【实验】 ARP协议抓包解析

最新推荐文章于 2024-05-07 17:28:56 发布
最新推荐文章于 2024-05-07 17:28:56 发布
阅读量3.5k 收藏 36
点赞数 5
文章标签: 网络 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44588383/article/details/106772232
版权

一、实验需求

1.在本地电脑搭建环境进行ARP实验,要求能实现查看ARP请求与回应、ARP代理;
2.分析ARP请求与回应的报文结构;分析免费ARP的报文结构特征
3.实现ARP代理的配置。

二、拓扑搭建

实验环境:GNS3
抓包工具:Wireshark
配置:PC1:ip 172.16.0.1/24
           PC2:ip 172.16.0.2/24
拓扑图:

三、抓包分析

使用PC1 ping PC2,过程中产生了ARP报文,在PC1与SW的e1口抓到的ARP包如下:

1.分析ARP请求与回应的报文结构
首先分析序号7的ARP报文,报文结构如下:

    首先分析整体报文结构可看出ARP报文是跨四层封装的报文,没有四层报头。接下来分析应用层报文内容,首先可以看出这是一个ARP的request报文,二层类型为Ethernet,长度为6字节;三层类型为IPv4,长度为4字节。该报文是PC1-172.16.0.1发送出去请求目标IP-172.16.0.2的MAC地址的广播类型的报文。

接下来分析序号8的ARP报文,报文结构如下:


    可以看出该报文大部分结构与上一个报文相同,略微的不同之处在于这个报文是ARP的reply报文,是PC2单播向PC1发送的一个用于告知自己MAC地址的报文。

2.分析免费ARP的报文结构特征
依然分析上述抓包列表中的报文,分析序号1报文,结构如下:

    可以看出该报文与上面的ARP request报文更加类似,同样作为PC1发出的ARP请求报文,两者只有一点不同,上述报文是PC1为请求PC2的MAC广播发送的报文,而这个报文的请求目标IP是PC1本身-172.16.0.1,但是依然是一个目标MAC全F的广播报文。由此可以推断出,这是PC1发出的免费ARP报文,目的在于在网络中检测是否有其他IP地址与自己冲突。

3.实现ARP代理的配置
为实现ARP代理,需要重新搭建拓扑如下:(实验环境与抓包工具不变)

配置如下:
R1:f 0/0:IP 172.16.1.1/24
        f 0/1:IP 172.16.2.1/24
PC1:ip 172.16.1.2/24 网关:172.16.1.1
PC2:ip 172.16.2.2/24 网关:172.16.2.1

完成配置
再次使用PC1 ping PC2,过程中在PC1和R1的f 0/0口抓到ARP包如下:

经过查看这两个报文分别为PC1发出的ARP request报文和PC1收到的ARP reply报文:
请求报文:

回应报文:

    可以看出,在PC1 ping PC2的ping包发出前,PC1发出的ARP请求报文并没有直接向PC2请求(因为PC2和PC1不在同一网段),而是请求了网关R1-172.16.1.1的MAC地址,并且得到了网关的回应。

再查看此过程中PC2和R1的f 0/1口网段的抓包情况如下:

经查看可以确认是网关R1向PC2发出的ARP请求报文,和PC2向R1返回的ARP回复报文:
请求报文:

回复报文:

 

    可以看出,此次R1向PC2请求报文并不是普通的ARP请求广播报文,而是向PC2发送的单播报文请求MAC。

    综上分析可以发现,在PC1 ping PC2的过程中,路由器R1在其中起到了ARP代理的作用,它先是回复了PC1的ARP请求报文,又主动向PC2发送了ARP请求报文。在PC1和PC2的通信过程中,虽然PC1并没有直接请求到PC2的MAC地址,但是在二者共同的网关R1上已经同时有了两个PC的MAC,并且它还让两个PC有了自己与其对应的接口的MAC地址。从而使得PC1和PC2能够通过它的代理正常通信。ARP代理配置完成。

