6.3.4 利用Wireshark进行协议分析(四)----ARP协议解析

最新推荐文章于 2024-05-16 08:34:29 发布
最新推荐文章于 2024-05-16 08:34:29 发布
阅读量1.3k 收藏 10
点赞数
分类专栏: 网络技术与应用 文章标签: wireshark 测试工具 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nytcjsjboss/article/details/131773207
版权

6.3.4 利用Wireshark进行协议分析(四)----ARP协议解析

我们知道对于单跳网络内部的数据传输,使用的是网络接口层的技术,比如以太网技术,以太网将报文数据封装在数据帧中进行传送,帧头指明发送方网卡的地址和接收方网卡的地址。(5.2.6 地址解析协议ARP)为了获得接收方的MAC地址,就需要使用ARP协议,ARP协议负责将IP地址转换成硬件地址或MAC地址,一般情况下主机都会在本地设置ARP高速缓存,存放已经解析好的IP地址和响应的硬件地址,在封装数据帧时首先是根据下一跳协议的地址来查看本地ARP的高速缓存,如果能够找到对应的硬件地址直接将地址填入到帧头,如果没有找到才会启动ARP的地址解析过程。

一、查看本地ARP高速缓存

进入命令行窗口,输入

arp -a

该命令返回的是缓存中包含的所有的地址对信息,每一行都显示了IP地址对应的物理地址以及地址的类型。如图

ARP缓存

地址类型有静态和动态之分,他们的区别在于是否参与到缓存的定时维护过程中,动态的地址具有时效性,如果在一段时间内没有更新或使用过会被删除掉,而静态地址则可以一直保留在缓存中。

二、ARP报文的捕获过程

  1. 启动Wireshark,并设置Wireshark的捕获条件为arp

  2. 点击开始按钮,为确保能够捕获到网络中的arp报文,先清空本地的ARP缓存

    在命令行中输入命令

    arp -d

    这里会出现一个问题,如果直接运行cmd命令行,会提示报错如图,提示ARP 项删除失败: 请求的操作需要提升。

    报错

    这是因为没有管理员权限,解决方法是,开始找到cmd右键以管理员身份运行,再次输入上述命令即可。如图

    管理员

运行结果如图所示

运行结果

  1. 回到Wireshark中查看报文捕获情况,我们看到捕获面板中的arp数据包列表中出现了两个arp报文

    如图捕获

    第一条报文是由本机所产生的广播请求,它的含义是我的地址是192.168.184.133,谁的地址是192.168.184.2

    第二条arp报文给出了我们所要解析的结果,告诉我们192.168.184.2所对应的硬件地址

  2. 查看arp报文的结构

    如图ARP报文结构

    选择第一条报文,分组详情窗口显示了两层封装结构,帧头和arp报文,说明arp报文是直接封装在数据帧中进行传输的,这个帧长42个字节,帧的头部是14个字节,目的MAC地址是6个字节全部为1,类型字段是16进制的0806表示帧里面包含的是arp报文。

    展开arp报文里面包含的内容如图

    请求报文

    1. 硬件类型
    2. 协议类型
    3. 硬件地址长度
    4. 协议地址长度
    5. 操作码,操作码取值为1表示是请求报文
    6. 后面是两对地址信息,源MAC地址,源IP地址,目的MAC地址以及目的IP地址,其中源MAC地址正是发送arp请求的主机的MAC地址。目的IP地址是网关的地址,目的MAC地址全零。

  3. 对照查看第二个报文

    与第一个报文相比第二个报文当中操作码为2如图

    响应报文

    表示这是一个应答报文,两对地址信息中源MAC地址正是我们所要解析的结果,是网关网卡的地址,从中我们可以看到ARP协议的解析过程,是基于问答形式的,以广播的方式请求,以单播的形式做出应答,而且ARP报文是直接封装在数据帧内进行传送的

