最好看的电视剧大全免费观看免费,网站建设优化制作公司,jsp网站开发中英文页面切换,wordpress主题博客主题目录 1. ARP 协议
2. 工作原理
3. ARP 协议报文格式
4. ARP 缓存的查看和修改
5. tcpdump 抓包分析 ARP 协议工作原理
5.1 搭建 2 台虚拟机
5.2 在主机 192.168.0.155 打开一个shell命令行开启抓包监听
5.3 在主机 192.168.0.155 打开另一个shell命令行 telnet 192.168.…目录 1. ARP 协议
2. 工作原理
3. ARP 协议报文格式
4. ARP 缓存的查看和修改
5. tcpdump 抓包分析 ARP 协议工作原理
5.1 搭建 2 台虚拟机
5.2 在主机 192.168.0.155 打开一个shell命令行开启抓包监听
5.3 在主机 192.168.0.155 打开另一个shell命令行 telnet 192.168.0.154
5.4 在主机 192.168.0.155 抓包监听的窗口可即可抓到头两帧数据即是 ARP 请求 和 ARP 应答包如下
5.4.1 ARP 请求帧分析
1站在数据链路层对以太网帧进行数据分析
2站在网络层对ARP请求包进行数据分析
5.4.2 ARP 应答帧分析
1站在数据链路层对以太网帧进行数据分析
2站在网络层对ARP请求包进行数据分析 1. ARP 协议 ARPAddress Resolution Protocol地址解析协议协议属于网络层协议它实现了将目的主机的 IP 地址转换为 MAC 地址物理地址。
2. 工作原理 主机向自己所在的网络比如家用路由器广播一个 ARP 请求request该请求包含目的主机的IP地址此网络上的其它主机都将收到这个请求但只有被请求的目的主机会回应一个 arp 应答reply。
3. ARP 协议报文格式 字段字节数说明硬件类型2表示物理地址的类型对于以太网 MAC 地址值为0x0001协议类型2发送方要映射的协议地址类型对于 IP 地址值为0x0800硬件地址长度1以太网 MAC 地址占用 6 个字节所以值为0x06协议地址长度1IPv4占用 4 字节所以值为0x04操作24种操作类型ARP 请求值为0x0001ARP 应答值为0x0002RARP 请求值为0x0003RARP 应答值为0x0004源MAC地址6发送方的 MAC 地址源IP地址4发送方的 IP 地址目的MAC地址6接收方的 MAC 地址对于 ARP 请求不知道接收方的 MAC 地址该值用 0 填充即 0x0000 0000 0000目的IP地址4接收方的 IP 地址 上面表格的说明不能完全搞懂也不要紧往下看会有抓取 ARP 请求和 ARP 应答的帧数据我们根据帧数据分析来理解对于 ARP 请求协议的理解就容易多了。
4. ARP 缓存的查看和修改 在抓取 ARP 请求、应答包进行数据分析前还有要讲明白 ARP 缓存。因为假如 ARP 请求的目的 IP 地址的 MAC 地址在本主机已经有缓存的话就可能不会向自己所在的网络广播一个 ARP 请求request从而抓取不到 ARP 请求、应答包。 ARP 维护了一个缓存包含了经常访问或最近访问的主机 IP 地址到 MAC 地址的映射这样做的好处是避免了重复的 ARP 请求从而提高发送数据包的速度。 linux 操作系统下可以使用 arp 命令来查看和修改 arp 缓存。
例如 arp -a // 查看 arp 缓存信息 从上图可知
网关 192.168.0.1 映射的 MAC 地址3c:6a:48:e2:d5:67
主机 192.168.0.154 映射的 MAC 地址00:0c:29:ba:f0:0d
主机 192.168.0.101 映射的 MAC 地址b0:a4:60:28:96:f5
ens33 是网卡名 arp -d 192.168.0.154 // 删除目的主机 192.168.0.154 的缓存信息 5. tcpdump 抓包分析 ARP 协议工作原理 tcpdump 是一个运行在命令行下的网络抓包工具给使用者提供了大量的选项用以过滤数据包或定制格式输出。
5.1 搭建 2 台虚拟机 环境搭建链接搭建多台能够互相 telnet 的 centos 虚拟机-CSDN博客
主机 192.168.0.154 的 MAC 地址为00:0c:29:ba:f0:0d网卡名为ens33 主机 192.168.0.155 的 MAC 地址为00:0c:29:83:72:68网卡名为ens33 5.2 在主机 192.168.0.155 打开一个shell命令行开启抓包监听 tcpdump -i ens33 -en -x (dst 192.168.0.154 and src 192.168.0.155) or (dst 192.168.0.155 and src 192.168.0.154) -i: 是 interface 的意思指定要监听的网卡接口。-i any表示抓取所有网卡接口的数据包。
