Wireshark 中的 ARP 协议包分析是什么?
Wireshark 可以跟踪网络协议的通讯过程,本节通过 ARP 协议,在了解 Wireshark 使用的基础上,重温 ARP 协议的通讯过程。
ARP(Address Resolution Protocol)地址解析协议,是根据 IP 地址获取物理地址的一个 TCP/IP 协议。
主机发送信息时将包含目标 IP 地址的 ARP 请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该 IP 地址和物理地址存入本机 ARP 缓存中并保留一定时间,下次请求时直接查询 ARP 缓存以节约资源。
在 Wireshark 界面,我们可以看到 19、20 号数据包,就是一对标准的 ARP 请求和响应包。
打开 ARP 请求数据包报文,
Ethernet II 部分:
Destination(目的物理地址)字段的值为:ff:ff:ff:ff:ff:ff,说明该以太网帧是广播帧,和 ARP 请求分组是通过广播形式发送吻合。
Source(源物理地址)字段的值为:00:0c:29:7f:da:7b,这是发送方主机的物理地址,和 ARP 协议的 Sender MAC address 字段的值完全吻合。
Type 字段为:ARP(0x0806)。说明该以太网帧封装的是一个 ARP 协议分组。
ARP 协议部分:
前 4 个字段表明物理地址和逻辑地址的类型和长度。
第五个字段 Opcode 的值为 1,说明是 ARP 请求报文。
后面 4 个字段是源物理地址和 IP 地址,以及目标物理地址和 IP 地址。
值得注意的是,目标物理地址正如之前所说,全部填充的 0。因为该字段正是 ARP 请求报文需要获取的,目前不知,只能全部填充为 0。
打开 ARP 响应数据包报文,
在 Ethernet II 部分:
Destination(目的,物理地址)字段的值正好是 ARP 请求报文的 Source 字段的值。也就是说,该 ARP 响应报文是用来回应之前的 ARP 请求分组的。该值也和 Target MAC address 的值相同。
Source(源,物理地址)字段的值为目的端的物理地址,该值和 Sender MAC address 的值相同。
Padding 是填充字段,用来填充以太网帧到最小帧长。
在 ARP 协议部分:
前 4 个字段没什么好讲的。
第五个字段 Opcode 为 2,表示这是 ARP 响应分组。
后面 4 个字段,源 MAC 地址正是 ARP 请求报文想寻找的物理地址。源 IP 地址正好是 ARP 请求分组的目的 IP 地址。目的物理地址和目的 IP 地址正好是 ARP 请求分组的源物理地址和源 IP 地址。
通过上面的通讯过程,加深我们对 ARP 协议请求的了解,同时也加强 Wireshark 对数据包支持的理解。
喜欢点赞收藏转发,如有疑问,点击链接加入群聊【信创技术交流群】:http://qm.qq.com/cgi-bin/qm/qr?_wv=1027&k=EjDhISXNgJlMMemn85viUFgIqzkDY3OC&authKey=2SKLwlmvTpbqlaQtJ%2FtFXJgHVgltewcfvbIpzdA7BMjIjt2YM1h71qlJoIuWxp7K&noverify=0&group_code=721096495
评论