ARP协议定义

    ARP(Address Resolution Protocol)地址解析协议,根据IP地址获取物理地址的一个TCP/IP协议。

    由于OSI模型把网络分为七层,IP地址在OSI模型第三层,MAC地址在第二层,彼此不直接通信。在通过以太网发送IP数据包时,需要封装第三层(32位IP地址)和第二层(48位MAC地址)的报头,由于发送数据包时,只知道目标IP地址,不知道其MAC地址,而又不能跨越第二、三层,所有需要使用地址解析协议。

 

ARP报文

    

    字段1:ARP请求的目的以太网地址,全1时,代表广播地址。

    字段2:发送ARP请求的以太网地址。

    字段3:以太网帧类型表示后面的数据类型,ARP请求和ARP应答此字段为:0x0806。

    字段4:硬件地址类型,硬件地址不止以太网一种,是以太网类型时,值为1。

    字段5:表示要映射的协议地址的类型,要对IPv4地址进行映射,此值为0x0800。

    字段6和7:表示硬件地址长度和协议地址长度,MAC地址占6字节,IP地址占4字节。

    字段8:是操作类型字段,值为1,表示进行ARP请求;值为2,表示进行ARP应答;值为3,表示进行RARP请求;值为4,表示进行RARP应答。

    字段9:是发送端ARP请求或应答的硬件地址,这里是以太网地址,和字段2相同。

    字段10:是发送ARP请求或应答的IP地址。

    字段11和12:是目的端的硬件地址和IP地址。

 

ARP解析过程

    (1)当PC1想发送数据给PC2,首先在自己的本地ARP缓存表中检查主机PC2匹配的MAC地址

    (2)如果PC1缓存中没有找到响应的条目,它将询问主机PC2的MAC地址,从而将ARP请求帧广播到本地网络的所有主机。该帧中包括源主机PC1的IP、MAC地址,本地网络中的所有主机都接收到ARP请求,并且检查是否与自己的IP地址相匹配。如果发现请求中IP地址与自己IP不匹配,则丢弃ARP请求。

    (3)主机PC2确定ARP请求中得IP地址与自己的IP地址匹配,则将主机PC1的地址和MAC地址添加到本地缓存表中。

    (4)主机PC2将包含其MAC地址的ARP回复消息直接发送回主机PC1(数据帧为单播)。

    (5)主机PC1收到PC2发挥的ARP回复消息,将PC2的IP和MAC地址添加至自己ARP缓存表中,本机缓存是有生存期的,默认ARP缓存表有效期120s。当超过该有效期后,则将重复上面过程。主机PC2的MAC地址一旦确定,主机PC1就能向主机PC2发送IP信息

 

ARP报文抓包分析

    1、ARP请求报文

      

 

    2、ARP返回报文

      

                 

 

ARP命令

    

 

posted on 2019-01-24 17:52  静木棉  阅读(7042)  评论(0编辑  收藏  举报