ens33网卡接口名
-e: 是 ethernet (以太网) 的意思显示以太网帧头部信息。
-n: 是 number 的意思显示 IP 地址表示主机而不是主机名显示数字表示端口号而不是服务名称。
-x: 是 hex 的意思以十六进制显示数据包的内容但不显示包中的以太网帧头部信息
(dst 192.168.0.154 and src 192.168.0.155) or (dst 192.168.0.155 and src 192.168.0.154)抓取目的IP地址是 192.168.0.154 并且 源IP地址是 192.168.0.155 或者 目的IP地址是 192.168.0.155 并且源IP地址是 192.168.0.154 的数据包 5.3 在主机 192.168.0.155 打开另一个shell命令行 telnet 192.168.0.154 telnet 192.168.0.154 5.4 在主机 192.168.0.155 抓包监听的窗口抓到头两帧数据即是 ARP 请求 和 ARP 应答包如下 5.4.1 ARP 请求帧分析
01:53:21.517518 00:0c:29:83:72:68 Broadcast, ethertype ARP (0x0806), length 42: Request who-has 192.168.0.154 tell 192.168.0.155, length 280x0000: 0001 0800 0604 0001 000c 2983 7268 c0a80x0010: 009b 0000 0000 0000 c0a8 009a
01:53:21.517518抓包时的时间戳
1站在数据链路层对以太网帧进行数据分析 说明对于以太网帧来说携带的数据报字节数范围46 ~ 1500字节。所以对于ARP数据报前28字节是ARP协议报文还需填充18字节PAD填充才能组成最低46字节的数据报填充的每个字节数据都为0x00
00:0c:29:83:72:68 Broadcast, ethertype ARP (0x0806), length 42
00:0c:29:83:72:68 Broadcast: MAC地址为 00:0c:29:83:72:68 的主机发送给 MAC地址为 Broadcast 主机的帧00:0c:29:83:72:68主机 192.168.0.155 的MAC地址Broadcast表示这是一个网络广播帧即向自己所在的网络广播此网络上的其它主机都将收到这个包
ethertype ARP (0x0806)以太网帧类型2个字节ARP请求的值为0x0806
length 42: 表示以太网帧的长度为 42 字节实际上是 64 字节tcpdump没有统计ARP请求数据报中填充的18字节PAD和以太网帧尾部4字节的CRC字段。42字节的组成以太网头部14字节目的MAC地址 6 字节 源MAC地址 6 字节 帧类型 2字节 ARP 请求协议报文28字节
2站在网络层对ARP请求包进行数据分析
Request who-has 192.168.0.154 tell 192.168.0.155, length 28
Request: 表示这是一个 ARP 请求包
who-has 192.168.0.154 tell 192.168.0.155: 请求 IP 地址 192.168.0.154 的主机告诉IP地址 192.168.0.155 的主机
length 28: 表示ARP请求在网络层是 28 字节也就是上面说的ARP 协议报文格式的28字节这 28 个字节数据如下 0x0000: 0001 0800 0604 0001 000c 2983 7268 c0a8 0x0010: 009b 0000 0000 0000 c0a8 009a
现在我们用 ARP 请求数据包与ARP协议报文进行对号入座分析 0x0001: 对应的是硬件类型的2字节表示物理地址的类型对于以太网 MAC 地址值为0x0001
0x0800: 对应的是协议类型的2字节表示发送方要映射的协议地址类型对于 IP 地址值为0x0800
0x0604: 高8位对应的是硬件地址长度1字节以太网 MAC 地址占用 6 个字节所以值为0x06 低8位对应的是协议地址长度1字节IPv4占用 4 字节所以值为0x04
