ARP协议分析.doc

ARP协议分析 14020310090 张振宇 1.实验内容 使用Wireshark抓包软件，捕获ARP信息并分析。 2.实验原理 ARP协议的原理：当我们在访问某个网络或者ping某个网址如：ping 时候，DNS需要解析 成为IP地址， 但是在网络中数据传输是以帧的形式进行传输，而帧中有目标主机的MAC地址，本地主机在向目标主机发送帧前，要将目标主机IP地址解析成为MAC地址，这就是通过APR协议来完成的。 假设有两台主机A,B在互相通信，假设A（）,B（）双方都知道对方的IP地址，如果A主机要向B主机发送“hello”，那么A主机，首先要在网络上发送广播，广播信息类似于“的MAC地址是什么”，如果B主机听见了，那么B主机就会发送“的MAC地址是 “。。。。。。 ”，MAC地址一般都是6Byte 48bit 的格式，如“04-a3-e3-3a”，这样A主机就知道B主机的MAC地址，所以发送数据帧时，加上MAC地址就不怕找不到目标主机的了。完成广播后，A主机会将MAC地址加入到ARP缓存表（所谓ARP缓存表就是一张实现IP和MAC地址进行一一对应的表，并且存储起来），以备下次再使用。ARP帧结构如图6-13所示。 图6-13 ARP帧结构 （1）两个字节长的以太网帧类型表示后面数据的类型。对于ARP请求或应答来说，该字段的值为0X0806。 （2）硬件类型字段：指明了发送方想知道的硬件地址的类型，以太网的值为1。 （3）协议类型字段：表示要映射的协议地址类型，IP为0X0800。 （4）硬件地址长度和协议地址长度：指明了硬件地址和高层协议地址的长度，这样ARP帧就可以在任意硬件和任意协议的网络中使用。对于以太网上IP地址的ARP请求或应答来说，它们的值分别为6和4。 （5）操作字段：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4。 （6）发送端的以太网地址：源主机硬件地址，6个字节。 （7）发送端IP地址：发送端的协议地址（IP地址），4个字节。 （7）目的以太网地址：目的端硬件地址，6个字节。 （8）目的IP地址：目的端的协议地址（IP地址），4个字节。 3.实验步骤 1.打开wireshark选择网卡抓包，过滤出arp协议如下图。 2.分析捕获到的ARP帧。 共有以下三层数据： Frame：理层的数据帧概况 Ethernte II：数据链路层帧头部信息 Address Resolution Protocol：ARP协议 由图可知Frame318大小为60 byte，其中28字节的ARP数据，14字节的以太网帧头，18字节的以太网帧尾。 (1)Frame Interface id: 0 (\Device\NPF_{62A9464C-28FA-4736-813D-437D0D99530A}) 接口ID Encapsulation type: Ethernet (1) 封装类型 Arrival Time: DEC 10, 2015 12:47:16.157932000 捕获时间 Time delta from previous captured frame: 0.141720000 seconds 此包与前一包的时间间隔 Time since reference or first frame: 6.640859000 seconds 此包与第一帧的时间间隔 Frame Number: 318 帧序号 Frame Length: 60 bytes (480 bits) 帧长度 Capture Length: 60 bytes (480 bits) 捕获长度 Frame is marked: False 此帧做了标记：否 Frame is ignored: False 此帧被忽略：否 Protocols in frame: eth:ethertype:arp 帧内封装的协议层次结构 Coloring Rule Name: ARP 着色标记的协议名称 Coloring Rule String: arp 着色规则显示的字符串 (2)Ethernte II Destination: DellInc_99:be:79 (b8:2a:72:99:be:79) 目的MAC地址 Source: huaweiTe_b5:7c:55 (d8:49:0b:b5:7c:55) 源MAC地址 Type: ARP (0x0806) 表示协议为ARP协议 ARP类型：（0x0800） (3)Address Resolution Protocol Hardware type: Ethernet (1) 硬件类型：占2个字节，表明ARP实现在何种类型的网络上。?值为1：表示以太网。 Protocol typ