地址解析协议(ARP)的学习(通过wireshark抓包分析)

最新推荐文章于 2024-06-01 16:22:53 发布
最新推荐文章于 2024-06-01 16:22:53 发布
阅读量3.5w 收藏 91
点赞数 15
分类专栏: 网络编程 文章标签: TCP-IP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010442328/article/details/45419019
版权

看看维基百科的解释
地址解析协议(Address Resolution Protocol),其基本功能为通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。它是IPv4中网络层必不可少的协议,不过在IPv6中已不再适用,并被邻居发现协议(NDP)所替代。
基本功能[编辑]

在以太网协议中规定,同一局域网中的一台主机要和另一台主机进行直接通信,必须要知道目标主机的MAC地址。而在TCP/IP协议中,网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时,数据链路层的以太网协议接到上层IP协议提供的数据中,只包含目的主机的IP地址。于是需要一种方法,根据目的主机的IP地址,获得其MAC地址。这就是ARP协议要做的事情。所谓地址解析(address resolution)就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 另外,当发送主机和目的主机不在同一个局域网中时,即便知道目的主机的MAC地址,两者也不能直接通信,必须经过路由转发才可以。所以此时,发送主机通过ARP协议获得的将不是目的主机的真实MAC地址,而是一台可以通往局域网外的路由器的MAC地址。于是此后发送主机发往目的主机的所有帧,都将发往该路由器,通过它向外发送。这种情况称为ARP代理(ARP Proxy)。
原理[编辑]

在每台安装有TCP/IP协议的电脑或路由器里都有一个ARP缓存表,表里的IP地址与MAC地址是一对应的,如下表所示。
主机名称 IP地址 MAC地址
A 192.168.38.10 00-AA-00-62-D2-02
B 192.168.38.11 00-BB-00-62-C2-02
C 192.168.38.12 00-CC-00-62-C2-02
D 192.168.38.13 00-DD-00-62-C2-02
E 192.168.38.14 00-EE-00-62-C2-02
… … …
以主机A(192.168.38.10)向主机B(192.168.38.11)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址为(00-BB-00-62-C2-02),直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播(ARP request),目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询 问:“192.168.38.11的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应(ARP response):“192.168.38.11的MAC地址是(00-BB-00-62-C2-02)”。 这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。

来分析一个ARP包
在win7下,cmd中
看看本地ip和mac
以太网适配器 本地连接:

连接特定的 DNS 后缀 … … . :
IPv6 地址 … … … … : 2001:da8:100e:6c99:f4fc:78d9:6fea:d86
临时 IPv6 地址… … … . : 2001:da8:100e:6c99:990f:bec8:b536:b9
本地链接 IPv6 地址… … . . : fe80::f4fc:78d9:6fea:d86%14
IPv4 地址 … … … … : 10.10.16.49
子网掩码 … … … … : 255.255.252.0
默认网关… … … … . : fe80::290:1aff:fea3:7de4%14
10.10.16.1
再看看arp 缓冲表 arp -a
这里写图片描述

那我们就去arp一个arp表中没有的IP,
在cmd中
ping 10.10.16.10
在wireshark中抓包,找到这个包
“28”,”16.004655000”,”CompalIn_32:60:5d”,”Broadcast”,”ARP”,”42”,”Who has 10.10.16.10? Tell 10.10.16.49”
看看具体包的情况

这里写图片描述

这是帧的头部,目的地址为全FF表示广播询问,源地址本地的mac地址,类型字段是0806h为arp协议字段,
再看看ARP数据包

这里写图片描述

第一个16bit:硬件类型字段,0001h为以太网
第二个16bit:协议类型,0800h ,为IP协议
第三个8bit:mac地址长度 6bytes
第四个8bit:协议地址长度 4bytes
第五个16bit:操作码字段 0001h 是arp请求
第六个48bit:发送方的mac地址
第七个32bit:发送方的协议地址
第八个48bit:接受方的mac地址;一般全0
第九个32bit:接收方的协议地址,因为上面指明是IP协议,所以为IP地址,即使ping 后面的IP地址。
ARP数据包结束;

再看看回过来的数据包
“29”,”16.005449000”,”Unispher_a3:7d:e1”,”CompalIn_32:60:5d”,”ARP”,”60”,”10.10.16.10 is at 00:90:1a:a3:7d:e1”
具体看看包数据

这里写图片描述

在以太网头看看有个padding段
查看维基解释如下
Allowed Packet Lengths

Ethernet packets with less than the minimum 64 bytes for an Ethernet packet (header + user data + FCS) are padded to 64 bytes, which means that if there’s less than 64-(14+4) = 46 bytes of user data, extra padding data is added to the packet.
上面为补充到60个字节,再加上4个crc一共64字节。
在以太网头部和请求帧的一致,
具体看看ARP包数据;

