ARP包的生成与分析

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

实验课题:ARP包的生成与分析ARP包的生成与分析

(1)掌握Wireshark抓包软件的使用。

(2)学习抓获ARP包并分析。

2.实验内容

使用Wireshark抓包软件,捕获ARP信息并分析。

3.实验原理

ARP协议的原理:当我们在访问某个网络或者ping某个网址如:ping 时候,DNS需要解析 成为IP地址,但是在网络中数据传输是以帧的形式进行传输,而帧中有目标主机的MAC地址,本地主机在向目标主机发送帧前,要将目标主机IP地址解析成为MAC地址,这就是通过APR协议来完成的。

假设有两台主机A,B在互相通信,假设A(192.168.1.2),B(192.168.1.4)双方都知道对方的IP地址,如果A主机要向B主机发送“hello”,那么A主机,首先要在网络上发送广播,广播信息类似于“192.168.1.4的MAC地址是什么”,如果B主机听见了,那么B主机就会发送“192.168.1.4的MAC地址是“**.**.**.** ”,MAC地址一般都是6Byte 48bit 的格式,如“04-a3-e3-3a”,这样A主机就知道B主机的MAC地址,所以发送数据帧时,加上MAC地址就不怕找不到目标主机的了。完成广播后,A主机会将MAC地址加入到ARP缓存表(所谓ARP缓存表就是一张实现IP和MAC地址进行一一对应的表,并且存储起来),以备下次再使用。ARP帧结构如图6-13所示。

图6-13 ARP帧结构

(1)两个字节长的以太网帧类型表示后面数据的类型。对于ARP请求或应答来说,该字段的值为0X0806。

(2)硬件类型字段:指明了发送方想知道的硬件地址的类型,以太网的值为1。

(3)协议类型字段:表示要映射的协议地址类型,IP为0X0800。

(4)硬件地址长度和协议地址长度:指明了硬件地址和高层协议地址的长度,这样ARP帧就可以在任意硬件和任意协议的网络中使用。对于以太网上IP 地址的ARP请求或应答来说,它们的值分别为6和4。

(5)操作字段:用来表示这个报文的类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。

(6)发送端的以太网地址:源主机硬件地址,6个字节。

(7)发送端IP地址:发送端的协议地址(IP地址),4个字节。

(7)目的以太网地址:目的端硬件地址,6个字节。

(8)目的IP地址:目的端的协议地址(IP地址),4个字节。

4.实验环境

交换式网络环境和Wireshark抓包软件。

1.清除ARP缓存中的所有信息。使用ARP –d命令。生成数据包

2.用ARP过滤出ARP协议的包。

3.分析捕获到的ARP帧。

(1.) 由下图可知,Frame 8显示的是主机发送了询问183.170.138.139的广播。进一步还可以得知Frame8大小为60 byte,其中28字节的ARP数据,14字节的以太网帧头,18字节的以太网帧尾。

(2.)下图为以太网帧的详细信息,其中显示目标MAC地址是f4:6d:04:11:1f:3c,共48个1表明是通过广播进行询问, 目标地址是00:00:00_00:00:00,ARP类型:IP(0x0800),进一步点开Address Resolution Protocol,有opcode: request(1)一行,可以判断这是个ARP请求。

6.实验结论

通过本实验,我知道了如何使用wireshark进行抓arp包并分析其内容,ARP既Address Resolution Protocol ,地址解析协议,主要目的是将网络层的IP地址解析为数据链路层的MAC地址。在获取arp包的分析过程中,可以知道发送方以及接收方的IP地址和MAC地址,可以在网络发生混乱时,通过抓包分析确定是不是发生了ARP攻击。

相关文档
最新文档