肆悟先生
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Web安全班作业 | WireShark抓包ARP报文分析并实施ARP中间人攻击
Ms08067安全实验室
09-15 2742
文章来源|MS08067 SRC漏洞实战班课后作业本文作者:某学员A(SRC漏洞实战班1期学员)按老师要求尝试完成布置的作业如下:一、使用WireShark抓包,根据实际数据包,分析ARP...
6.3.4-packet-tracer---troubleshoot-etherchannel.pka
10-16
6.3.4-packet-tracer---troubleshoot-etherchannel.pka
Wireshark中的ARP协议分析
weixin_47763079的博客
12-06 217
也就是说,该ARP响应报文是用来回应之前的ARP请求分组的。源IP地址正好是ARP请求分组的目的IP地址,目的物理地址和目的IP地址正好是ARP请求分组的源物理地址和源IP地址。Source(源,物理,地址,)字段的值为:00:0c:29:7f:da:7b,这是发送方主机的物理地址,和ARP协议的Sender MAC address字段的值完全吻合。Destination(目的,物理,地址,)字段的值为:ff:ff:ff:ff:ff:ff,说明该以太网帧是广播帧,和ARP请求分组是通过广播形式发送吻合。
Wireshark数据抓包分析之ARP协议
xiao_ZHEDA的博客
08-23 3026
arp协议的具体分析
最全Wireshark网络抓包分析_wireshark抓包数据怎么看,想给金三银四找工作的程序员几点建议
2401_84978645的博客
05-16 1792
ICMP(Internet Control Message Protocol)网际报文控制协议,用于传输错误报告控制信息,对网络安全有极其重要的意义。例如请求的服务不可用、主机或路由不可达,ICMP协议依靠IP协议来完成任务,是IP协议的一个集成部分。通常不被用户网络程序直接使用,多用于ping和tracert等这样的诊断程序。UDP(User Datagram Protocol)用户数据报协议,提供面向事务的简单不可靠信息传送服务。将网络数据流压缩成数据包的形式。
实验三.利用Wireshark分析ARP协议.doc
05-11
校内实验 0积分共享 若自动添加积分可私信 仅供学习参考使用,不得商用(凑字数) 抓包分析ARP协议
wireshark ARP抓包
flyingzc的博客
06-16 6206
wireshark arp抓包 ARP 是借助 ARP 请求与 ARP 响应两种类型的包确定 MAC 地址. 1.主机会通过广播发送 ARP 请求,这个包中包含了想要知道的 MAC 地址的主机 IP 地址。 2.当同个链路中的所有设备收到 ARP 请求时,会去拆开 ARP 请求包里的内容,如果 ARP 请求包中的目标 IP 地址与自己的 IP 地址一致,那么这个设备就将自己的 MAC 地址塞入 ARP 响应包返回给主机。 3.操作系统通常会把第一次通过 ARP 获取的 MAC 地址缓存起来,以便下次直接从缓
Wireshark抓包ARP分析
千寻的博客
10-07 1万+
ARP原理: 检查ARP缓存 发送ARP请求 添加ARP表项 发送ARP应答 添加ARP表项 第一步:查看本地ARP信息 arp -a查看arp信息 arp -d清楚arp缓存(管理员身份) 第二步:打开wireshark 开始抓包 第三步:ping本网段内的任意主机 ping 10.0.105.111 自己主机的ip:10.0.105.22 第四步:过滤信息 arp || icmp 分析A...
使用wireshark分析ARP协议
热门推荐
桦桦的博客
05-30 1万+
Character is the ability to carry out a good resolution long after the excitement of moment has passed.--------毅力是兴奋的片刻久久过后,继续执行优秀决策的能力。 文章目录1, ARP协议2, ARP报文格式2.1 ARP部分2.2 以太网帧头2.3 ARP映射表3, 使用wireshark分析ARP3.1 搭建模拟环境3.2 登录路由器查看电脑和手机的IP3.2 管理者身份运行cmd3.3 pi
K-Lite Codec Tweak Tool v6.3.4.zip
07-16
K-Lite Codec Tweak Tool是一款专业的解码器扫描修复工具软件。软件主要针对的功能是扫描注册表来检测并移除损坏,当解码器扫描修复工具检测到错误或者被破坏的文件之后,会提示你操作。软件界面美观简洁、简单全面...