这里写图片描述

此时,操作码字段为0002h,为应答;
这时候将IP对应的mac地址发回去。这时得到的mac地址为
00:90:1a:a3:7d:e1
看看在win下的arp表中是否有
接口: 10.10.16.49 — 0xe
Internet 地址 物理地址 类型
10.10.16.1 00-90-1a-a3-7d-e1 动态
10.10.16.44 00-90-1a-a3-7d-e1 动态
10.10.19.255 ff-ff-ff-ff-ff-ff 静态
224.0.0.2 01-00-5e-00-00-02 静态
224.0.0.22 01-00-5e-00-00-16 静态
224.0.0.252 01-00-5e-00-00-fc 静态
239.255.255.250 01-00-5e-7f-ff-fa 静态
255.255.255.255 ff-ff-ff-ff-ff-ff 静态
确实是刷新了

一枝春美食
关注
  • 15
    点赞
  • 91
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wireshark全集-85种协议
11-01
总的来说,"Wireshark全集-85种协议"是一个全面的学习资源,涵盖了网络通信的多个层面。通过深入研究这个资料,不仅可以增强对各种网络协议的理解,还能提高网络故障排查和安全分析的能力。无论你是网络管理员、...
Wireshark全集(85种协议、类别的文件).zip
11-30
本资源"Wireshark全集(85种协议、类别的文件).zip"含了85种不同协议和类别的文件,对于学习和理解各种网络协议有极大的帮助。 首先,让我们了解Wireshark的基本操作和功能。Wireshark提供了图形化...
WireShark 使用笔记(二)
Whitehua
03-02 3640
WireShark 使用笔记 WireShark 使用笔记(二) 最近因为更换研发教室问题,电脑连不上网,又因老师并没有提供网络的IP地址,所以万般无奈之下,利用WireShark找到IP地址使电脑成功连上网,故分享下经验。 WireShark使用: 检查本地连接,因首先要确定的情况是你并不知道网络端口的IP地址且网线连接正常。 插上网线会自动分配IP地址,注:这个IP地址不是交换机或路由器分配...
Wireshark实验
m0_63587398的博客
01-07 352
wireshark实验
[计算机网络]实验二-常用的网络命令
最新发布
weixin_74208424的博客
06-01 1710
做ftp命令时,不知道如何查询各参数对应的功能。通过上网查找资料发现,可以查询参数功能的命令是ftp -h;整个实验了解了常用网络工具的功能以及使用方法,并通过这些工具发现或者验证网络中的故障。
使用wireshark进行网络,并解析(第一篇,建立连接,
RaynorFTD的博客
12-14 2300
1. 简介 本文将会使用wireshark软件,取的网络为从聚合网到我自己手机终端的网络。之前是使用了httpGet请求了聚合网的天气信息。详见下方链接: https://blog.csdn.net/RaynorFTD/article/details/110453057 2. 配置软件 2.1 下载安装wireshark 给个下载链接自己体会吧 https://www.wireshark.org/download.html 2.2 获取自己手机的IP(数据接收终端) 这里,直接百度“IP”就可以获取自
Wireshark - 观察 ARP 地址解析过程
weixin_30408739的博客
04-20 1469
下面使用 Wireshark 分析 ARP 的工作过程。试验的机器:发送者机器(IP 地址:10.21.28.47,MAC 地址:68:f7:28:0f:32:2e)下文称为 HOSTA;目标机器(IP 地址:10.21.28.110,MAC 地址:54:ee:75:25:33:fd),下文称为 HOSTB。 1.使用 "arp and eth.addr == 68:f7:28:0f:3...
分析
weixin_33940102的博客
05-24 203
一、网络地址规划 1、网络地址规划表 目的网站名称 IP地址 本地IP地址 类型 腾讯网 www.qq.com 121.51.142.21 172.31.148.144 TCP 腾讯QQ 183.232.93.32 172.31.148.144 ...
【计算机网络】 课程大作业:利用Wireshark并进行分析
热门推荐
zombotany的博客
02-05 1万+
目录一:任务目的二:任务内容三:提交形式及时间四:步骤五、感悟 一:任务目的 (1)了解计算机网络TCP/IP的分层实现过程,了解不同层次PDU的逐层封装与解封过程; (2)熟悉网络通信的实现过程和数据发送过程; (3)熟悉计算机网络各层知识的应用,能综合利用所学知识对网络数据进行分析; 二:任务内容 (1)了解并熟悉常见的工具,例如Wireshark、Sniffer等,熟悉以太网数据帧和IP数据的结构; (2)能够正确捕捉ping命令执行过程中所产生的数据,并逐层分析其构成,进而了解数据的封装与
wireshark ARP分组
anlian523的博客
11-23 9980
