Wireshark實戰分析之ARP協議(二)
阿新 • • 發佈:2019-01-30
本節學習如何獲取ARP協議包,以及分析ARP資料。
分析之前,先看看ARP的報文格式
上圖是ARP請求、應答報文的格式,下面做詳細解釋
對乙太網首部來說:
如果是請求ARP報文的話,乙太網目的地址: 是(全1)的,是廣播報,目的是讓區域網上所有主機都收到ARP請求包
乙太網源地址: 就是傳送端地址。
幀型別: 如果是ARP報文,值為0x0806
硬體型別: 表明ARP協議實現在那種型別的網路上,它的值為1,即表示乙太網地址
協議型別:表示解析協議(上層協議),這裡一般是0800,即IP
硬體地址長度:也就是MAC地址長度,即6個位元組
協議地址長度:也就是IP地址長度,即4個位元組
操作型別:表示ARP協議資料報型別。1表示請求報文,2表示應答報文
傳送端乙太網地址:也就是源MAC地址
傳送端IP地址:也就是源IP地址
目的端乙太網地址:目標端MAC地址(如果是請求報文,是全0)
目地端IP地址:也就是目地端的IP地址
既然瞭解了ARP的詳細格式,就嘗試獲取ARP報文。
例項:
如上圖所示,pc1給pc2傳送ARP請求,此時使用Wireshark獲取ARP抓包資料
既然都獲取到ARP的資料,那就分析ARP的資料。
先分析ARP請求資料報文:
選中57幀,可以在wireshark中檢視報的詳細資訊:
當PC1傳送的ARP請求報文,以廣播報的形式傳送到區域網後,當pc2檢測到IP地址與自己的IP相同,就會發送給PC1響應報文,也就是58幀
對於ARP響應包來說,源IP,目地IP,源MAC,目地MAC都是知道了的。
關於分析ARP響報文,就分析到這裡