0x0001: 对应的是操作2字节4种操作类型ARP 请求值为0x0001ARP 应答值为0x0002RARP 请求值为0x0003RARP 应答值为0x0004。我们这个是ARP请求包所以值为0x0001
0x000c 2983 7268: 对应的是源MAC地址6字节即发送方MAC地址我们的发送方是主机 192.168.0.155它的MAC地址就是00:0c:29:83:72:68
0xc0a8 009b对应的是源IP地址4字节即发送方的IP地址我们发送方是主机 192.168.0.155点分十进制转换成点分十六进制表示就是0xc0.a8.0.9b
0x0000 0000 0000: 对应的是目的MAC地址6字节即接收方MAC地址我们的接收方是主机 192.168.0.154在 ARP请求中不知道接收方的 MAC 地址该值用 0 填充即 0x0000 0000 0000
0xc0a8 009a: 对应的是目的IP地址4字节即接收方IP地址我们的接收方是主机 192.168.0.154点分十进制转换成点分十六进制表示就是0xc0.a8.0.9a
至此ARP 请求数据包与ARP协议报文进行对号入座都一一对应上了
5.4.2 ARP 应答帧分析
01:53:21.517737 00:0c:29:ba:f0:0d 00:0c:29:83:72:68, ethertype ARP (0x0806), length 60: Reply 192.168.0.154 is-at 00:0c:29:ba:f0:0d, length 460x0000: 0001 0800 0604 0002 000c 29ba f00d c0a80x0010: 009a 000c 2983 7268 c0a8 009b 0000 00000x0020: 0000 0000 0000 0000 0000 0000 0000
01:53:21.517737抓包时的时间戳
1站在数据链路层对以太网帧进行数据分析 00:0c:29:ba:f0:0d 00:0c:29:83:72:68, ethertype ARP (0x0806), length 60
00:0c:29:ba:f0:0d 00:0c:29:83:72:68: MAC地址为 00:0c:29:ba:f0:0d 的主机发送给 MAC地址为 00:0c:29:83:72:68 主机的帧00:0c:29:ba:f0:0d以太网源MAC地址即主机 192.168.0.154 的MAC地址00:0c:29:83:72:68以太网目的MAC地址即主机 192.168.0.155 的MAC地址
ethertype ARP (0x0806)以太网帧类型2个字节ARP应答的值为0x0806
length 60: 表示以太网帧的长度为 60 字节实际上是 64 字节tcpdump没有统计以太网帧尾部4字节的CRC字段。60字节的组成以太网头部14字节目的MAC地址 6 字节 源MAC地址 6 字节 帧类型 2字节 ARP 请求协议报文28字节18字节PAD
2站在网络层对ARP请求包进行数据分析
Reply 192.168.0.154 is-at 00:0c:29:ba:f0:0d, length 46
Reply: 表示这是一个 ARP 应答包
192.168.0.154 is-at 00:0c:29:ba:f0:0d: IP 地址 192.168.0.154 的MAC地址为00:0c:29:ba:f0:0d
length 46: 表示ARP应答分用到网络层有 46 字节也就是上面说的ARP 协议报文格式的28字节 18字节PAD这 46 个字节数据如下 0x0000: 0001 0800 0604 0002 000c 29ba f00d c0a8 0x0010: 009a 000c 2983 7268 c0a8 009b 0000 0000 0x0020: 0000 0000 0000 0000 0000 0000 0000
现在我们用 ARP 应答数据包与ARP协议报文进行对号入座分析
0x0001: 对应的是硬件类型的2字节表示物理地址的类型对于以太网 MAC 地址值为0x0001
0x0800: 对应的是协议类型的2字节表示发送方要映射的协议地址类型对于 IP 地址值为0x0800
0x0604: 高8位对应的是硬件地址长度1字节以太网 MAC 地址占用 6 个字节所以值为0x06 低8位对应的是协议地址长度1字节IPv4占用 4 字节所以值为0x04
0x0002: 对应的是操作2字节4种操作类型ARP 请求值为0x0001ARP 应答值为0x0002RARP 请求值为0x0003RARP 应答值为0x0004。我们这个是ARP请求包所以值为0x0002
