ARP协议分析
14020310090
张振宇1.实验内容
使用Wireshark抓包软件,捕获ARP信息并分析。
2.实验原理
ARP协议的原理:当我们在访问某个网络或者ping某个网址如:ping http://biz.doczj.com/doc/b07195866.html,时候,DNS需要解析http://biz.doczj.com/doc/b07195866.html, 成为IP地址,但是在网络中数据传输是以帧的形式进行传输,而帧中有目标主机的MAC地址,本地主机在向目标主机发送帧前,要将目标主机IP地址解析成为MAC地址,这就是通过APR协议来完成的。
假设有两台主机A,B在互相通信,假设A(192.168.1.2),B(192.168.1.4)双方都知道对方的IP地址,如果A主机要向B主机发送“hello”,那么A主机,首先要在网络上发送广播,广播信息类似于“192.168.1.4的MAC地址是什么”,如果B主机听见了,那么B主机就会发送“192.168.1.4的MAC地址是“。。。。。。”,MAC地址一般都是6Byte 48bit 的格式,如“04-a3-e3-3a”,这样A主机就知道B 主机的MAC地址,所以发送数据帧时,加上MAC地址就不怕找不到目标主机的了。完成广播后,A主机会将MAC地址加入到ARP缓存表(所谓ARP缓存表就是一张实现IP和MAC地址进行一一对应的表,并且存储起来),以备下次再使用。ARP帧结构如图6-13所示。
图6-13 ARP帧结构
(1)两个字节长的以太网帧类型表示后面数据的类型。对于ARP请求或应答来说,该字段的值为0X0806。
(2)硬件类型字段:指明了发送方想知道的硬件地址的类型,以太网的值为1。
(3)协议类型字段:表示要映射的协议地址类型,IP为0X0800。
(4)硬件地址长度和协议地址长度:指明了硬件地址和高层协议地址的长度,这样ARP帧就可以在任意硬件和任意协议的网络中使用。对于以太网上IP 地址的ARP请求或应答来说,它们的值分别为6和4。
(5)操作字段:用来表示这个报文的类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。
(6)发送端的以太网地址:源主机硬件地址,6个字节。
(7)发送端IP地址:发送端的协议地址(IP地址),4个字节。
(7)目的以太网地址:目的端硬件地址,6个字节。
(8)目的IP地址:目的端的协议地址(IP地址),4个字节。
3.实验步骤
1.打开wireshark选择网卡抓包,过滤出arp协议如下图。
2.分析捕获到的ARP帧。
共有以下三层数据:
Frame:理层的数据帧概况
Ethernte II:数据链路层帧头部信息
Address Resolution Protocol:ARP协议
由图可知Frame318大小为60 byte,其中28字节的ARP数据,14字节的以太网帧头,18字节的以太网帧尾。
(1)Frame
Interface id: 0 (\Device\NPF_{62A9464C-28FA-4736-813D-437D0D99530A}) 接口ID
Encapsulation type: Ethernet (1)
封装类型
Arrival Time: DEC 10, 2015 12:47:16.157932000
捕获时间
Time delta from previous captured frame: 0.141720000 seconds 此包与前一包的时间间隔
Time since reference or first frame: 6.640859000 seconds
此包与第一帧的时间间隔
Frame Number: 318
帧序号
Frame Length: 60 bytes (480 bits)
帧长度
Capture Length: 60 bytes (480 bits)
捕获长度
Frame is marked: False
此帧做了标记:否
Frame is ignored: False
此帧被忽略:否
Protocols in frame: eth:ethertype:arp
帧内封装的协议层次结构
Coloring Rule Name: ARP
着色标记的协议名称
Coloring Rule String: arp
着色规则显示的字符串
(2)Ethernte II
Destination: DellInc_99:be:79 (b8:2a:72:99:be:79)
目的MAC地址
Source: huaweiTe_b5:7c:55 (d8:49:0b:b5:7c:55)
源MAC地址
Type: ARP (0x0806)
表示协议为ARP协议ARP类型:(0x0800)
(3)Address Resolution Protocol
Hardware type: Ethernet (1)
硬件类型:占2个字节,表明ARP实现在何种类型的网络上。?值为1:表示以太网。
Protocol type: IP (0x0800)
协议类型:占2个字节表示要映射的协议地址类型。?IP:0800
Hardware size: 6
硬件地址长度:占1个字节,表示MAC地址长度,其值为6个字节。
Protocol size: 4
协议地址长度:占1个字节,表示IP地址长度,此处值4个字节。
Opcode: request (1)
操作类型:占2个字节,表示ARP数据包类型。此处表示ARP请求。
Sender MAC address: huaweiTe_b5:7c:55 (d8:49:0b:b5:7c:55)
源MAC地址:占6个字节,表示发送端MAC地址
Sender IP address: 10.170.72.254 (10.170.72.254)
源IP地址:占4个字节,表示发送端IP地址
Target MAC address: DellInc_99:be:79 (b8:2a:72:99:be:79)
目的以太网地址:占6个字节,表示目标设备的MAC地址
Target IP address: 10.170.38.135 (10.170.38.135)
目的IP地址:占4个字节,表示目标设备的IP地址.
4.实验结论
通过本实验,我知道了如何使用wireshark进行抓arp包并分析其内容,ARP 既Address Resolution Protocol ,地址解析协议,主要目的是将网络层的IP地址解析为数据链路层的MAC地址。在获取arp包的分析过程中,可以知道发送方以及接收方的IP地址和MAC地址,可以在网络发生混乱时,通过抓包分析确定是不是发生了ARP攻击。