从下图的报文数据的结构来看,ARP协议属于是网络层协议,因为它被封装在了以太网帧中(从封装的角度来讲)。但从功能上来说,ARP是为了获得获取到MAC地址,所以也可以说是属于链路层协议。 Who has 192.168.0.1? Tell 192.168.0.101。翻译过来就是,谁是192.168.0.1,请告诉我192.168.0.101。 从ARP的字段上看,7e:90:3c:47:04:0a这个设备和192.168.0.101绑定在了一起,它想知道192.168.0.1的MAC地址是什么,所以Ta
Wireshark全集(85种协议、类别的文件)
12-01
下面将详细介绍其中涉及的一些重要协议分析的关键知识点。 1. TCP/IP协议栈:作为互联网的基础,TCP/IP协议括了网络接口层(如ARP、RARP)、网络层(如IP、ICMP)、传输层(如TCP、UDP)以及应用层(如...
Wireshark全集(85种协议、类别的文件)分少.zip
07-01
这个压缩文件“Wireshark全集(85种协议、类别的文件)分少.zip”显然是一个含多种网络协议样本的集合,适合IT专业人士和学习者用来理解和分析各种网络通信过程。 首先,让我们来了解下Wireshark的...
以太网 ARP地址解析协议工作原理与分析
Hades_Ling的CSDN博客
11-29 734
Address Resolution Protocol(地址解析协议),ARP的主要作用就是将IP地址进行解析成对应的MAC地址,便于数据帧的转发。终端在数据转发时依赖ARP缓存表中的MAC地址映射信息; 在交换设备上进行数据帧转发的依赖是MAC地址表,由于二层交换设备并不能识别三层的IP地址。所以二层交换机只将源MAC地址与端口号进行一个绑定,从而组成MAC地址表项方便数据帧的快速转发。
网络分析【IP,ICMP,ARP】以及 IP数据报,MAC帧,ICMP报和ARP报的数据报格式
m0_63622279的博客
04-17 9696
因为icmp属于ip的一个子协议,然后的话上面也说了它的数据报格式,所以它是封装在ip数据报的数据部分中,即对应比特流中的mac 14字节的首部,ip地址20字节的首部地址,第35字节开始到第38字节结束为对应的icmp数据报的首部(4字节)。MAC帧的数据部分只有一个字段,其长度在46到1500字节之间,含的信息是网络层传下来的数据。它是TCP/IP协议簇的一个子协议(然后在ip数据报的格式中的话,我们首要的任务是找到其中的目的IP和源IP,经过上面的IP数据报格式得知,IP数据报首部每行4个字节。
地址解析协议(Address Resolution Protocl--ARP学习(一)
wulongtao的博客
07-08 1433
ARP协议的报文格式在实际应用中,我们经常会遇到这样的问题:已经知道了一个机器(主机或路由器)的ip地址,需要找出其相应的硬件地址地址解析协议ARP就是用来解决这样的问题的。同一局域网中的一台主机与另外一台主机进行通信,必须知道目标主机的MAC地址。每个主机都设有一个ARP高速缓存,里面存有本局域网上的各主机和路由器的ip地址到硬件地址的映射表。当主机A要向本局域网的主机B发送ip数据报时,就先...
数据链路层(MAC)、网络层(IP)、传输层(TCP/UDP)分析
weixin_40355471的博客
06-15 3288
OSI七层模型,linux下使用tcpdumpWireshark分析取指定网卡,数据链路层,网络层(IP协议), UDP,数据负载,Linux cooked-mode capture,OSI主要关注5层,数据从上至下逐级封装,加入每层的头部信息,在物理层转换为比特率发送; 接收端使用逆向顺序把数据逐级解封装,发送给应用层。
wireshark 通过学习arp协议和攻击防护知识(非常详细)
杨仕虎的博客
01-07 4815
ARP协议 定义:ARP(Address Resolution Protocol)地址解析协议的首字母简写,将三层逻辑IP地址解析成二层物理MAC地址 根据网络TCP/IP四层模型,IP属于第三层而MAC属于第二层,他们互相之间是无法直接通讯的,以太网发送IP数据时是先封装三层头加二层头,数据只知道对方IP,而不知道真实的物理地址MAC,所以这个时候就需要ARP。 可以看下cmd下,a...
wireshark分析DNS域名解析过程
m0_73576645的博客
12-09 6724
DNS是的简称,即域名系统,是一个记录域名和IP地址相互映射的系统,主要作用是为了解决域名与IP之间的相互转换。DNS是一个网络服务,其端口为53号端口。通常DNS在查询时是以UDP协议来进行查询,一旦无法查询到完整信息时,再以TCP协议进行重新查询。因此,DNS服务启动时会同时开启UDP和TCP协议的53号端口。DNS的基本作用:把域名转换成IP地址。DNS工作在应用层。
利用Wireshark截取数据,并对数据进行解析
weixin_33754065的博客
05-10 1598
利用Wireshark截取ICMP数据,并对数据进行解析 wireshark安装文件下载地址:http://yunpan.cn/QiHGK5sPtWRyN (提取码:0bbc) 安装步骤: 解压文件之后,在\wireshark-win32-1.4.9中文版\文件夹中找到安装文件,双击即可安装。 安装完成之后,双击wireshark图标即可启动,界面如下: 步骤: 1、点击开...
wireshark分析arp协议
06-28
ARP协议是一种用于解析IP地址和MAC地址之间映射关系的协议。在Wireshark中,可以通过取网络数据分析ARP协议的工作原理和流程。 具体来说,可以通过以下步骤来分析ARP协议: 1. 打开Wireshark软件,并选择要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值