ARP协议报文分析

原创 已于 2024-09-17 16:24:24 修改 · 4.2k 阅读 · 47 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #linux #网络 #计算机网络 #后端

于 2024-09-10 12:26:11 首次发布

目录

1. ARP 协议

2. 工作原理

3. ARP 协议报文格式

4. ARP 缓存的查看和修改

5. tcpdump抓包ARP协议报文分析

5.1 搭建 2 台虚拟机

5.2 在主机 192.168.0.155 打开一个shell命令行开启抓包监听

5.3 在主机 192.168.0.155 打开另一个shell命令行 telnet 192.168.0.154

5.4 在主机 192.168.0.155 抓包监听的窗口抓到头两帧数据即是 ARP 请求 和 ARP 应答包如下

5.4.1 tcpdump对ARP请求解析的解读

(1)站在数据链路层对以太网帧进行数据分析

(2)站在网络层对ARP请求包进行数据分析

(3)分析ARP请求以太网数据帧

5.4.2 tcpdump对ARP应答解析的解读

(1)站在数据链路层对以太网帧进行数据分析

(2)站在网络层对ARP请求包进行数据分析

(3)分析ARP应答以太网数据帧

1. ARP 协议

        ARP(Address Resolution Protocol,地址解析协议)协议属于网络层协议,它实现了将目的主机的 IP 地址转换为 MAC 地址(物理地址)。

2. 工作原理

        主机向自己所在的网络(比如家用路由器)广播一个 ARP 请求(request),该请求包含目的主机的IP地址,此网络上的其它主机都将收到这个请求,但只有被请求的目的主机会回应一个 arp 应答(reply)。

3. ARP 协议报文格式

字段 字节数 说明
硬件类型 2 表示物理地址的类型,对于以太网 MAC 地址,值为:0x0001
协议类型 2 发送方要映射的协议地址类型,对于 IP 地址,值为:0x0800
硬件地址长度 1 以太网 MAC 地址,占用 6 个字节,所以值为:0x06
协议地址长度 1 IPv4,占用 4 字节,所以值为:0x04
操作 2 4种操作类型:ARP 请求,值为:0x0001;ARP 应答,值为:0x0002;RARP 请求,值为:0x0003;RARP 应答,值为:0x0004
源MAC地址 6 发送方的 MAC 地址
源IP地址 4 发送方的 IP 地址
目的MAC地址 6 接收方的 MAC 地址,对于 ARP 请求,不知道接收方的 MAC 地址,该值用 0 填充,即 0x0000 0000 0000
目的IP地址 4 接收方的 IP 地址

        上面表格的说明不能完全搞懂也不要紧,往下看,会有抓取 ARP 请求和 ARP 应答的帧数据,我们根据帧数据分析来理解,对于 ARP 请求协议的理解就容易多了。

4. ARP 缓存的查看和修改

        在抓取 ARP 请求、应答包进行数据分析前,还有要讲明白 ARP 缓存。因为假如 ARP 请求的目的 IP 地址的 MAC 地址在本主机已经有缓存的话,就可能不会向自己所在的网络广播一个 ARP 请求(request),从而抓取不到 ARP 请求、应答包。

        ARP 维护了一个缓存,包含了经常访问或最近访问的主机 IP 地址到 MAC 地址的映射,这样做的好处是避免了重复的 ARP 请求,从而提高发送数据包的速度。

        linux 操作系统下可以使用 arp 命令来查看和修改 arp 缓存。

例如:

arp -a        // 查看 arp 缓存信息

从上图可知:

