ARP协议抓包分析 -- wireshark

最新推荐文章于 2025-10-20 08:45:00 发布
原创 最新推荐文章于 2025-10-20 08:45:00 发布 · 2.2k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

ARP协议抓包分析 – wireshark

ARP- Address Resolution Protocol协议,即地址解析协议。该协议功能就是将IP地址解析成MAC地址。

在发送数据的时候,只知道目标IP地址,不知道MAC地址,而又不能跨越第二、三层实现通讯,所以需要使用地址解析协议。使用地址解析协议之后,计算机可以根据网络层中的IP地址数据,得到目标地址MAC地址,以保障通讯的顺利进行。

**arp**命令,ARP缓存表维护工具

在计算机中都会提供一个arp命令,用于增加、删除和查询缓存表中的静态地址对应关系。

使用方式如下:

arp
Show and manipulate your system's ARP cache.

 - Show current arp table:
   arp -a

 - Clear the entire cache:
   sudo arp -a -d

 - Delete a specific entry:
   arp -d {{address}}

 - Create an entry:
   arp -s {{address}} {{mac_address}}

**arp**请求报文格式

在这里插入图片描述

  • 第一个字段是广播MAC地址,地址为0x FF FF FF FF FF FF,其目标是网络上的所有主机

  • 第二个字段,源MAC地址

  • 第三个字段是协议类型,arp的协议类型是0x0806

  • 硬件类型:占两字节,表示ARP报文可以在哪种类型的网络上传输,值为1时表示为以太网地址。

  • 上层协议类型:占两字节,表示硬件地址要映射的协议地址类型,映射IP地址时的值为0x0800

  • MAC地址长度:占一字节,标识MAC地址长度,以字节为单位,此处为6。

  • IP协议地址长度:占一字节,标识IP得知长度,以字节为单位,此处为4。

  • 操作类型:占2字节,指定本次ARP报文类型。1标识ARP请求报文,2标识ARP应答报文。

  • 源MAC地址:占6字节,标识发送设备的硬件地址。

  • IP地址:占4字节,标识发送方设备的IP地址。

  • 目的MAC地址:占6字节,表示接收方设备的硬件地址,在请求报文中该字段值全为0,即00-00-00-00-00-00,表示任意地址,因为现在不知道这个MAC地址。

  • 目的IP地址:占4字节,表示接受方的IP地址。

**arp**应答报文格式

arp应答协议报文和arp请求协议报文类似。不同的是,此时以太网头部帧头部分的目的MAC地址为发送ARP协议地址解析请求的MAC地址,而源MAC地址为被解析的主机MAC地址。同时操作类型为2表示是应答数据报文

在这里插入图片描述

抓获的一个ARP请求报文

No.     Time           Source                Destination           Protocol Length Info
     48 0.585964653    HIWIFI_65:b0:40       Chongqin_e1:18:a9     ARP      42     Who has 192.168.199.235? Tell 192.168.199.1

Frame 48: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface wlp4s0, id 0
Ethernet II, Src: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40), Dst: Chongqin_e1:18:a9 (40:23:43:e1:18:a9)
    Destination: Chongqin_e1:18:a9 (40:23:43:e1:18:a9)
    Source: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)
    Type: ARP (0x0806)
Address Resolution Protocol (request)
    Hardware type: Ethernet (1)
    Protocol type: IPv4 (0x0800)
    Hardware size: 6
    Protocol size: 4
    Opcode: request (1)
    Sender MAC address: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)
    Sender IP address: 192.168.199.1
    Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)
    Target IP address: 192.168.199.235

抓获的APP回复报文

No.     Time           Source                Destination           Protocol Length Info
     49 0.000021455    Chongqin_e1:18:a9     HIWIFI_65:b0:40       ARP      42     192.168.199.235 is at 40:23:43:e1:18:a9

