- 實驗目的
- 掌握Wireshark軟件簡單的過濾語法
- 掌握ARP的工作原理
- 學會利用Wireshark抓包分析ARP協議
- 實驗環境
- Wireshark軟件
- Windows 計算機
- 兩人共同完成
- 實驗預備知識
- 1.IP地址與物理MAC地址
-
圖1 IP地址與物理地址的區別
- 地址解析協議ARP 是解決同一個局域網上的主機或路由器的 IP 地址和MAC地址的映射問題
-
其基本思想是:
圖2 ARP協議的基本思想
3.ARP的工作過程
-
-
3.ARP報文格式
-
- 實驗內容
- ARP命令練習
- 使用ipconfig/all命令查看自己的IP地址和MAC地址
-
(同時記錄自己和同組成員的IP地址和MAC地址)
Mac下查看IP命令 ifconfig
- 使用arp -a查看ARP緩存表(截圖)
-
- 通過ping同組成員IP添加動態ARP表項(截圖)
-
- 通過arp -s IP地址 MAC地址添加動態表項(截圖)
-
- 刪除所有表項arp -d *(截圖)
-
Mac下 arp -ad 需要sudo -i 回車輸入密碼改爲root 權限下進行
2.抓包分析ARP協議
2.1當ARP表項爲空時抓包分析
(1)清空本機ARP緩存信息,運行Wireshark,設置過濾捕獲所有屬於ARP協議或ICMP協議的包
(2)ping同組成員IP
(3)arp請求mac地址分析(廣播)
分析當ARP緩存表爲空時,數據發送時的請求數據報信息,截圖並記錄具體的ARP字段數據。
字段名
值
以太網目的MAC地址
ff:ff:ff:ff:ff:ff
以太網源MAC地址
d4:61:9d:34:1e:76
幀類型
0x0806
硬件類型
1
協議類型
0x0800
硬件地址長度
6
協議地址長度
4
Op代碼
1
發送方MAC地址
d4:61:9d:34:1e:76
發送方IP地址
192.168.0.104
目的MAC地址
00:00:00:00:00:00
目的IP地址
192.168.0.110
(4)arp應答mac地址分析,截圖並記錄具體的ARP字段數據。
字段名
值
以太網目的MAC地址
d4:61:9d:34:1e:76
以太網源MAC地址
90:f0:52:5e:c9:be
幀類型
0x0806
硬件類型
1
協議類型
0x0800
硬件地址長度
6
協議地址長度
4
Op代碼
2
發送方MAC地址
90:f0:52:5e:c9:be
發送方IP地址
192.168.0.110
目的MAC地址
d4:61:9d:34:1e:76
目的IP地址
192.168.0.104
2.2當ARP表項不爲空時抓包分析(單播)
- 清空ARP表項,再ping同組成員,通過arp -a查看,保證表中有同組成員的記錄
-
(2)再次運行Wireshark,設置過濾捕獲所有屬於ARP協議或ICMP協議的包,並ping 同組成員IP地址
(3)arp請求mac地址分析(只截圖,寫出目的MAC地址和源MAC地址)
目的MAC地址 d4:61:9d:34:1e:76 源MAC地址 90:f0:52:5e:c9:be
- ARP應答MAC地址分析(只截圖,寫出目的MAC地址和源MAC地址)
-
目的MAC地址 90:f0:52:5e:c9:be 源MAC地址 d4:61:9d:34:1e:76
五.實驗心得
Linux 下語法
-a<主機>:顯示arp緩衝區的所有條目;-H<地址類型>:指定arp指令使用的地址類型;-d<主機>:從arp緩衝區中刪除指定主機的arp條目;-D:使用指定接口的硬件地址;-e:以Linux的顯示風格顯示arp緩衝區中的條目;-i<接口>:指定要操作arp緩衝區的網絡接口;-s<主機><MAC地址>:設置指定的主機的IP地址與MAC地址的靜態映射;-n:以數字方式顯示arp緩衝區中的條目;-v:顯示詳細的arp緩衝區條目,包括緩衝區條目的統計信息;-f<文件>:設置主機的IP地址與MAC地址的靜態映射。
空ARP
28個字節