实验完毕。

Always_like
关注
  • 5
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
实验十四:Wireshark数据抓包分析ARP协议
weixin_70557959的博客
05-12 2万+
实验十四:Wireshark数据抓包分析ARP协议 一、实验目的及要求 1、熟悉并掌握Wireshark的基本操作。 2、通过对Wireshark抓包实例进行分析,进一步加深对常用网络协议的理解。 3、培养学生理论联系实践的研究兴趣。 二、实验原理 1、什么是ARP ARP(AddressResolutionProtocol,地址解析协议)是根据IP地址获取物理地址的一个TCP/IP协议。由于OSI模型把网络工作分为七层,IP地址在OSI模型的第三层,MAC地址在第二层,彼此不直接通信。在..
GNS学习2之抓包分析
Androidhh的博客
09-25 596
GNS3抓包分析 开始抓包分析啦~ 首先接着昨天的工作,在我再次打开项目时,发现配置都丢失了,所以首先先保存Router和主机的配置: 对于R1: 使用命令: write 保存配置 使用命令show ip int brief查看路由器中接口的ip配置 对于PC: 使用save 保存设置 使用个命令ip show 查看ip配置 保存后就开始今天的抓包工作啦~~~ 选择vlan 1到vlan2...
【计算机网络实验ARP协议和MAC帧的抓包分析Wireshark):MAC帧、ARP数据包的格式&ARP缓表&具体实验操作和数据包的分析
最新发布
发布一些个人学习笔记,分享一些可能在安全学习道路上遇到的问题、心得,一起学习一起进步
05-07 1862
计算机网络实验——基于Wireshark抓包ARP协议和MAC帧的分析
eSNP实验
AKUANer的博客
08-06 2362
两台PC之间ping 设置如下 PC5命名为PC1, PC6命名为PC2 第一次使用PC1pingPC2的时候,对PC1端口抓包 PC>ping 192.168.2.2 Ping 192.168.2.2: 32 data bytes, Press Ctrl_C to break From 192.168.2.2: bytes=32 seq=1 ttl=128 time=16 ms From 192.168.2.2: bytes=32 seq=2 ttl=128 time<1 ms Fro
ARP协议抓包分析
热门推荐
xiaoxiao的博客
05-22 3万+
一、什么是ARP ARP(地址解析协议)是根据IP地址获取物理地址的一个TCP/IP协议。由于OSI将网络分为七层,IP地址在OSI模型的第三层,MAC地址在第二层,彼此不直接通信。在通过以太网发送IP数据包时,需要知道先封装第三层和第二层的报头。但由于发送数据包时只知道目标IP地址,不知道其MAC地址,而又不能跨越第二、三层,所以需要地址解析协议。 二、ARP工作流程 ARP请求与响应过程 (1...
什么是免费ARP-看这篇就够了
jasonj333
03-23 1万+
免费ARP本质是ARP协议的实现,所以只要有支持TCP/IP的网卡,支持ARP协议,就有免费ARP。免费ARP报文就是ARP请求或ARP响应,只是它的目的并不是为了获取或告知MAC地址(虽然是通过获取或告知完成的),它的触发方式也不同(虽然是由ARP协议触发的) 免费ARP 免费ARP Gratuitous ARP,也称为“无故ARP”,在没有人问自己的情况下,无缘无故自问自答 功能 检测局域网内IP地址冲突 什么情况下触发ARP协议发送免费ARP 局域网IP地址冲突时,地址修改或变更时,DH.
TCP作业抓包——ARP协议
04-05
"TCP作业抓包——ARP协议" TCP/IP 原理与应用作业二——利用 WireShark 分析 ARP 协议 一、实验目的 学习使用网络抓包软件 WireShark,掌握 ARP 协议。 二、实验内容分析 ARP 协议请求及响应过程。 三、实验工具...
基于Winpcap编程实现抓包实验.doc
12-02
基于Winpcap编程实现抓包实验 本文主要介绍基于Winpcap编程实现抓包实验的设计目标、实现步骤、系统流程图和所需函数等。Winpcap是Windows平台上的一种网络嗅探器,通过编程可以实现对网络数据的捕获和分析。 一、...
计算机网络抓包实验报告.doc
11-25
"计算机网络抓包实验报告" 在计算机网络中,抓包实验是非常重要的一部分,它可以帮助我们了解网络协议的工作原理和实现过程。在这个实验报告中,我们将对ARP、ICMP协议进行抓包实验,并对其数据包进行深入分析。 ...
计算机网络实验3 网络协议分析软件Ethreal.doc
11-30
在使用Ethereal的显示过滤器时,可以根据需要输入ARP、UDP、ICMP、SNMP等过滤条件,找到相应的包,解析其中的信息,以加深对这些应用层协议帧的理解和认识。 本实验的目的是学习正确安装和配置网络协议分析软件...
5.2.2 利用arp中间人攻击获取管理员账号密码
robacco的博客
03-02 4524
一、arp协议简述: ARP即地址解析协议,用于IP地址到MAC地址的映射,即由目标IP找到对应的MAC地址。ARP协议特点是“广播请求,单播回应”。 二、arp欺骗原理:(看图,其中PC1和PC2为两台通信主机,PC3为“中间人”) 三、“中间人”攻击实践:这里借助p2p终结者工具进行arp欺骗 3.1 前期准备 ...
