干货:ARP协议详解、Wireshark抓包分析!建议收藏!

最新推荐文章于 2024-08-21 11:24:27 发布
最新推荐文章于 2024-08-21 11:24:27 发布
阅读量5.1k 收藏 72
点赞数 4
分类专栏: 软考网规
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzqsoft/article/details/119697176
版权

wireshark 网络协议

ARP地址转换协议,是一个根据IP地址来获取MAC地址的TCP/IP协议。在TCP/IP协议中,主机之间通过IP地址来定位,但实际定位则是通过主机硬件地址来确认,这个硬件地址就是MAC地址。MAC地址用于在网络中唯一标示一个网卡,一台设备若有一或多个网卡,则每个网卡都需要并有一个唯一的MAC地址。因此,主机发送信息前,必须通过 ARP 协议获取目标 IP 地址对应的 MAC 地址,才能正确地发送数据包。

MAC地址的长度是48位,6个字节,通常表示为12个16进制数,例如,54-89-98-A1-77-2B。前3个字节是表示网络硬件制造商的编号,由IEEE分配,后三个字节,由制造商自己分配,代表网卡的序列号。因此,MAC地址也称为网卡地址。

- ARP协议工作流程

ARP工作流程分为ARP请求过程和ARP响应过程。比如,主机A要与主机B通信,需要获取对方的MAC地址,流程是这样的:

主机 A 以广播形式向网络中所有主机发送 ARP 请求,请求报文中包含了目标 IP 地址。

主机 B 接收到请求,发现自己就是主机 A 要找的主机,返回响应,响应包中包含自己的 MAC 地址。如果发现不是,就丢弃相应的ARP报文。

为了避免重复发送ARP请求,产生大量的广播包,每台主机都有一个ARP缓存列表,当源主机得到 ARP 响应后,将目标主机的 IP 地址和物理地址存入本机 ARP 缓存中,并保留一定时间。下次请求 MAC 地址时,直接查询 ARP 缓存,而无须再发送 ARP 请求,从而节约了网络资源。当缓存生存期结束后,才会再次发送ARP请求报文。

  • ARP协议报文格式及封装

根据工作流程,ARP报文分为ARP请求和ARP应答报文两种,报文长度28个字节,其中ARP报头是18个字节,包含硬件类型、上层协议类型、MAC地址长度、IP地址长度、操作类型5个字段。除去报头外,剩余20个字段分别表示源、目的MAC地址和IP地址。如下图所示:

ARP报文格式
ARP是个独立的三层协议,并不需要IP协议封装,而是直接生成自己的报文,到达数据链路层后,由数据链路层协议进行封装,一般是以太网协议。封装的过程,就是在ARP报文的前面加上以太网帧头,再加上4字节的冗余校验码结尾,校验码用于检验数据传输是否出现损坏。

以太网帧头一共14个字节,包含目的MAC地址、源MAC地址、帧类型三个字段,如下图所示:

ARP帧格式
**以太网帧最小长度是64个字节,最长1518个字节。**封装后的ARP帧,实际就是一个最小以太网帧,包含14个字节的以太网帧头,28个字节的ARP报文,一共是42个字节。再加上4个字节的冗余校验码,其余18个字节用0来填充,共计64个字节。

  • Wireshark分析ARP协议

下面用Wireshark抓包工具在电脑本机上来分析ARP协议。先用arp -d命令删除arp缓存表,因此来触发本机发送ARP报文。其中,192.168.16.1是无线路由器IP地址,MAC地址是20-f4-1b-b6-44-ba。

在这里插入图片描述
在Wireshark过滤器中输入arp,过滤掉其它不相关的数据包。可以看到相应的ARP请求和响应报文。

在这里插入图片描述

以太网第48帧是电脑发送的ARP请求报文,在以太网帧头中,前面6个字节是目的MAC地址,因为是广播帧,所以地址是FF-FF-FF-FF-FF-FF。源MAC地址即本机MAC地址,这个可以用ipconfig /all命令查询得到,说明这个帧是电脑本机发出的。

目的主机的IP地址包含在ARP请求报文中,封装在以太网帧中。目的主机IP地址是192.168.16.1,即无线路由器地址。由于不知道目的MAC地址,用00-00-00-00-00-00表示,表示任意地址。

在这里插入图片描述

不过,用华为eNSP软件,模拟ARP请求报文,抓包显示目的MAC地址是广播地址FF-FF-FF-FF-FF-FF,我们以实际生产环境为准。广播地址和任意地址,此前网规考试上午题有考过。

