5. Wireshark捕获并分析ARP报文

实验四Wireshark捕获ARP报文

一、捕获报文

启动Wireshark，清空ARP缓存，然后ping网关。

二、分析ARP协议

1.ARP请求报文和响应报文是封装在IP报文中还是封装在MAC

帧中发送？

2.ARP请求报文中目的MAC地址是什么？

3.对于ARP协议，其在MAC帧中的协议字段的值是多少？

4.封装ARP请求报文和响应报文的MAC帧，其目的地址分别

是什么？这说明ARP请求报文和响应报文分别是广播还是单

播发送？

5.根据捕获到的报文，分析ARP报文的格式，说明报文各字段

的作用？

6.如果要模拟某种ARP欺骗攻击，例如物理机欺骗虚拟机，说

自己是网关。该如何构造ARP响应报文？写出该ARP响应报

文的十六进制代码。

硬件类型：要转换成的地址类型，2字节。以太网为0001

协议类型：被转换高层协议类型，2字节。IP协议为0800

硬件地址长度：1字节。以太网为6字节48位，即06

协议长度：1字节。Ip地址为4字节32位，即04

操作类型：2字节。请求为0001，响应为0002，RARP为0003 发送方硬件地址：源主机MAC地址

发送发协议地址：源主机IP地址

目标硬件地址：目标主机MAC地址（请求包中为00-00-00-00-00-00）

目标协议地址：

物理机欺骗虚拟机时，发送ARP响应报文，单播。源主机本应为网关，但物理机欺骗虚拟机，即源主机IP地址填网关IP，硬件地址填物理机的硬件地址。目标主机为虚拟机。

0001 0800 06 04 0002 物理机硬件地址（欺骗用）10.1.65.254(网关IP) 虚拟机硬件地址虚拟机IP地址