抓取ARP包TCP/IP协议
08-26
通过TCP/IP协议抓取ARP包并分析,输出形式为16进制
局域网中通过抓ARP包的方式获取网络设备和冲突的设备列表
10-17
完成侦测网络中的设备,且获取IP冲突设备的列表。 使用了抓取ARP包的方式。 操作步骤: 1 系统需要安装 WinPcap_4_1_3 2 需要引用 SharpPcap.dll 3 需要引用 PacketDotNet.dll 我把这个抓ARP包的功能做成了一个类,需要请下载。 资源内包含了使用示例 ,WinPcap_4_1_3, SharpPcap.dll,PacketDotNet.dll 开发环境 VS2015 C# .net4.5.2
PC1 ping PC2   过程分析
问道青山的博客
08-07 2万+
一、IP数据包的交换转发     PC1 ping PC2       过程分析 pc1的ip地址为1.1.1.1,pc2的ip地址为1.1.1.2,两者通过交换机sw1连接。 在pc1上ping pc2,即pc1向 pc2发起icmp请求。此时pc1上生成一个icmp请求报文,来判断pc2的存在性(根据数据包封装原理,要生成icmp请求需要有目的IP地址和目的MAC地址,此处即pc2的地址,...
Windows下使用winpcap-2.2arp探测局域网内主机(接收并解析arp数据包)
dyplm123的博客
04-06 2338
上篇文章我们成功发送了arp请求,这里我们就需要等待并看看能不能收到来自我们需探测ip的arp回复,如果收到,则该主机为活动的,因为这个等待arp返回需要等待一段时间,这里我之间写出来,实际用的时候,你们需要写成线程,并在发送arp请求之前调用。 定义需要的变量 pcap_if_t * alldevs; pcap_if_t *d; pcap_t * adhandle;//定义包捕捉句柄
利用libpcap局域网内抓取arp
max18的专栏
09-07 2734
本人在fedora17下编写、测试正常运行,代码如下:   1 #include   2 #include   3 #include   4   5 //ARP Header,(assuming Ethernet + ip4)   6   7 #define ARP_REQUEST 1   8 #define ARP_REPLY 2   9  10 stru
不同局域网如何利用charles对app进行抓包
anywen5590的博客
08-24 2661
晚上遇到了一种尴尬的场景:电脑并没有无线网卡,电脑是通过有线连接的,但是手机连的是公共的wifi,二者并不在同一个网段 在试过很多办法无解后,终于百度出一种"曲线救国"的办法(以荣耀8为例,其他手机可能有稍微改变): 一. 首先找一根手机数据线,把要连无线网的电脑和手机连接好,我们需要利用手机来连接无线网 二.打开手机,点击【设置】选项 三. 点击更多,进入移动网络共享 四....
1.ARP_抓包分析
像素格子的博客
12-06 2173
ARP 抓包分析 首先,了解ARP报文格式: 字段 1 2 3 4 5 6 7 8 9 10 11 12 含义 以太网目的地址 以太网源地址 帧类型 硬件类型 协议类型 硬件地址长度 协议地址长度 op 发送端以太网地址 发送端IP地址 目的以太网地址 目的IP地址 长度 6 6 2 2 2 1 1 2 6 4 6 4 字段1:是ARP请求的目的以太网地址,全1时代表广播地...
《计算机网络—自顶向下方法》 第六章Wireshark实验:Ethernet and ARP
东瓜blog
12-21 2万+
实验描述: 在本实验中,我们将研究以太网协议ARP 协议。在开始实验之前, 您可以查看课本的 6.4.1 节(链路层地址和 ARP)和 6.4.2(以太网), 您也可以去看 RFC 826(ftp://ftp.rfc-editor.org/in-notes/std/std37.txt)了解关于 ARP协议详细信息,该协议可以根据 IP 地址获取远程主机的的物理地址(MAC地址)。 实...
winpcap编程实现arp抓包解析
04-03
WinPcap是Windows平台下的网络封包捕获库,可以用来抓取网络数据包并进行分析处理,提供了对包括IP、TCP、UDP、ICMP等协议的支持,同时还支持ARP、RARP协议的抓取和解析。 在使用WinPcap进行ARP抓包解析时,需要先安装WinPcap库,并在代码中引入头文件pcap.h。接下来,可以使用pcap_open_live函数打开一个网络接口,并设置过滤规则进行抓包。在抓包的过程中,可以使用pcap_next_ex函数读取每一个数据包,并对其进行解析,获取ARP协议头部信息。 