0x000c 29ba f00d: 对应的是源MAC地址6字节即发送方MAC地址应答数据报的发送方是主机 192.168.0.154它的MAC地址就是00:0c:29:ba:f0:0d
0xc0a8 009a对应的是源IP地址4字节即发送方的IP地址应答数据报的发送方是主机 192.168.0.154点分十进制转换成点分十六进制表示就是0xc0.a8.0.9a
0x000c 2983 7268: 对应的是目的MAC地址6字节即接收方MAC地址我们的接收方是主机 192.168.0.155它的MAC地址就是00:0c:29:83:72:68
0xc0a8 009b: 对应的是目的IP地址4字节即接收方IP地址我们的接收方是主机 192.168.0.155点分十进制转换成点分十六进制表示就是0xc0.a8.0.9b
0x0000 0000 0000 0000 0000 0000 0000 0000 0000: 18字节PAD
至此ARP 应答数据包与ARP协议报文进行对号入座都一一对应上了本文也到了跟大家 say goodbye 的时候了 文章转载自: http://www.morning.hbhnh.cn.gov.cn.hbhnh.cn http://www.morning.kxnjg.cn.gov.cn.kxnjg.cn http://www.morning.rmfwh.cn.gov.cn.rmfwh.cn http://www.morning.rngyq.cn.gov.cn.rngyq.cn http://www.morning.rkkh.cn.gov.cn.rkkh.cn http://www.morning.jlgjn.cn.gov.cn.jlgjn.cn http://www.morning.lhqw.cn.gov.cn.lhqw.cn http://www.morning.drfrm.cn.gov.cn.drfrm.cn http://www.morning.rscrj.cn.gov.cn.rscrj.cn http://www.morning.qkzdc.cn.gov.cn.qkzdc.cn http://www.morning.dqcpm.cn.gov.cn.dqcpm.cn http://www.morning.fxpyt.cn.gov.cn.fxpyt.cn http://www.morning.crrmg.cn.gov.cn.crrmg.cn http://www.morning.drpbc.cn.gov.cn.drpbc.cn http://www.morning.lthpr.cn.gov.cn.lthpr.cn http://www.morning.xcnwf.cn.gov.cn.xcnwf.cn http://www.morning.mtrz.cn.gov.cn.mtrz.cn http://www.morning.rxfjg.cn.gov.cn.rxfjg.cn http://www.morning.dfdhx.cn.gov.cn.dfdhx.cn http://www.morning.lrflh.cn.gov.cn.lrflh.cn http://www.morning.fqqlq.cn.gov.cn.fqqlq.cn http://www.morning.qmncj.cn.gov.cn.qmncj.cn http://www.morning.qhmhz.cn.gov.cn.qhmhz.cn http://www.morning.zdzgf.cn.gov.cn.zdzgf.cn http://www.morning.ryxdf.cn.gov.cn.ryxdf.cn http://www.morning.qtyfb.cn.gov.cn.qtyfb.cn http://www.morning.fpjxs.cn.gov.cn.fpjxs.cn http://www.morning.fstdf.cn.gov.cn.fstdf.cn http://www.morning.rwbh.cn.gov.cn.rwbh.cn http://www.morning.stwxr.cn.gov.cn.stwxr.cn http://www.morning.rpkg.cn.gov.cn.rpkg.cn http://www.morning.pcqdf.cn.gov.cn.pcqdf.cn http://www.morning.mtymb.cn.gov.cn.mtymb.cn http://www.morning.jntcr.cn.gov.cn.jntcr.cn http://www.morning.hpkr.cn.gov.cn.hpkr.cn