ARP包的生成与分析

验报告实验课题：ARP包的生成与分析ARP 包的生成与分析1. 实验目的（1）掌握 Wireshark 抓包软件的使用。（2）学习抓获 ARP 包并分析。2. 实验内容使用Wireshark抓包软件，捕获ARP信息并分析。3. 实验原理ARP 协议的原理：当我们在访问某个网络或者 ping 某个网址如： ping 时候， DNS 需要解析 成为 IP 地址， 但是在网 络中数据传输是以帧的形式进行传输，而帧中有目标主机的MAC地址，本地主 机在向目标主机发送帧前，要将目标主机 IP 地址解析成为 MAC 地址，这就是 通过APR协议来完成的。假设有两台主机 A,B 在互相通信，假设 A（192.168.1.2）,B（192.168.1.4） 双方都知道对方的IP地址，如果A主机要向B主机发送“hello”，那么A主机， 首先要在网络上发送广播，广播信息类似于T92.168.1.4的MAC地址是什么”， 如果 B 主机听见了，那么 B 主机就会发送 “192.168.1.4 的 MAC 地址是 “*.*.*.* ”，MAC 地址一般都是 6Byte 48bit 的格式口“04-a3-e3-3a”，这样 A主机就知道B主机的MAC地址，所以发送数据帧时，加上MAC地址就不怕 找不到目标主机的了。完成广播后，A主机会将MAC地址加入到ARP缓存表 （所谓ARP缓存表就是一张实现IP和MAC地址进行对应的表，并且存储 起来），以备下次再使用。ARP帧结构如图6-13所示。硬件粪型P协谊粪型P谨件地址长度协谏长度P操作粪型P发送育的睚件地址8-3字节）-源物理地址（4-5字节）-源IP地址（0-1字节）源IP地址（2-3字节）目标谨件地址3-1字节）目标谨件地址（2-5字节）-目标IP地址（0-3字节）图 6-13 ARP 帧结构（1）两个字节长的以太网帧类型表示后面数据的类型。对于ARP请求或应 答来说，该字段的值为 0X0806。（2）硬件类型字段：指明了发送方想知道的硬件地址的类型，以太网的值 为1。（3）协议类型字段：表示要映射的协议地址类型，IP为0X0800。（4）硬件地址长度和协议地址长度：指明了硬件地址和高层协议地址的长 度，这样ARP帧就可以在任意硬件和任意协议的网络中使用。对于以太网上IP 地址的ARP请求或应答来说，它们的值分别为6和4。（5）操作字段：用来表示这个报文的类型，ARP请求为1, ARP响应为2, RARP 请求为 3， RARP 响应为 4。（6）发送端的以太网地址：源主机硬件地址， 6个字节。（7）发送端IP地址：发送端的协议地址（IP地址），4个字节。（7）目的以太网地址：目的端硬件地址， 6个字节。（8）目的IP地址：目的端的协议地址（IP地址），4个字节。4. 实验环境交换式网络环境和Wireshark抓包软件。5. 实验步骤1.清除ARP缓存中的所有信息。使用ARP -命令。生成数据包2.:MJsersadmin ping 183.170.139.190File Edit View Go Capture Anale Statistics Telephony Tools n ternals Helpm.-m.TFFT-1-14三亠三厶三亠-二Ping 183.170.139.1183.170.139.190 的183.170.139.190 的183.170.139.190 的183.170.139.190 的19已计ms?.:估 013包的-17数官取3.返8 节字32卄p节卄p节有壬X丈子:s据lmTTL=64TTL=64TTL=64TTL=64if齟曲緘徹丨白由沢殳昌丨4 &吟乔區丨團国丨回咽毙丨回O 9 OM Ob o o s OH6 a OH o a OH 8 7 o Ob OH5 5 0011 1 o o a a o o6 6 0 02 2d o7 7 0 0 f f b o 6 6 8 0c c a o aaao 8 8 7 0 b b b o f 1 o o f o o o f o o o f o o o 幵040000 f 6 o o f o o o f o o o f o o o f 8 o o0000001000200030Filter:1 ExpressionClearApplyNo.TimeSourceDestinationProtocolLength Info10.000000Dell_72:6a:15BroadcastARP60 Whohas183.170.139.13?Tell183.170.139.15620.051387Dell-98:cd:70BroadcastARP60 Whohas183.170.139.13?Tell183.170.139. 20330.096081Compalin_lc:3d:e7BroadcastARP60 Whohas183.170.139.13?Tell183.170.138. 3740.154703Dell_c2:6f :9bBroadcastARP60 Whohas183.170.139.6? Tell 183.170.138.15050.154712Wistronl_74:22:0aBroadcastARP60 Whohas183.170.139.68?Tell183.170.139.1360.409580RealtekS_00:46:29BroadcastARP60 Whohas183.170.139.137?Tell183.170.138.14470.464888Fujianst_l5:31:89BroadcastARP60 Whohas183.170.139.81?Tell183.170.139. 25480.553921Asustekc_ll:lf:3cBroadcastARP60 Whohas183.170.138.139?Tell183.170.138. 55g0.606041Elitegro_fa:c4:c6BroadcastARP60 Whohas183.170.138.139?Tell183.170.138.43100.765370Dell_c2:e6:52BroadcastARP60 Whohas183.170.139.254?Tell183.170.139.11li0.816389Compalln_ca:36:61BroadcastARP60 Whohas183.170.138.139?Tell183.170.139. 51121.554754AsustekC_ll:lf:3cBroadcastARP60 whohas183.170.138.139?Tell183.170.138. 55131.609215Elitegro_fa:c4:c6BroadcastARP60 Whohas183.170.138.139?Tell183170138.42141.617859Fuj i anst_l5:31:89BroadcastARP60 Who,has183.170.139.79?Tell183.170.139. 