网关 192.168.0.1 映射的 MAC 地址:3c:6a:48:e2:d5:67

主机 192.168.0.154 映射的 MAC 地址:00:0c:29:ba:f0:0d

主机 192.168.0.101 映射的 MAC 地址:b0:a4:60:28:96:f5

ens33 是网卡名

arp -d 192.168.0.154        // 删除目的主机 192.168.0.154 的缓存信息

5. tcpdump抓包ARP协议报文分析

        tcpdump 是一个运行在命令行下的网络抓包工具,给使用者提供了大量的选项,用以过滤数据包或定制格式输出。

5.1 搭建 2 台虚拟机

 环境搭建链接:搭建多台能够互相 telnet 的 centos 虚拟机-CSDN博客

主机 192.168.0.154 的 MAC 地址为:00:0c:29:ba:f0:0d,网卡名为:ens33

主机 192.168.0.155 的 MAC 地址为:00:0c:29:83:72:68,网卡名为:ens33

最低0.47元/天 解锁文章
ARP协议报文详解
weixin_30530939的博客
01-24 3061
ARP协议定义     ARP(Address Resolution Protocol)地址解析协议,根据IP地址获取物理地址的一个TCP/IP协议。     由于OSI模型把网络分为七层,IP地址在OSI模型第三层,MAC地址在第二层,彼此不直接通信。在通过以太网发送IP数据包时,需要封装第三层(32位IP地址)和第二层(48位MAC地址)的报头,由于发送数据包时,只知道目标IP地址,不知道...
ARP报文格式
徐子元
09-23 1050
Te11 10.1.1.1:谁有10.1.1.2,告诉10.1.1.1。回复报文和请求报文比较类似,这里指列出不同的点。这个请求报文其实很明显了,主要分为三个部分看。
arp协议过程
最新发布
qq_44961704的博客
10-10 93
ARP(Address Resolution Protocal,地址解析协议)是将IP地址解析为以太网的MAC地址(或者称为物理地址)的协议。在局域网中,当主机或其他网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址还是不够的,因为IP数据报文必须封装成帧才能通过物理网络发为发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射。ARP就是实现这个功能的协议
ARP数据报格式
qq_44690575的博客
06-18 2228
ARP数据报格式 在网络通讯时,源主机的应用程序知道目的主机的IP地址和端口号,却不知道目的主机的硬件地址,而数据包首先是被网卡接收到再去处理上层协议的,如果接收到的数据包的硬件地址与本机不符,则直接丢弃。 因此在通讯前必须获得目的主机的硬件地址 。ARP协议就起到这个作用。源主机发出ARP请求,询问“IP地址是192.168.0.1的主机的硬件地址是多少”,并将这个请求广播到本地网段(以太网帧首部的硬件地址填FF:FF:FF:FF:FF:FF表示广播),目的主机接收到广播的ARP请求,发现其中的IP地址与
ARP协议分析
小白编程
03-14 3252
前言:ARP协议的作用: 1. 什么是ARP?    ARP (Address Resolution Protocol) 是个地址解析协议。最直白的说法是:在IP以太网中,当一个上层协议要发包时,有了该节点的IP地址,ARP就能提供该节点的MAC地址。   2为什么要有ARP? OSI 模式把网络工作分为七层,彼此不直接打交道,只通过接口(layre interface). IP地址在第三层, M...
ARP报文解析
他山之石 可以攻玉
08-11 4730
址解析协议ARP(Address Resolution Protocol)是用来将IP地址解析为MAC地址的协议arp报文总共42 bytes。其中以太网首部14 bytes,arp字段28字节。
Wireshark抓包实战:ARP协议报文分析与理解
总结来说,本实验着重于让学生掌握Wireshark抓包工具的使用,了解ARP协议在实际网络环境中的运作过程,包括报文的发送和接收,以及通过分析报文数据理解协议的工作原理。这对于理解和管理网络流量、故障排查和网络...
