ARP包的生成与分析

实

验

报

告

实验课题：ARP包的生成与分析ARP包的生成与分析

（1）掌握Wireshark抓包软件的使用。

（2）学习抓获ARP包并分析。

2.实验内容

使用Wireshark抓包软件，捕获ARP信息并分析。

3.实验原理

ARP协议的原理：当我们在访问某个网络或者ping某个网址如：ping 时候，DNS需要解析 成为IP地址，但是在网络中数据传输是以帧的形式进行传输，而帧中有目标主机的MAC地址，本地主机在向目标主机发送帧前，要将目标主机IP地址解析成为MAC地址，这就是通过APR协议来完成的。

假设有两台主机A,B在互相通信，假设A（192.168.1.2）,B（192.168.1.4）双方都知道对方的IP地址，如果A主机要向B主机发送“hello”，那么A主机，首先要在网络上发送广播，广播信息类似于“192.168.1.4的MAC地址是什么”，如果B主机听见了，那么B主机就会发送“192.168.1.4的MAC地址是“**.**.**.** ”，MAC地址一般都是6Byte 48bit 的格式，如“04-a3-e3-3a”，这样A主机就知道B主机的MAC地址，所以发送数据帧时，加上MAC地址就不怕找不到目标主机的了。完成广播后，A主机会将MAC地址加入到ARP缓存表（所谓ARP缓存表就是一张实现IP和MAC地址进行一一对应的表，并且存储起来），以备下次再使用。ARP帧结构如图6-13所示。

图6-13 ARP帧结构

（1）两个字节长的以太网帧类型表示后面数据的类型。对于ARP请求或应答来说，该字段的值为0X0806。

（2）硬件类型字段：指明了发送方想知道的硬件地址的类型，以太网的值为1。

（3）协议类型字段：表示要映射的协议地址类型，IP为0X0800。

（4）硬件地址长度和协议地址长度：指明了硬件地址和高层协议地址的长度，这样ARP帧就可以在任意硬件和任意协议的网络中使用。对于以太网上IP 地址的ARP请求或应答来说，它们的值分别为6和4。

（5）操作字段：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4。

（6）发送端的以太网地址：源主机硬件地址，6个字节。

（7）发送端IP地址：发送端的协议地址（IP地址），4个字节。

（7）目的以太网地址：目的端硬件地址，6个字节。

（8）目的IP地址：目的端的协议地址（IP地址），4个字节。

4.实验环境

交换式网络环境和Wireshark抓包软件。

1.清除ARP缓存中的所有信息。使用ARP –d命令。生成数据包

2.用ARP过滤出ARP协议的包。

3.分析捕获到的ARP帧。

(1.) 由下图可知，Frame 8显示的是主机发送了询问183.170.138.139的广播。进一步还可以得知Frame8大小为60 byte，其中28字节的ARP数据，14字节的以太网帧头，18字节的以太网帧尾。

（2.）下图为以太网帧的详细信息，其中显示目标MAC地址是f4:6d:04:11:1f:3c，共48个1表明是通过广播进行询问, 目标地址是00:00:00_00:00:00，ARP类型：IP（0x0800），进一步点开Address Resolution Protocol，有opcode: request(1)一行，可以判断这是个ARP请求。

6.实验结论

通过本实验，我知道了如何使用wireshark进行抓arp包并分析其内容，ARP既Address Resolution Protocol ，地址解析协议，主要目的是将网络层的IP地址解析为数据链路层的MAC地址。在获取arp包的分析过程中，可以知道发送方以及接收方的IP地址和MAC地址，可以在网络发生混乱时，通过抓包分析确定是不是发生了ARP攻击。