arp数据包格式分析

ARP数据包格式分析

ARP报文格式

本文将对ARP报文加以分析，让大家对ARP报文有个初步的了解。ARP地址解析协议，如图1所示：

图1

先说ARP报文的格式（如图2）：

图2

①硬件类型：指明硬件的类型，以太网是1。

②协议类型：指明发送者映射到数据链路标识的网络层协议的类型；IP对应0x0800。

③硬件地址长度：也就是MAC地址的长度，单位是字节，这里是6。

④协议地址长度：网络层地址的长度，即IP地址长度，单位是字节，这里为4。

⑤操作：指明是ARP请求（1）还是ARP响应（2）。

⑥剩下的字段都很简单啦，不具体说了。

ARP请求包

如图3所示，arp的request包，包含了9个字段，它的Opcode为1,代表了这是一个请求包。包含有重要的信息是发送方的IP address、MAC address以及接收方IP address。来以此获得接收方的MAC address。

图3

ARP响应包

如图4所示，arp的reply包，也包含了9个字段，它的Opcode2,代表了这是一个响应包。包含有重要的信息是它会根据收到的请求包，来填补上自己的MAC address发送给对方。这样双方都获得了对方的MAC address。

图4

ARP欺骗

在这里我说下arp欺骗的内容，相信大家会很感兴趣，其实说穿了，arp欺骗很简单：arp欺骗分为主机欺骗和网关欺骗，一般来说，我们的网络环境都是N台主机通过网关的NAT功能出去连接Internet的。也就是说所有的数据包都要流经网关。现在假设有网关、主机A和主机B，主机A是欺骗者，而主机B当然就是被欺骗者了。

先说主机欺骗，主机A通过某种手段向主机B发送ARP报文：小样儿的你听好了，网关的MAC地址是xx-xx-xx-xx-xx-xx，而这个地址是主机A随便写的一个mac地址，主机B听到了这个消息后，以后所有的报文都忘这个虚假的地址发送，因为这个地址本身就是不存在的，所以主机B理所当然得也就找不到网关了，现象就是掉线啦！

再说网关欺骗，过程和上面的也差不多，不过主机A是把报文扔给网关了，内容就是：

老大啊，主机B的mac地址是yy-yy-yy-yy-yy-yy，这个地址当然也是不存在的啦，那网关听信了主机A的虚假内容，于是从Internet发来给主机B的所有数据包，网关都发往这个虚假的yy-yy-yy-yy-yy-yy，而主机B还在那边张着嘴等着网关送给它的报文呢，不过网关可不管这个，一直把主机A告诉给它的虚假地址当作是主机B的地址，于是乎，可怜的主机B又断线了！