Frame 49: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface wlp4s0, id 0
Ethernet II, Src: Chongqin_e1:18:a9 (40:23:43:e1:18:a9), Dst: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)
    Destination: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)
    Source: Chongqin_e1:18:a9 (40:23:43:e1:18:a9)
    Type: ARP (0x0806)
Address Resolution Protocol (reply)
    Hardware type: Ethernet (1)
    Protocol type: IPv4 (0x0800)
    Hardware size: 6
    Protocol size: 4
    Opcode: reply (2)
    Sender MAC address: Chongqin_e1:18:a9 (40:23:43:e1:18:a9)
    Sender IP address: 192.168.199.235
    Target MAC address: HIWIFI_65:b0:40 (d4:ee:07:65:b0:40)
    Target IP address: 192.168.199.1
【愚公系列】2023年04月 wireshark系列-数据抓包分析ARP协议
时光隧道
08-21 5万+
ARP协议属于TCP/IP协议族中的底层协议,与常见的应用层协议不同,其了解程度不是很广泛,要掌握ARP协议,需要先了解其常用命令,通过宏观的命令来知道其功能,在深层次分析协议报文。为了更好的理解上述核心原理,本实验的步骤如下:通过使用Netsh和ARP命令来绑定IP和MAC地址。在测试环境使用Wireshark抓取ARP数据包。详细分析ARP请求包和ARP应答包。
计算机网络原理--Wireshark ARP协议分析
zdsxc_的博客
07-31 783
本文介绍了使用Wireshark分析ARP协议的实验过程。实验通过清除浏览器缓存后访问特定网页,捕获并分析以太网帧和ARP消息。主要内容包括:1)获取本机MAC地址,分析以太网帧结构;2)研究ARP协议工作原理,包括请求和响应过程;3)探讨网卡MTU设置和巨型帧的概念。实验重点观察了ARP缓存操作、请求/响应消息格式,以及单播/广播通信特点。通过实验数据,验证了ARP协议如何实现IP到MAC地址的转换,并分析了不同网络设备的通信机制。实验结果展示了二层网络通信的基本原理和协议细节。
实验一《Wireshark软件使用与ARP协议分析
weixin_74916237的博客
05-19 2549
学习 Wireshark 的基本操作,抓取和分析有线局域网的数据包;掌握以太网MAC帧的基本结构,掌握ARP协议的特点及工作过程。
ARP解析
m0_67838143的博客
07-25 2982
ARP载荷报文结构:ARP 应答过程:1.R1广播寻找对端2.对端单播回发以下是ARP抓包报文情况:(ARP请求包和应答包)ARP缓存表:老化计时器ARP代理:代理过程:(静态路由为例)配置静态路由以下一跳更好应用场景:1.同一网段不同广播域(用的比较少)2.vlan内的ARP代理 (用的更少)相同vlan,但又是同一网段(不同子网) 3.vlan内的ARP代理 (更更离谱)同一网段,但vlan不同免费VRP
ARP协议详解及其Wireshark抓包测试
最新发布
微小冷的学习笔记
10-20 876
摘要:ARP协议是连接IP地址与MAC地址的桥梁,通过Windows命令行arp -a可查看本机ARP缓存表。利用ping命令扫描局域网IP(1-254),配合ARP缓存查询可发现所有设备。Wireshark抓包测试显示,ARP请求报文包含硬件类型、协议类型、MAC/IP长度及地址信息。操作类型1表示请求,2表示应答,报文外层为以太网封装。测试时需临时修改IP以触发新ARP请求,完成后恢复网络设置。
网络三张表:ARP表, MAC表, 路由表,实现你的网络自由!!
架构师尼恩
03-04 7561
可以说,掌握了三张表,就掌握了网络通讯的核心。这里尼恩给大家 把网络三张表,做一下系统化、体系化的梳理。
计算机网络二轮强化(三个重要的表)
