ARP举例
我们用TCPdump命令来看一看运行像Telnet这样的普通TCP工具软件时ARP会做些什么。附录A包含TCPdump命令的其他细节。
一般的例子
为了看清楚ARP的运作过程,我们执行telnet命令与无效的服务器连接。
bsdi % arp -a 检验ARP高速缓存是空的
bsdi % telnet svr4 discard 连接无效的服务器
Trying 140.252.13.34...
Conneted to svr4.
Escape character is '^]'.
^] 键入Ctrl和右括号,使Telnet回到提示符并关闭
telnet > quit
Connection closed.
我们用TCPdump命令来看一看运行像Telnet这样的普通TCP工具软件时ARP会做些什么。附录A包含TCPdump命令的其他细节。
一般的例子
为了看清楚ARP的运作过程,我们执行telnet命令与无效的服务器连接。
bsdi % arp -a 检验ARP高速缓存是空的
bsdi % telnet svr4 discard 连接无效的服务器
Trying 140.252.13.34...
Conneted to svr4.
Escape character is '^]'.
^] 键入Ctrl和右括号,使Telnet回到提示符并关闭
telnet > quit
Connection closed.
图4中的TCP dump的原始输出如附录A中的图A-3所示。
我们删除了TCP dump命令输出的最后四行,因为它们是结束连接的信息,与这里讨论的内容不相关。
在第1行中,源端主机(bsdi)的硬件地址是0:0:c0:6f:2d:40。目的端主机的硬件地址是ff:ff:ff:ff:ff:ff,这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。
第1行中紧接着的一个输出字段是ARP,表明帧类型字段的值是0x0806,说明此数据帧是一个ARP请求或回答。
在每行中,单词ARP或IP后面的值60指的是以太网数据帧的长度。由于ARP请求或回答的数据帧长都是42字节(28字节的ARP数据,14字节的以太网帧头),因此,每一帧都必须加入填充字符以达到以太网的最小长度要求:60字节。
这个最小长度60字节包含14字节的以太网帧头,但是不包括4个字节的以太网帧尾。有一些书把最小长度定为64字节,它包括以太网的帧尾。我们在图1-7中把最小长度定为46字节,是有意不包括14字节的帧首部,因为对应的最大长度(1500字节)指的是MTU—最大传输单元。我们使用MTU经常是因为它对IP数据报的长度进行限制,但一般与最小长度无关。大多数的设备驱动程序或接口卡自动地用填充字符把以太网数据帧充满到最小长度。第3,4和5行中的IP数据报(包含TCP段)的长度都比最小长度短,因此都必须填充到60字节。
在每行中,单词ARP或IP后面的值60指的是以太网数据帧的长度。由于ARP请求或回答的数据帧长都是42字节(28字节的ARP数据,14字节的以太网帧头),因此,每一帧都必须加入填充字符以达到以太网的最小长度要求:60字节。
这个最小长度60字节包含14字节的以太网帧头,但是不包括4个字节的以太网帧尾。有一些书把最小长度定为64字节,它包括以太网的帧尾。我们在图1-7中把最小长度定为46字节,是有意不包括14字节的帧首部,因为对应的最大长度(1500字节)指的是MTU—最大传输单元。我们使用MTU经常是因为它对IP数据报的长度进行限制,但一般与最小长度无关。大多数的设备驱动程序或接口卡自动地用填充字符把以太网数据帧充满到最小长度。第3,4和5行中的IP数据报(包含TCP段)的长度都比最小长度短,因此都必须填充到60字节。
第1行中的下一个输出字段arp who-has表示作为ARP请求的这个数据帧中,目的IP地址是svr4的地址,发送端的IP地址是bsdi的地址。TCP dump打印出主机名对应的默认IP地址。
从第2行中可以看到,尽管ARP请求是广播的,但是ARP应答的目的地址却是bsdi (0:0:c0:6f:2d:40)。ARP应答是直接送到请求端主机的,而是广播的。
TCP dump打印出arp reply的字样,同时打印出响应者的主机名和硬件地址。
第3行是第一个请求建立连接的TCP段。它的目的硬件地址是目的主机(svr4)。我们将在第1 8章讨论这个段的细节内容。
在每一行中,行号后面的数字表示TCP dump收到分组的时间(以秒为单位)。除第1行外,其他每行在括号中还包含了与上一行的时间差异(以秒为单位)。从这个图可以看出,发送ARP请求与收到ARP回答之间的延时是2.2 ms。而在0.7 ms之后发出第一段TCP报文。在本例中,用ARP进行动态地址解析的时间小于3ms。