http://www.morning.xrftt.cn.gov.cn.xrftt.cn http://www.morning.nzzws.cn.gov.cn.nzzws.cn http://www.morning.hnrdtz.com.gov.cn.hnrdtz.com http://www.morning.qgghr.cn.gov.cn.qgghr.cn http://www.morning.epeij.cn.gov.cn.epeij.cn http://www.morning.ffcsr.cn.gov.cn.ffcsr.cn http://www.morning.fmznd.cn.gov.cn.fmznd.cn http://www.morning.tyhfz.cn.gov.cn.tyhfz.cn http://www.morning.pwbps.cn.gov.cn.pwbps.cn http://www.morning.fcxt.cn.gov.cn.fcxt.cn http://www.morning.rxkl.cn.gov.cn.rxkl.cn http://www.morning.dlrsjc.com.gov.cn.dlrsjc.com http://www.morning.kxqfz.cn.gov.cn.kxqfz.cn http://www.morning.rcjwl.cn.gov.cn.rcjwl.cn http://www.morning.qrmyd.cn.gov.cn.qrmyd.cn http://www.morning.rppf.cn.gov.cn.rppf.cn http://www.morning.fycjx.cn.gov.cn.fycjx.cn http://www.morning.bnfrj.cn.gov.cn.bnfrj.cn http://www.morning.zmqb.cn.gov.cn.zmqb.cn http://www.morning.hcszr.cn.gov.cn.hcszr.cn http://www.morning.jsljr.cn.gov.cn.jsljr.cn http://www.morning.jpkhn.cn.gov.cn.jpkhn.cn http://www.morning.yhsrp.cn.gov.cn.yhsrp.cn http://www.morning.jghty.cn.gov.cn.jghty.cn http://www.morning.mkpkz.cn.gov.cn.mkpkz.cn http://www.morning.qrmry.cn.gov.cn.qrmry.cn http://www.morning.ktrh.cn.gov.cn.ktrh.cn http://www.morning.rmxgk.cn.gov.cn.rmxgk.cn http://www.morning.rfwrn.cn.gov.cn.rfwrn.cn http://www.morning.dqrpz.cn.gov.cn.dqrpz.cn http://www.morning.clkyw.cn.gov.cn.clkyw.cn http://www.morning.cgdyx.cn.gov.cn.cgdyx.cn http://www.morning.xbxks.cn.gov.cn.xbxks.cn http://www.morning.dbddm.cn.gov.cn.dbddm.cn http://www.morning.lkmks.cn.gov.cn.lkmks.cn http://www.morning.plflq.cn.gov.cn.plflq.cn http://www.morning.jkpnm.cn.gov.cn.jkpnm.cn http://www.morning.zcfmb.cn.gov.cn.zcfmb.cn http://www.morning.hcxhz.cn.gov.cn.hcxhz.cn http://www.morning.gynkr.cn.gov.cn.gynkr.cn http://www.morning.yrnll.cn.gov.cn.yrnll.cn http://www.morning.wnywk.cn.gov.cn.wnywk.cn http://www.morning.fsqbx.cn.gov.cn.fsqbx.cn http://www.morning.mkpkz.cn.gov.cn.mkpkz.cn http://www.morning.jnoegg.com.gov.cn.jnoegg.com
