以在过滤器框中输入arp，然后按回车键。这样，Wireshark会只显示ARP协议的数据包。

3. 生成ARP流量

   • 在抓包过程中，你可以通过以下方式生成ARP流量：

     • 在另一个设备上访问你的计算机（例如通过Ping命令）。

     • 在你的计算机上访问另一个设备（例如访问同一局域网中的主机）。

   注意： 如果你没有看到ARP数据包，可能是因为网络中没有发生ARP请求。这时，你可以尝试手动发送一个Ping命令到另一个设备，以触发ARP请求。

---

ARP数据包的分析

1. ARP数据包的结构
   ARP数据包的结构包括以下几个部分：

   • 源MAC地址：发送ARP请求的设备的MAC地址。

   • 源IP地址：发送ARP请求的设备的IP地址。

   • 目标MAC地址：目标设备的MAC地址（通常为00:00:00:00:00:00，表示未知）。

   • 目标IP地址：目标设备的IP地址。

2. ARP请求与回应

   • ARP请求（ARP Request）：当设备1想要发送数据给设备2时，如果它不知道设备2的MAC地址，它会发送一个ARP请求包，询问“谁拥有IP地址X.X.X.X？”

   • ARP回应（ARP Response）：当设备2接收到ARP请求时，它会发送一个ARP回应包，包含自己的MAC地址。

3. 抓包结果示例
   在Wireshark中，你可以看到类似以下的ARP数据包：

   No. | Time        | Source      | Destination | Protocol | Info
   ----|-------------|-------------|------------|----------|-------
   1   | 0.000000    | 192.168.1.1 | 192.168.1.2 | ARP      | Who has 192.168.1.2? Tell 192.168.1.1
   2   | 0.000010    | 192.168.1.2 | 192.168.1.1 | ARP      | 192.168.1.2 is at 00:11:22:33:44:55
   

   • 数据包1是ARP请求，询问“谁拥有192.168.1.2？”

   • 数据包2是ARP回应，表示“192.168.1.2在00:11:22:33:44:55”。

4. Gratuitous ARP
   在某些情况下，你可能会看到“Gratuitous ARP”（无触发ARP）数据包。这种情况通常发生在设备重新接入网络时，设备会发送一个ARP请求，但目标IP地址和源IP地址是相同的。这是设备主动宣告自己的存在，并更新其他设备的ARP缓存表。

---

常见问题与解决方法

1. 为什么没有捕获到ARP数据包？

   • 检查你的过滤器是否正确（输入arp）。

   • 确保你选择了正确的网络接口。

   • 确保你生成了ARP流量（例如通过Ping命令）。

2. 如何导出抓包结果？

   • 在Wireshark中，你可以通过菜单“文件” -> “另存为”将抓包结果保存为.pcapng文件，方便后续分析。

3. 如何清除ARP缓存表？

   • 在Windows中，可以通过命令arp -d清除ARP缓存表。

   • 在Linux中，可以通过命令sudo ip -s -s neigh flush清除ARP缓存表。

---

总结

  通过本文的学习，你已经掌握了如何使用Wireshark捕获和分析ARP协议的数据包。ARP协议是网络通信的基础协议，了解其工作原理对于网络调试和安全分析非常重要。在实际应用中，你可以利用Wireshark来排查网络问题，例如ARP欺骗攻击等。

认为有帮助的宝宝可以关注哦，后续会更新更多可能会对你提供帮助的小文章~