分组报文窗口的最下边一栏,左边就是Wireshark实际抓取的数据包,以十六机制的数值表示,右边是以则是ACII码的形式表示。一般情况下,我们只需要关注十六进制的数值即可。

再来看第49帧,ARP应答报文。

在这里插入图片描述

在以太网帧头中,源MAC地址是20-f4-1b-b6-44-ba,这正是无线路由器地址,说明这是无线路由器发送给本机电脑的ARP应答报文。从ARP报文中,也可以看出,相应的地址是无线路由器地址192.168.16.1。

从以上的帧分析中,我们可以清楚的看出ARP帧的结构,各个字段的长度、数值。值得说明的是,Wireshark抓取的ARP帧,在生产环境是42个字节。在华为eNSP模拟环境中,是60个字节。eNSP、Wireshark安装请看下面这篇文章。

华为 eNSP V100R003C00 和 eNSP 设备包大全,来这里一键下载!快捷方便,网络仿真不用愁!

这似乎与以太网帧的最小长度64个字节不相符合,其实这是因为以太网封装的有效字段是42个字节,其余用0填充的字节,还有冗余校验码4个字节,都被Wireshark丢弃掉了。

本文首发公号:软考网络规划设计师(ruankaowg)。

lzqsoft
关注
专栏目录
TCP/IP之ARP详解
专注【PostgreSQL源码学习&研究】
04-01 2267
文章目录1. ARP概述2. ARP首部结构3. ARP工作原理3.1 ARP缓存3.24. ARP攻击5. 总结 1. ARP概述                               2. ARP首部结构                               3. ARP工作原理 3.1 ARP缓存      每一次的网络通信,应用层的数据都需要经过从应用层到物理层的封装步骤,即数...
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
本文章主要讲述使用VS2019编写C#程序,并通过UDP/TCP进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码...
实验十四:Wireshark数据抓包分析ARP协议
weixin_70557959的博客
05-12 2万+
实验十四:Wireshark数据抓包分析ARP协议 一、实验目的及要求 1、熟悉并掌握Wireshark的基本操作。 2、通过对Wireshark抓包实例进行分析,进一步加深对常用网络协议的理解。 3、培养学生理论联系实践的研究兴趣。 二、实验原理 1、什么是ARP ARP(AddressResolutionProtocol,地址解析协议)是根据IP地址获取物理地址的一个TCP/IP协议。由于OSI模型把网络工作分为七层,IP地址在OSI模型的第三层,MAC地址在第二层,彼此不直接通信。在..
ARP协议分析
最新发布
qq_63926306的博客
08-21 1017
ARP地址冲突协议交互过程ARP地址冲突概述ARP地址冲突(Address Resolution Protocol Collision)指的是在同一网络中,存在两个或更多具有相同IP地址的设备。这种情况会导致网络通信异常,数据包可能被错误地转发,甚至可能导致网络中的设备无法正常通信。为了避免这种情况,需要有一种机制能够检测并处理IP地址冲突地址冲突的检测与解决在网络中,通常使用ARP协议(Address Resolution Protocol)来将IP地址解析为MAC地址。
WireShark如何抓包,各种协议(HTTP、ARP、ICMP)的过滤或分析,用WireShark实现TCP三次握手和四次挥手
宝藏女孩的成长日记
03-09 2万+
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。
Wireshark抓包分析ARP协议
热门推荐
wangyuxiang946的博客
04-30 3万+
使用Wireshark工具抓取ARP协议的数据包,分析ARP协议的地址解析过程、自主学习逻辑以及初次访问和多次访问的区别。
Wireshark中的ARP协议分析
Q的博客
12-06 244
也就是说,该ARP响应报文是用来回应之前的ARP请求分组的。源IP地址正好是ARP请求分组的目的IP地址,目的物理地址和目的IP地址正好是ARP请求分组的源物理地址和源IP地址。Source(源,物理,地址,)字段的值为:00:0c:29:7f:da:7b,这是发送方主机的物理地址,和ARP协议的Sender MAC address字段的值完全吻合。Destination(目的,物理,地址,)字段的值为:ff:ff:ff:ff:ff:ff,说明该以太网帧是广播帧,和ARP请求分组是通过广播形式发送吻合。
实战利用WireShark对Telnet协议进行抓包分析.docx
05-24
