Wireshark實戰分析之ARP協議

學習如何獲取ARP協議包，以及分析ARP數據。

分析之前，先看看ARP的報文格式

上圖是ARP請求、應答報文的格式，下面做詳細解釋

對乙太網首部來說：

如果是請求ARP報文的話，乙太網目的地址： 是（全1）的，是廣播報，目的是讓區域網上所有主機都收到ARP請求包

乙太網源地址： 就是發送端地址。

幀類型： 如果是ARP報文，值為0x0806

硬體類型： 表明ARP協議實現在那種類型的網路上，它的值為1，即表示乙太網地址

協議類型：表示解析協議（上層協議），這裡一般是0800，即IP

硬體地址長度：也就是MAC地址長度，即6個位元組

協議地址長度：也就是IP地址長度，即4個位元組

操作類型：表示ARP協議數據報類型。1表示請求報文，2表示應答報文

發送端乙太網地址：也就是源MAC地址

發送端IP地址：也就是源IP地址

目的端乙太網地址：目標端MAC地址（如果是請求報文，是全0）

目地端IP地址：也就是目地端的IP地址

既然了解了ARP的詳細格式，就嘗試獲取ARP報文。

實例：

如上圖所示，pc1給pc2發送ARP請求，此時使用Wireshark獲取ARP抓包數據

既然都獲取到ARP的數據，那就分析ARP的數據。

先分析ARP請求數據報文：

選中57幀，可以在wireshark中查看報的詳細信息：

當PC1發送的ARP請求報文，以廣播報的形式發送到區域網後，當pc2檢測到IP地址與自己的IP相同，就會發送給PC1響應報文，也就是58幀

對於ARP響應包來說，源IP，目地IP，源MAC，目地MAC都是知道了的。

關於分析ARP響報文，就分析到這裡

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！