最后需要指出的一点,在TCP dump命令输出中,我们没有看到svr4在发出第一段TCP报文(第4行)之前发出的ARP请求。这是因为可能在svr4的ARP高速缓存中已经有bsdi的表项。一般情况下,当系统收到ARP请求或发送ARP应答时,都要把请求端的硬件地址和IP地址存入ARP高速缓存。在逻辑上可以假设,如果请求端要发送IP数据报,那么数据报的接收端将很可能会发送一个应答。
从第2行中可以看到,尽管ARP请求是广播的,但是ARP应答的目的地址却是bsdi (0:0:c0:6f:2d:40)。ARP应答是直接送到请求端主机的,而是广播的。
TCP dump打印出arp reply的字样,同时打印出响应者的主机名和硬件地址。
第3行是第一个请求建立连接的TCP段。它的目的硬件地址是目的主机(svr4)。我们将在第1 8章讨论这个段的细节内容。
在每一行中,行号后面的数字表示TCP dump收到分组的时间(以秒为单位)。除第1行外,其他每行在括号中还包含了与上一行的时间差异(以秒为单位)。从这个图可以看出,发送ARP请求与收到ARP回答之间的延时是2.2 ms。而在0.7 ms之后发出第一段TCP报文。在本例中,用ARP进行动态地址解析的时间小于3ms。
最后需要指出的一点,在TCP dump命令输出中,我们没有看到svr4在发出第一段TCP报文(第4行)之前发出的ARP请求。这是因为可能在svr4的ARP高速缓存中已经有bsdi的表项。一般情况下,当系统收到ARP请求或发送ARP应答时,都要把请求端的硬件地址和IP地址存入ARP高速缓存。在逻辑上可以假设,如果请求端要发送IP数据报,那么数据报的接收端将很可能会发送一个应答。
对不存在主机的ARP请求
如果查询的主机已关机或不存在会发生什么情况呢?为此我们指定一个并不存在的Internet地址—根据网络号和子网号所对应的网络确实存在,但是并不存在所指定的主机号。从图3-10可以看出,主机号从36到62的主机并不存在(主机号为63是广播地址)。这里,我们用主机号36来举例。
如果查询的主机已关机或不存在会发生什么情况呢?为此我们指定一个并不存在的Internet地址—根据网络号和子网号所对应的网络确实存在,但是并不存在所指定的主机号。从图3-10可以看出,主机号从36到62的主机并不存在(主机号为63是广播地址)。这里,我们用主机号36来举例。
这一次,我们没有用-e选项,因为已经知道ARP请求是在网上广播的。
令人感兴趣的是看到多次进行ARP请求:第1次请求发生后5.5秒进行第2次请求,在24秒之后又进行第3次请求(在第21章我们将看到TCP的超时和重发算法的细节)。TCP dump命令输出的超时限制为29.5秒。但是,在telnet命令使用前后分别用date命令检查时间,可以发现Telnet客户端的连接请求似乎在大约75秒后才放弃。事实上,我们在后面将看到,大多数的BSD实现把完成TCP连接请求的时间限制设置为75秒。
当我们看到建立连接的TCP报文段序列时,会发现ARP请求对应于TCP试图发送的初始TCP SYN(同步)段。
注意,在线路上始终看不到TCP的报文段。我们能看到的是ARP请求。直到ARP回答返回时,TCP报文段才可以被发送,因为硬件地址到这时才可能知道。如果我们用过滤模式运行TCP dump命令,只查看TCP数据,那么将没有任何输出。
令人感兴趣的是看到多次进行ARP请求:第1次请求发生后5.5秒进行第2次请求,在24秒之后又进行第3次请求(在第21章我们将看到TCP的超时和重发算法的细节)。TCP dump命令输出的超时限制为29.5秒。但是,在telnet命令使用前后分别用date命令检查时间,可以发现Telnet客户端的连接请求似乎在大约75秒后才放弃。事实上,我们在后面将看到,大多数的BSD实现把完成TCP连接请求的时间限制设置为75秒。
当我们看到建立连接的TCP报文段序列时,会发现ARP请求对应于TCP试图发送的初始TCP SYN(同步)段。
注意,在线路上始终看不到TCP的报文段。我们能看到的是ARP请求。直到ARP回答返回时,TCP报文段才可以被发送,因为硬件地址到这时才可能知道。如果我们用过滤模式运行TCP dump命令,只查看TCP数据,那么将没有任何输出。
转载于:https://blog.51cto.com/376369/114572
扫一扫
766
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