新鲜出炉的PCI-E协议3.0
12-01
Contents OBJECTIVE OF THE SPECIFICATION............................................................................... 23 DOCUMENT ORGANIZATION..........................................................
go-jira:Atlassian Jira的Go客户库
02-23
要求转到> = 1.14 吉拉v6.3.4&v7.1.2。 请注意,尽管官方仅支持Go的最后两个版本,但我们也针对1.13运行了测试。安装它是可获取的go get github.com/andygrunwald/go-jira 对于稳定版本,您可以将我们的标签之一与...
Python库 | nfstream-6.3.4-cp39-cp39-macosx_10_14_x86_64.whl
02-18
pip install nfstream-6.3.4-cp39-cp39-macosx_10_14_x86_64.whl ``` 一旦安装完成,就可以在Python环境中导入`nfstream`库,开始利用它的功能。`nfstream`的核心特性包括: 1. **实时数据处理**:`nfstream`...
DevArt.SecureBridge.6.3.4.Full.Source.D5-XE7.7z
06-11
DevArt.SecureBridge.6.3.4.Full.Source.D5-XE7.7z
WinSCP-6.3.4-Setup 远程文件传输工具
最新发布
07-24
自用资源 一款远程文件传输工具 亦可在官网下载:https://winscp.net
ffmpeg-2.13 ubuntu安装配置文件 大全
06-01
6.3.4 make 6.3.5 make install 7. a52 7.1 下载地址:http://liba52.sourceforge.net/downloads.html 在该地址下下载最新版本的a52. 7.2 下载文件(当前最新版本是0.7.4) wget ...
wireshark协议解析
dengdi8115的博客
09-20 344
1. 普通解析 Wireshark启动时,所有解析进行初始化和注册。要注册的信息包括协议名称、各个字段的信息、过滤用的关键字、要关联的下层协议与端口(handoff)等。在解析过程,每个解析器负责解析自己的协议部分, 然后把上层封装数据传递给后续协议解析器,这样就构成一个完整的协议解析链条。 解析链条的最上端是Frame解析器,它负责解析pcap帧头。后续该调用哪个解析器,是通过上...
wireshark抓包分析
weixin_53112703的博客
02-20 2439
用于建立连接过程,在连接请求中,SYN=1和ACK=0表示该数据段没有使用捎带的确认域,而连接应答捎带一个确认,即SYN=1和ACK=1。指示报文段里存在着被发送方的上层实体标记为”紧急”数据,当URG=1时,其后的紧急指针指示紧急数据在当前数据段中的位置(相对于当前序列号的字节偏移量),TCP接收方必须通知上层实体。一般而言,如果你得到的数据段被设置了RST位,那说明你这一端有问题了。当ACK=0时,表示该数据段不包含确认信息,当ACK=1时,表示该报文段包括一个对已被成功接收报文段的确认。
Wireshark使用技巧:手动指定协议解析非标准端口网络包
随心而动
10-12 816
Wireshark是一款非常流行的开源网络包协议分析工具,可以用于解析各种网络协议:IP、TCP、UDP,还有各种应用层的协议HTTP、FTP、Mysql、PG等等。Wireshark内置了一些常见的协议,打开pcap包时候,Wireshark一般都能自动识别并使用对应的协议进行解析。但有时候也会碰到一些特殊情况,比如Mysql端口并非默认的3306端口,而是改成了13306,Wireshark就会识别不了,只能识别到TCP协议
Cannot resolve org.apache.hive:hive-jdbc:2.1.1-cdh6.3.4
04-04
In this case, it seems that the artifact "org.apache.hive:hive-jdbc:2.1.1-cdh6.3.4" is not available in the Maven repository. To resolve this issue, you can try the following: 1. Check if the Maven...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值