2 54151.818093Compalin_ca:36:61BroadcastARP60 Whohas183.170.138.139?Tell183.170.139. 51162.002798Hewlett-_d6:2b:a9BroadcastARP60 Whohas183.170.139.11?T cr T r r T rrrrrTell183.170.138.123T c r t r 八 T r c y r LS Frame 1: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)E Ethernet II, Src: Dell_72:6a:15 (b8:ac:6f:72:6a:15), Dst: Broadcast (ff:ff:ff:ff:ff:ff)E Address Resolution Protocol (request)3. 分析捕获到的 ARP 帧。(1.)由下图可知，Frame 8显示的是主机发送了询问183.170.138.139的广播。 进一步还可以得知Frame8大小为60 byte，其中28字节的ARP数据，14字 节的以太网帧头， 18字节的以太网帧尾。0 Frame fi: 60 bytes on wie (480 bits)s 60 bytes captue日(480 bits)Ethernet II s Src: AsustekC_ll: If: 3c (f4: 6d: 04:11: If : 3c) s Dst: Broadcast幵汁于：幵汁于：幵汁 Destlnatlon: Broadcast (ff:ff:ff:ff:ff:ff)S Source: Asustekc_ll:lf:3c (f4:6d:04:11:If:3c) Type: ARP (0x0806)Trai1E：000000000000000000000000000000000000000000100020003000 00 00 00 00 00b700 00 00 00 00 0000 fiii m 7Ei Address Resolution Protocol (request)(2. )下 图为以 太 网帧的详 细 信息 ， 其中显示 目标 MAC 地 址是 f4:6d:04:11:1f:3c ，共 48 个 1 表明是通过广播进行询问 , 目标地址是 00:00:00_00:00:00, ARP 类型：IP (0x0800),进一步点开 Address Resolution Protocol,有opcode: request(l)行，可以判断这是个ARP请求。日 Frame 8: 60 bytes on wire (480 bits), 60 bytes captyEd (480 bits)Arrival Ti me: May 28 ,EpochTi meTi meTi meFr ameFr ameTi me: delta delta si nee2012 17:14:01.493757000 0111101111111338196441.492757000 secondsfrom previous captured frame: 0.089033000 seconds from previous displayed frame: 0.089033000 seconds reference or first frame: 0.553921000 secondsNumber: 8Length: 60 bytes (480 bits)capture Length: 60 bytes (480 bits) Frame is marked: FalseE Ethernet II, src: Asustekc_ll:If:3c (f4:6d:04:ll:lf :3c) s Dst: Broadcast (ff:ff:ff:ff:幵汁f)Frame is ignored: False Protocols in frame: eth:arp colorimg Rule Name: ARP colorimg Rule string: arpDestination: Broadcast (ff:ff:ff:ff:ff:ff)Address: Broadcast (ff:ff:ff:ff:ff:ff)1=TG bit: Group addess (multicast/bcd匸mst)1=L bit: Local!y administered address (this is NOT the factory default) 0 Source: Asustekc_ll:If:3c (f4:6d:04:11:If:3c)Address: Asustekc_ll:lf:3c (f4:6d:04:ll:lf:3c)0=工石 bit: Indi vi dual addess (uni cast)0=L石 bit: G1obally unique address (factory default)Type: ARP (0x0806)Trai1 er: 000000000000000000000000000000000000日 Address Resolution Protocol (request)Hardinars type: Ethernet (1)Protocol type: IP (0x0800)Hardinars size: 6Protocol size: 4 opcode: request (1) Els gratuitous: False sender MAC address: Asostekc_ll:If:3c (f4:6d:04:11:If:3c) Sender IP address: 183170 13855 (183：L7Ci：L弓8 55) Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00) Tar get IP address: 18B 170 138.139 (18 B .170 ：L38.139)000000100020003000 o o o o o o o o o o00 o o o o 00 o o o -H-dd ao6 6 a o17 0 0 3 0 o a o0 8 06 a o o a o8 7 0 Ob o c c o o3 3 0 0 f f o o1 1 o o1 lb o118 04 4 a o0 0 8 06. 实验结论通过本实验，我知道了如何使用 wireshark 进行抓 arp 包并分析其内容， ARP 既 Address Resolution Protocol ，地址解析协议， 主要目的是将网络层的 IP 地址 解析为数据链路层的 MAC 地址。在获取 arp 包的分析过程中，可以知道发送方以及 接收方的 IP 地址和 MAC 地址，可以在网络发生混乱时， 通过抓包分析确定是不是发 生了 ARP 攻击。