ARP报文抓包解析学习
ARP:地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。
以太网中ARP报文格式:
模拟环境如下:
抓包:
1、使用华为ENSP工具模拟如上环境,开启设备并配置PC端的IP地址;
2、使用wireshark抓包工具,抓取交换机S5700的0/0/1端口的数据流;
3、在PC1上pingPC2的IP地址
4、ARP请求帧
5、ARP回答帧
6、以ARP回答帧来解析ARP帧(PC2回答PC1)
目的MAC地址: 54:89:98:0F:2B:BE
源MAC地址: 54:89:98:5B:5B:8A
帧类型: 0x0806 --长度为2字节,0x0806代表为ARP packe
硬件类型:0x0001 --长度为2字节,表示网络类型;以太网取值为1
协议类型:0x0800 --长度为2字节,表示要映射的协议地址类型。取值为0x0800,表示根据IP地址来进行映射
硬件地址长度:0x06 --长度为1字节,表示硬件地址长度;取值为0x06,以太网中表示MAC地址长度为6字节
协议地址长度:0x04 --长度为1字节,表示协议地址长度;取值为0x04,以太网中表示IP地址长度为4字节
op: 0x0002 --长度为2个字节,表示ARP报文的种类;取值为1,表示请求报文;取值为2,表示ARP应答报文
发送端MAC地址: 54:89:98:5B:5B:8A (信息体的发起端)
发送端IP地址: 0A:00:00:02 (转换即为10.0.0.2)
目的端 MAC地址:54:89:98:0F:2B:BE
目的端IP地址:0A:00:00:01 (转换即为10.0.0.1)
PAD: 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 ,18个字节,目的是为了凑足以太帧载荷数据的最小长度46字节