sparky的博客
10-22 2508
文章目录转发表的建立过程ARP表建立的过程 转发表的建立过程 转发表建立的思路: 网桥根据发送过来的帧来确定是从我的哪个端口过来的,并且把这个发送过来的帧的地址绑定的写在我这个网桥的转发表中。 例如:A给E发送数据,B1网桥的接口1接收到了A发送的数据帧,那么B1就把这个物理地址和接收接口绑定起来,也就是写到转发表当中,便于以后给给发送数据。意思就是说,如果以后有主机要给A发送数据帧,经过了网桥B1,这时网桥B1的转发表中正好有A的地址,那么这个帧通过B1的接口1正确地发送给A ARP表建立的过
ARP协议的报文格式
weixin_34130269的博客
04-12 1508
结构ether_header定义了以太网帧首部;结构arphdr定义了其后的5个字段,其信息用于在任何类型的介质上传送ARP请求和回答;ether_arp结构除了包含arphdr结构外,还包含源主机和目的主机的地址。 定义常量 #define EPT_IP   0x0800    /* type: IP */#define EPT_ARP   0x0806    /* type: ARP ...
ARP协议报文格式及ARP
热门推荐
changsoon
05-12 6万+
ARP协议报文格式及ARP
使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP-UDP协议-TCP协议-协议HTTP-DNS协议_wireshark以太网帧分析-优快云博客.html
11-10
使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP-UDP协议-TCP协议-协议HTTP-DNS协议_wireshark以太网帧分析-优快云博客.html
Wireshark抓包全集-85种协议
11-01
本资源"Wireshark抓包全集-85种协议"涵盖了85种不同的网络通信协议,包括基础的和复杂的协议,对于深入理解网络工作原理和提升网络问题解决能力非常有帮助。 首先,我们来探讨一下其中一些核心协议: 1. ARP(地址...
arp报文格式
08-28
arp探测报文格式 请求格式和响应格式
ARP报文格式
12-19
局域网内ping的原理 以及报文格式,网络MAC和IP地址的关系。
利用 Wireshark 分析 ARP 协议实验报告
2202_75285204的博客
01-01 1823
Wireshark 作为一款广泛应用的网络包分析工具,具备强大的功能,能够深度捕获并详尽展示网络数据包的各项细节信息,在开源网络分析软件领域占据重要地位。其核心作用在于精准获取网络包,并以直观、全面的方式呈现包内所蕴含的丰富信息,为网络分析提供有力支持。
arp icmp 等报文格式
u013434525的博客
05-10 2095
ARP是一个独立的三层协议,所以ARP报文在向数据链路层传输时不需要经过IP协议的封装,而是直接生成自己的报文,其中包括ARP报头,到数据链路层后再由对应的数据链路层协议(如以太网协议)进行封装。ARP报文分为ARP请求和ARP应答报文两种,它们的报文格式可以统一为下图所示。ARP报文不是直接在网络层上发送的,它还是需要向下传输到数据链路层,以以太网为例,ARP报文传输到以太网数据链路层后会形成ARP帧。ARP帧如下图所示,他就是在ARP报文前面加了一个以太网帧头。
arp 报文格式
道亦的博客
09-04 2288
ARP 协议报文格式及arp表 1. ARP(Address Resolution Protocol,地址解析协议):是将ip 地址解析成以太网MAC地的协议 2. ARP 是一个独立的三层协议,所以ARP 报文在向数据链路层传输时不需要经过ip协议的封装,直接生成自己的报文。 ARP报文 硬件类型:占2字节,表示ARP 报文可以在哪种类型的网络上传输,值为1时表示以太网地...
Wireshark抓包ARP协议分析
"本实验主要涉及计算机网络中的抓包分析,特别是使用Wireshark工具以及对ARP协议的深入理解。实验目的是掌握TCP/IP协议栈中不同层次的协议数据单元(PDU)格式,并通过实际操作熟悉Wireshark的使用。" 实验内容详述...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

andrewbytecoder

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值