使用wireshark抓包分析ARP协议

---

前言

​
今天中午被舍友提醒老师发的作业不是前段时间发的文章中的抓包分析icmp协议，离ddl还有一天着急忙慌改了一个（我觉得交之前的那个也没有什么问题，因为老师的实验要求没有更新，只是他的作业名是ARP协议分析），其实两实验操作流程基本上是一样的，今天主要是添加了一个更详细的包分析。

​

一、实验环境

实验环境获取请看使用wireshark抓包分析ICMP拼通与不通，IP包分片与不分片，ARP中含对象mac地址与不含时的各层状态

二、实验步骤

一.实验准备

1.关闭两台电脑防火墙
2.通过win+R输入cmd打开命令提示符，尝试ping 目的ip地址看能否ping通，若显示请求超时，首先检查ip地址是否输入错误。若没错，尝试在powershell管理员模式中输入【route add 目的电脑ip地址 默认网关 -p】，添加成功之后再次尝试ping，看能否ping通。如果还是请求超时，重启电脑（重启过后不用再次route添加网络），再次尝试ping。如果以上方法都不行，看看这位大佬的文章是否有帮助PING请求超时原因及解决办法（新增PING间歇性显示请求超时）

二.wireshark抓包

ping通之后就可以尝试抓包了

1.打开wireshark

单击选中你目前使用的网络

2.使用过滤器抓取ARP协议的包

在过滤器中输入ARP

双击步骤1中选中的网络开始抓包

3.向目的电脑发送数据

打开命令提示符，输入命令ping 目的ip

回车

然后再返回wireshark停止抓包

在黄色区域中寻找源地址是自己ip，目的地址是目标电脑ip的包，理论上应该都有两个包，上面黑色栏为ARP将对应ip地址分析得到mac地址，下面的为数据发送包（这个解释是我理解的，欢迎大佬批评指正）
将标记数据包保存到电脑上，完成抓包，arp分析ip得不到对应mac地址的包就把目的电脑网线拔掉重复上述步骤就可以了

注意这里，源目的ip都对的情况下，brodcast为ff:ff:ff:ff:ff:ff就是arp得不到mac地址的包了。

三.抓包分析

这里直接采用同班一位大佬的分析步骤

1.以太网包（三个字段）

目的地址

源地址
帧的类型

2.ARP的请求和应答（28字节）

硬件地址类型

协议类型

硬件地址长度

协议地址长度

操作（ARP请求）（注意左边opcode后面的是request）

操作（ARP回应）（注意左边opcode后面的是reply）
发送端mac地址
发送端ip地址

目标方mac地址

目标方ip地址

总结

非常抱歉上一篇文章给了大家不符合要求的作业（老师没改课堂派文件作业要求（捂脸笑）），其实我现在也不是很搞得懂老师到底要哪个实验，那天课下看大佬问他，他也只是说这几年的作业一直都是课堂派上时期标注2022年的那个，作业内容可能没有变，没时间的小伙伴不改应该也行吧，祝大家假期愉快