ARP协议分析

ARP协议分析

14020310090

张振宇1.实验内容

使用Wireshark抓包软件，捕获ARP信息并分析。

2.实验原理

ARP协议的原理：当我们在访问某个网络或者ping某个网址如：ping 时候，DNS需要解析 成为IP地址，但是在网络中数据传输是以帧的形式进行传输，而帧中有目标主机的MAC地址，本地主机在向目标主机发送帧前，要将目标主机IP地址解析成为MAC地址，这就是通过APR协议来完成的。

假设有两台主机A,B在互相通信，假设A（192.168.1.2）,B（192.168.1.4）双方都知道对方的IP地址，如果A主机要向B主机发送“hello”，那么A主机，首先要在网络上发送广播，广播信息类似于“192.168.1.4的MAC地址是什么”，如果B主机听见了，那么B主机就会发送“192.168.1.4的MAC地址是“。。。。。。”，MAC地址一般都是6Byte 48bit 的格式，如“04-a3-e3-3a”，这样A主机就知道B 主机的MAC地址，所以发送数据帧时，加上MAC地址就不怕找不到目标主机的了。完成广播后，A主机会将MAC地址加入到ARP缓存表（所谓ARP缓存表就是一张实现IP和MAC地址进行一一对应的表，并且存储起来），以备下次再使用。ARP帧结构如图6-13所示。

图6-13 ARP帧结构

（1）两个字节长的以太网帧类型表示后面数据的类型。对于ARP请求或应答来说，该字段的值为0X0806。

（2）硬件类型字段：指明了发送方想知道的硬件地址的类型，以太网的值为1。

（3）协议类型字段：表示要映射的协议地址类型，IP为0X0800。

（4）硬件地址长度和协议地址长度：指明了硬件地址和高层协议地址的长度，这样ARP帧就可以在任意硬件和任意协议的网络中使用。对于以太网上IP 地址的ARP请求或应答来说，它们的值分别为6和4。

（5）操作字段：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4。

（6）发送端的以太网地址：源主机硬件地址，6个字节。

（7）发送端IP地址：发送端的协议地址（IP地址），4个字节。

（7）目的以太网地址：目的端硬件地址，6个字节。

（8）目的IP地址：目的端的协议地址（IP地址），4个字节。

3.实验步骤

1.打开wireshark选择网卡抓包，过滤出arp协议如下图。

2.分析捕获到的ARP帧。

共有以下三层数据：

Frame：理层的数据帧概况

Ethernte II：数据链路层帧头部信息

Address Resolution Protocol：ARP协议

由图可知Frame318大小为60 byte，其中28字节的ARP数据，14字节的以太网帧头，18字节的以太网帧尾。

(1)Frame

Interface id: 0 (\Device\NPF_{62A9464C-28FA-4736-813D-437D0D99530A}) 接口ID

Encapsulation type: Ethernet (1)

封装类型

Arrival Time: DEC 10, 2015 12:47:16.157932000

捕获时间

Time delta from previous captured frame: 0.141720000 seconds 此包与前一包的时间间隔

Time since reference or first frame: 6.640859000 seconds

此包与第一帧的时间间隔

Frame Number: 318

帧序号

Frame Length: 60 bytes (480 bits)

帧长度

Capture Length: 60 bytes (480 bits)

捕获长度

Frame is marked: False

此帧做了标记：否

Frame is ignored: False

此帧被忽略：否

Protocols in frame: eth:ethertype:arp

帧内封装的协议层次结构

Coloring Rule Name: ARP

着色标记的协议名称

Coloring Rule String: arp

着色规则显示的字符串

(2)Ethernte II

Destination: DellInc_99:be:79 (b8:2a:72:99:be:79)

目的MAC地址

Source: huaweiTe_b5:7c:55 (d8:49:0b:b5:7c:55)

源MAC地址

Type: ARP (0x0806)

表示协议为ARP协议ARP类型：（0x0800）

(3)Address Resolution Protocol

Hardware type: Ethernet (1)

硬件类型：占2个字节，表明ARP实现在何种类型的网络上。Ø值为1：表示以太网。

Protocol type: IP (0x0800)

协议类型：占2个字节表示要映射的协议地址类型。ØIP:0800

Hardware size: 6

硬件地址长度：占1个字节，表示MAC地址长度，其值为6个字节。

Protocol size: 4

协议地址长度：占1个字节，表示IP地址长度，此处值4个字节。

Opcode: request (1)

操作类型：占2个字节，表示ARP数据包类型。此处表示ARP请求。

Sender MAC address: huaweiTe_b5:7c:55 (d8:49:0b:b5:7c:55)

源MAC地址：占6个字节，表示发送端MAC地址

Sender IP address: 10.170.72.254 (10.170.72.254)

源IP地址：占4个字节，表示发送端IP地址

Target MAC address: DellInc_99:be:79 (b8:2a:72:99:be:79)

目的以太网地址：占6个字节，表示目标设备的MAC地址

Target IP address: 10.170.38.135 (10.170.38.135)

目的IP地址：占4个字节，表示目标设备的IP地址.

4.实验结论

通过本实验，我知道了如何使用wireshark进行抓arp包并分析其内容，ARP 既Address Resolution Protocol ，地址解析协议，主要目的是将网络层的IP地址解析为数据链路层的MAC地址。在获取arp包的分析过程中，可以知道发送方以及接收方的IP地址和MAC地址，可以在网络发生混乱时，通过抓包分析确定是不是发生了ARP攻击。