ARP协议及抓包详解

ARP协议及抓包详解

       什么是arp（地址解析协议）协议：就是IP地址转换成物理地址（MAC）

       过程：

              主机用ARP发包广播找主机——学校喇叭喊人

              找到的主机发送返回包——听到的学生前往

              记录下目标的物理地址方便以后寻找——学生来到地方了解信息方便以后寻找

       专业说法：

              主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；

       代理ARP

              一般来讲ARP是在自己的网段发广播包来找，不在同一个网段怎么办？

              所以就有了代理ARP——帮助你在你不能找的地方找到人

       专业说法：

              地址解析协议工作在一个网段中，而代理ARP（Proxy ARP，也被称作混杂ARP（Promiscuous ARP） [9-10]）工作在不同的网段间，其一般被像路由器这样的设备使用，用来代替处于另一个网段的主机回答本网段主机的ARP请求。

抓包及深度含义

        既然已经理解那么就来深入理解一下

先不说其他的，来看看这张图

不要管这是什么不重要，只要知道最中间当成是交换机进行，边上的是四台电脑连在上面

争取想一下

环境介绍（就是上面那张图）

一个交换机

四台主机（192.168.1.1-192.168.1.4）

实验目的

       实现ARP协议及抓取ARP协议数据包

实验过程

       pc_1(192.168.1.1)在局域网内寻找pc_3(192.168.1.3)

我们先来看看pc_1(192.168.1.1)所经过的ARP数据包

这是什么呢？这是pc_1发送和接收的包

怎么看呢？

这两个是用来告诉局域网所有的机子本机物理地址所对应的IP地址

这四个是在询问192.168.1.3是谁，收到就回应192.168.1.1

这个是192.168.1.3回复给192.168.1.1的数据包

接下来了看看pc_2的经过了些什么数据包

只有三个包

前两个不用说上面说过

下面来说说最下面一个

这个就是之前192.168.1.1（pc_1）发过来的包，但是192.168.1.2(pc_2)经过比对发现不是给他的就没有做出回应

那么做出回应的是怎么样的？

我们来看看pc_3

可以发现多了一个包，这个包就是回应包

这个回应包的大致内容8a:f3:61:0f:03:06回复8a:f3:54:c4:01:06告诉它192.168.1.3的物理地址是8a:f3:61:0f:06

总结：当pc_1要与pc_3通讯，会给局域网所有的pc机发包询问，ip地址符合，将做出回应，不符合不给与理会。

上面的好不好理解我不知道，但是下面的更麻烦。。。

来看看这个

这两个框框里面是什么呢？

这就是包中的数据了，左边英文表示内容，右边16进制表示内容

将真的英语不好看这个是一个很崩溃的事

而且看这个还要懂一个很重要的东西那就是ARP的编码格式

这个编码格式是什么呢？

就是这个。。。

一脸懵吧？我也是

但是看着看着就会了

这代表了物理层，传输的是所有的封装包后的数据流

展开之后

可以看包括物理接口的相关信息，帧的长度，以及帧是不是被丢弃的状态。

这代表着数据链路层

上重点

看到没有，当我鼠标点到左边时右边的二进制表也被选择

可能不直观，来点更直观的

这是六个字节

这也是六个字节

上面写的是目地MAC地址，发现什么没？

是的，16进制编码区的前6个字节就是表示目的MAC地址

同理按照表格往后数一一对应

这里说一下帧类型

就是这个

这个的作用就是后面的格式表示ARP格式使用的是ARP格式的编码类型

注意：不同的编码格式有不同的规定，都是通过帧类型判断

这是因为数据只有那么多，没有达到要求，要补数字来表达真确的格式，就补0

接下来就是网络层

对应的就是这几个字段的内容了

就是这个意思

这就是一个ARP协议的深度刨析