Wireshark实战分析之ARP协议（二）

本节学习如何获取ARP协议包，以及分析ARP数据。

分析之前，先看看ARP的报文格式

上图是ARP请求、应答报文的格式，下面做详细解释

对以太网首部来说：

如果是请求ARP报文的话，以太网目的地址： 是（全1）的，是广播报，目的是让局域网上所有主机都收到ARP请求包

以太网源地址： 就是发送端地址。

帧类型： 如果是ARP报文，值为0x0806

硬件类型： 表明ARP协议实现在那种类型的网络上，它的值为1，即表示以太网地址

协议类型：表示解析协议（上层协议），这里一般是0800，即IP

硬件地址长度：也就是MAC地址长度，即6个字节

协议地址长度：也就是IP地址长度，即4个字节

操作类型：表示ARP协议数据报类型。1表示请求报文，2表示应答报文

发送端以太网地址：也就是源MAC地址

发送端IP地址：也就是源IP地址

目的端以太网地址：目标端MAC地址（如果是请求报文，是全0）

目地端IP地址：也就是目地端的IP地址

既然了解了ARP的详细格式，就尝试获取ARP报文。

实例：

如上图所示，pc1给pc2发送ARP请求，此时使用Wireshark获取ARP抓包数据

既然都获取到ARP的数据，那就分析ARP的数据。

先分析ARP请求数据报文：

选中57帧，可以在wireshark中查看报的详细信息：

当PC1发送的ARP请求报文，以广播报的形式发送到局域网后，当pc2检测到IP地址与自己的IP相同，就会发送给PC1响应报文，也就是58帧

对于ARP响应包来说，源IP，目地IP，源MAC，目地MAC都是知道了的。

关于分析ARP响报文，就分析到这里