Internet协议分析-ARP报文分析
04-23
在上述实验报告中,我们可以通过实验步骤和结果来总结ARP报文分析的知识点: 1. ARP报文的功能和工作原理: - ARP报文的目的是将网络层的IP地址映射到数据链路层的MAC地址上。 - 工作原理基于广播和单播的方式。...
计算机网络实验报告之IP-ARP协议分析与编辑-掌握报文格式与工作原理
01-08
1. ARP协议报文格式的理解,包括其数据包结构的详细组成部分。在ARP协议中,报文包含硬件类型、协议类型、硬件地址长度、协议地址长度、操作类型、发送端的硬件地址、发送端的协议地址、目的端的硬件地址和目的端的...
报文学习二(ARP协议
弘毅_hao的博客
12-16 424
1. 概念 地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议; 2. 作用 其作用是在以太网环境中,数据的传输所依懒的是MAC地址而非IP地址,而将已知IP地址转换为MAC地址的工作是由ARP协议来完成的。 在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主...
arp协议分析
05-17
ARP协议分析
ARP报文分析
AXDLMG7的CSDN~
11-19 1936
环境 Win7-1 Win7-2 执行 捕获分析 暂未分析 保留报错
ARP报文内容详细分析
weixin_62440328的博客
03-08 5193
op:操作字段,共有4种类型(1.ARP请求,2.ARP应答,3.RARP请求,4.RARP应答)。字段5:表示要映射的协议地址的类型,要对IPv4地址进行映射,此值为0x0800。字段6和7:表示硬件地址长度和协议地址长度,MAC地址占6字节,IP地址占4字节。硬件类型:表示硬件地址的类型(其中,值为1表示以太网地址,其他还可能表示令牌环地址)。字段9:是发送端ARP请求或应答的硬件地址,这里是以太网地址,和字段2相同。字段4:硬件地址类型,硬件地址不止以太网一种,是以太网类型时,值为1。
ARP 协议分析
m0_68527309的博客
05-11 1833
ARP 协议分析。通过抓包详细分析ARP 协议的请求报文和响应报文
ARP协议报文格式及ARP
热门推荐
changsoon
05-12 6万+
ARP协议报文格式及ARP
ARP解析
m0_67838143的博客
07-25 2968
ARP载荷报文结构:ARP 应答过程:1.R1广播寻找对端2.对端单播回发以下是ARP抓包报文情况:(ARP请求包和应答包)ARP缓存表:老化计时器ARP代理:代理过程:(静态路由为例)配置静态路由以下一跳更好应用场景:1.同一网段不同广播域(用的比较少)2.vlan内的ARP代理 (用的更少)相同vlan,但又是同一网段(不同子网) 3.vlan内的ARP代理 (更更离谱)同一网段,但vlan不同免费VRP
计算机网络管理 ARP 地址解析协议 ARP的基础原理 Wireshark ARP 报文分析 ARP的通信过程
陈丹宇的博客
03-27 2345
阅读完这篇文章,你应该可以学会学习和掌握了分析抓取到的网络封包中数据内容,初步认识到如何通过抓取分析网络封包中的数据内容以了解网络通信的阶段流程。 进一步学习ARP 地址解析协议的有关内容:ARP的基础原理,Wireshark ARP 报文分析ARP的通信过程等内容。并且学会在网络封包中认识OSI七层模型的架构原理 ,以及基于特定协议------ARP协议,数据封包的主要数据结构,结合在网络协议架构课程中学习到的有关知识,更好的了解到了网络环境下的底层原理。
网络层】ARP 地址解析协议
weixin_43564241的博客
05-20 2465
本机为了获取对端设备的位置(目的MAC地址),在当前的环境中大喊:IP为XX.XX.XX.XX (小王)在哪里?上图所示,当PC1去访问PC2的时候,帧包中只知道PC2目标的IP不知道它的MAC地址(MAC地址是没有规律的,每个设备的MAC地址都是全球唯一的,因此PC1不可能知道PC2的MAC地址)。但是ARP缓存中的信息是有时间限制的,在时间到了之后就会自动清空ARP缓存。在同一个广播域中的主机都会收到广播帧,只有目标IP匹配的设备才会有回应,其他设备即使收到广播帧发现目标IP不匹配,不会有回应的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值