Wireshark 抓包分析 Telnet 协议 Wireshark 是一种功能强大的网络抓包分析工具,能够对网络协议进行深入分析。在本文中,我们将使用 Wireshark 对 Telnet 协议进行抓包分析,了解 Telnet 协议的工作原理和实现机制...
MDNS协议wireshark抓包分析
07-09
arduino的MDNS库,开发测试时的wireshark抓包分析,已过滤其他杂包
使用wireshark抓包软件分析微信协议-计算机网络实验大作业.doc
06-07
在本实验中,学生利用Wireshark对微信协议进行了深入分析,主要涉及以下几个知识点: 1. **网络协议分析**:Wireshark允许用户捕获并查看网络通信中的各种协议数据包,包括TCP/IP、DNS、SSL等。通过分析这些数据包...
WireShark ARP协议分析
Fly_鹏程万里
10-20 769
ARP(Address Resolution Protocol,地址解析协议)是一种用于在IP网络中解析物理地址的通信协议,它的作用是将IP地址转换为MAC地址以便在局域网中传输数据包,ARP协议通常运行在网络层和数据链路层之间,它通过广播查询请求和响应来实现IP地址到MAC地址的映射。
基于WiresharkARP协议分析和IP报文、ICMP报文的分析|网络数据抓包|课程设计|traceroute|ping|
后端开发为主+人工智能
08-07 5485
wireshark抓包实验,课程设计,中山大学,计算机网络实验,tcp,ip,icmp,ping,traceroute,arp
Wireshark抓包ARP分析
千寻的博客
10-07 1万+
ARP原理: 检查ARP缓存 发送ARP请求 添加ARP表项 发送ARP应答 添加ARP表项 第一步:查看本地ARP信息 arp -a查看arp信息 arp -d清楚arp缓存(管理员身份) 第二步:打开wireshark 开始抓包 第三步:ping本网段内的任意主机 ping 10.0.105.111 自己主机的ip:10.0.105.22 第四步:过滤信息 arp || icmp 分析A...
Wireshark数据抓包分析ARP协议
mmxhappy的专栏
01-22 2671
ARP(Address Resolution Protocol,地址解析协议)是根据IP地址获取物理地址的一个TCP/IP协议。由于OSI模型把网络工作分为七层,IP地址在OSI模型的第三层,MAC地址在第二层,彼此不直接通信。在通过以太网发送IP数据包时,需要先封装第三层(32位IP地址)、第二层(48位MAC地址)的报头。但由于发送数据包时只知道目标IP地址,不知道其MAC地址,而又不能跨越第二、三层,所以需要使用地址解析协议
Wireshark抓取网卡协议分析(TCP,UDP,ARP,DNS,DHCP,HTTP超详细版本)
CodeGou的博客
07-21 2万+
Wireshark抓取网卡协议分析(TCP,UDP,ARP,DNS,DHCP,HTTP超详细版本)
Wireshark抓包分析ARP TCP DNS HTTP)
m0_65712192的博客
06-18 8313
Wireshark抓包分析ARP TCP DNS HTTP)
基于 Wireshark 分析 ARP 协议
Flag少侠的博客
03-24 2453
两台虚拟机,一台 Windows 10 安装了 WireShark,另一台随意(同一局域网内)
使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP-UDP协议-TCP协议-协议HTTP-DNS协议
CoutCodes的博客
06-19 3万+
深入理解网络协议,需要观察它们的工作过程并使用它们,即观察两个协议实体之间交换的报文序列,探究协议操作的细节,使协议实体执行某些动作,观察这些动作及其影响。
wireshark抓包分析
weixin_53112703的博客
02-20 2658
用于建立连接过程,在连接请求中,SYN=1和ACK=0表示该数据段没有使用捎带的确认域,而连接应答捎带一个确认,即SYN=1和ACK=1。指示报文段里存在着被发送方的上层实体标记为”紧急”数据,当URG=1时,其后的紧急指针指示紧急数据在当前数据段中的位置(相对于当前序列号的字节偏移量),TCP接收方必须通知上层实体。一般而言,如果你得到的数据段被设置了RST位,那说明你这一端有问题了。当ACK=0时,表示该数据段不包含确认信息,当ACK=1时,表示该报文段包括一个对已被成功接收报文段的确认。
Wireshark抓包实战:ARP协议报文分析与理解
总结来说,本实验着重于让学生掌握Wireshark抓包工具的使用,了解ARP协议在实际网络环境中的运作过程,包括报文的发送和接收,以及通过分析报文数据理解协议的工作原理。这对于理解和管理网络流量、故障排查和网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值