以下是一个简单的WinPcap编程实现ARP抓包解析的示例代码: ```c++ #include <stdio.h> #include <pcap.h> #include <arpa/inet.h> #include <netinet/in.h> #include <net/ethernet.h> #include <netinet/if_ether.h> #include <netinet/ip.h> #include <netinet/udp.h> #include <netinet/tcp.h> #include <netinet/ip_icmp.h> void arp_packet_handler(u_char *args, const struct pcap_pkthdr *header, const u_char *packet); int main(int argc, char *argv[]) { char *dev, errbuf[PCAP_ERRBUF_SIZE]; pcap_t *handle; struct bpf_program fp; bpf_u_int32 mask; bpf_u_int32 net; // 获取第一个网络接口 dev = pcap_lookupdev(errbuf); if (dev == NULL) { printf("pcap_lookupdev failed: %s\n", errbuf); return 1; } // 获取网络接口的IP地址和子网掩码 if (pcap_lookupnet(dev, &net, &mask, errbuf) == -1) { printf("pcap_lookupnet failed: %s\n", errbuf); return 1; } // 打开网络接口 handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf); if (handle == NULL) { printf("pcap_open_live failed: %s\n", errbuf); return 1; } // 设置过滤规则,只抓取ARP数据包 if (pcap_compile(handle, &fp, "arp", 0, net) == -1) { printf("pcap_compile failed: %s\n", pcap_geterr(handle)); return 1; } if (pcap_setfilter(handle, &fp) == -1) { printf("pcap_setfilter failed: %s\n", pcap_geterr(handle)); return 1; } // 开始循环抓包,直到用户中断 pcap_loop(handle, -1, arp_packet_handler, NULL); // 关闭网络接口 pcap_close(handle); return 0; } void arp_packet_handler(u_char *args, const struct pcap_pkthdr *header, const u_char *packet) { struct ether_header *eth_header; struct ether_arp *arp_header; char *src_mac, *dst_mac, *src_ip, *dst_ip; // 解析以太网头部 eth_header = (struct ether_header *) packet; src_mac = ether_ntoa((struct ether_addr *) eth_header->ether_shost); dst_mac = ether_ntoa((struct ether_addr *) eth_header->ether_dhost); // 解析ARP协议头部 arp_header = (struct ether_arp *) (packet + sizeof(struct ether_header)); src_ip = inet_ntoa(*(struct in_addr *) &arp_header->arp_spa); dst_ip = inet_ntoa(*(struct in_addr *) &arp_header->arp_tpa); // 打印ARP数据包信息 printf("ARP packet:\n"); printf("\tSource MAC: %s\n", src_mac); printf("\tDestination MAC: %s\n", dst_mac); printf("\tSource IP: %s\n", src_ip); printf("\tDestination IP: %s\n", dst_ip); } ``` 在以上代码中,先使用pcap_lookupdev函数获取第一个网络接口,并使用pcap_lookupnet函数获取该接口的IP地址和子网掩码。然后,使用pcap_open_live函数打开该接口,并使用pcap_compile和pcap_setfilter函数设置过滤规则,只抓取ARP数据包。 在抓包的过程中,使用pcap_loop函数循环处理每一个数据包,并调用arp_packet_handler函数进行解析和处理。在arp_packet_handler函数中,首先解析以太网头部和ARP协议头部,然后打印出这些信息。 需要注意的是,在解析ARP协议头部时,需要将ARP协议头部的地址转换为字符串形式,可以使用inet_ntoa函数将IP地址转换为字符串,使用ether_ntoa函数将MAC地址转换为字符串。 以上是一个简单的WinPcap编程实现ARP抓包解析的示例代码,可以根据实际需求进行修改和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值