实验四Wireshark捕获ARP报文
一、捕获报文
启动Wireshark，清空ARP缓存，然后ping网关。

二、分析ARP协议
1.ARP请求报文和响应报文是封装在IP报文中还是封装在MAC
帧中发送？
2.ARP请求报文中目的MAC地址是什么？
3.对于ARP协议，其在MAC帧中的协议字段的值是多少？
4.封装ARP请求报文和响应报文的MAC帧，其目的地址分别
是什么？这说明ARP请求报文和响应报文分别是广播还是单
播发送？
5.根据捕获到的报文，分析ARP报文的格式，说明报文各字段
的作用？
6.如果要模拟某种ARP欺骗攻击，例如物理机欺骗虚拟机，说
自己是网关。

该如何构造ARP响应报文？写出该ARP响应报
文的十六进制代码。

硬件类型：要转换成的地址类型，2字节。

以太网为0001
协议类型：被转换高层协议类型，2字节。

IP协议为0800
硬件地址长度：1字节。

以太网为6字节48位，即06
协议长度：1字节。

Ip地址为4字节32位，即04
操作类型：2字节。

请求为0001，响应为0002，RARP为0003 发送方硬件地址：源主机MAC地址
发送发协议地址：源主机IP地址
目标硬件地址：目标主机MAC地址（请求包中为00-00-00-00-00-00）
目标协议地址：
物理机欺骗虚拟机时，发送ARP响应报文，单播。

源主机本应为网关，但物理机欺骗虚拟机，即源主机IP地址填网关IP，硬件地址填物理机的硬件地址。

目标主机为虚拟机。

0001 0800 06 04 0002 物理机硬件地址（欺骗用）10.1.65.254(网关IP) 虚拟机硬件地址虚拟机IP地址。