当前位置:文档之家› ARP协议分析

ARP协议分析

ARP协议分析

14020310090

张振宇1.实验内容

使用Wireshark抓包软件,捕获ARP信息并分析。

2.实验原理

ARP协议的原理:当我们在访问某个网络或者ping某个网址如:ping 时候,DNS需要解析 成为IP地址,但是在网络中数据传输是以帧的形式进行传输,而帧中有目标主机的MAC地址,本地主机在向目标主机发送帧前,要将目标主机IP地址解析成为MAC地址,这就是通过APR协议来完成的。

假设有两台主机A,B在互相通信,假设A(192.168.1.2),B(192.168.1.4)双方都知道对方的IP地址,如果A主机要向B主机发送“hello”,那么A主机,首先要在网络上发送广播,广播信息类似于“192.168.1.4的MAC地址是什么”,如果B主机听见了,那么B主机就会发送“192.168.1.4的MAC地址是“。。。。。。”,MAC地址一般都是6Byte 48bit 的格式,如“04-a3-e3-3a”,这样A主机就知道B 主机的MAC地址,所以发送数据帧时,加上MAC地址就不怕找不到目标主机的了。完成广播后,A主机会将MAC地址加入到ARP缓存表(所谓ARP缓存表就是一张实现IP和MAC地址进行一一对应的表,并且存储起来),以备下次再使用。ARP帧结构如图6-13所示。

图6-13 ARP帧结构

(1)两个字节长的以太网帧类型表示后面数据的类型。对于ARP请求或应答来说,该字段的值为0X0806。

(2)硬件类型字段:指明了发送方想知道的硬件地址的类型,以太网的值为1。

(3)协议类型字段:表示要映射的协议地址类型,IP为0X0800。

(4)硬件地址长度和协议地址长度:指明了硬件地址和高层协议地址的长度,这样ARP帧就可以在任意硬件和任意协议的网络中使用。对于以太网上IP 地址的ARP请求或应答来说,它们的值分别为6和4。

(5)操作字段:用来表示这个报文的类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。

(6)发送端的以太网地址:源主机硬件地址,6个字节。

(7)发送端IP地址:发送端的协议地址(IP地址),4个字节。

(7)目的以太网地址:目的端硬件地址,6个字节。

(8)目的IP地址:目的端的协议地址(IP地址),4个字节。

3.实验步骤

1.打开wireshark选择网卡抓包,过滤出arp协议如下图。

2.分析捕获到的ARP帧。

共有以下三层数据:

Frame:理层的数据帧概况

Ethernte II:数据链路层帧头部信息

Address Resolution Protocol:ARP协议

由图可知Frame318大小为60 byte,其中28字节的ARP数据,14字节的以太网帧头,18字节的以太网帧尾。

(1)Frame

Interface id: 0 (\Device\NPF_{62A9464C-28FA-4736-813D-437D0D99530A}) 接口ID

Encapsulation type: Ethernet (1)

封装类型

Arrival Time: DEC 10, 2015 12:47:16.157932000

捕获时间

Time delta from previous captured frame: 0.141720000 seconds 此包与前一包的时间间隔

Time since reference or first frame: 6.640859000 seconds

此包与第一帧的时间间隔

Frame Number: 318

帧序号

Frame Length: 60 bytes (480 bits)

帧长度

Capture Length: 60 bytes (480 bits)

捕获长度

Frame is marked: False

此帧做了标记:否

Frame is ignored: False

此帧被忽略:否

Protocols in frame: eth:ethertype:arp

帧内封装的协议层次结构

Coloring Rule Name: ARP

着色标记的协议名称

Coloring Rule String: arp

着色规则显示的字符串

(2)Ethernte II

Destination: DellInc_99:be:79 (b8:2a:72:99:be:79)

目的MAC地址

Source: huaweiTe_b5:7c:55 (d8:49:0b:b5:7c:55)

源MAC地址

Type: ARP (0x0806)

表示协议为ARP协议ARP类型:(0x0800)

(3)Address Resolution Protocol

Hardware type: Ethernet (1)

硬件类型:占2个字节,表明ARP实现在何种类型的网络上。Ø值为1:表示以太网。

Protocol type: IP (0x0800)

协议类型:占2个字节表示要映射的协议地址类型。ØIP:0800

Hardware size: 6

硬件地址长度:占1个字节,表示MAC地址长度,其值为6个字节。

Protocol size: 4

协议地址长度:占1个字节,表示IP地址长度,此处值4个字节。

Opcode: request (1)

操作类型:占2个字节,表示ARP数据包类型。此处表示ARP请求。

Sender MAC address: huaweiTe_b5:7c:55 (d8:49:0b:b5:7c:55)

源MAC地址:占6个字节,表示发送端MAC地址

Sender IP address: 10.170.72.254 (10.170.72.254)

源IP地址:占4个字节,表示发送端IP地址

Target MAC address: DellInc_99:be:79 (b8:2a:72:99:be:79)

目的以太网地址:占6个字节,表示目标设备的MAC地址

Target IP address: 10.170.38.135 (10.170.38.135)

目的IP地址:占4个字节,表示目标设备的IP地址.

4.实验结论

通过本实验,我知道了如何使用wireshark进行抓arp包并分析其内容,ARP 既Address Resolution Protocol ,地址解析协议,主要目的是将网络层的IP地址解析为数据链路层的MAC地址。在获取arp包的分析过程中,可以知道发送方以及接收方的IP地址和MAC地址,可以在网络发生混乱时,通过抓包分析确定是不是发生了ARP攻击。

相关主题