ARP协议简介:
ARP协议能实现任意网络层地址到任意物理地址的转换,此次讨论从IP地址到以太网地址(MAC地址)的转换。其工作原理是:主机向自己所在的网络广播一个ARP请求,该请求包含目标机器的网络地址。此网络上的其他机器都将收到这个请求,但只有被请求的目标机器会回应一个ARP应答,其中包含自己的物理地址。
1.搭建网络环境,见下图
在主机192.168.0.141下面输入:ping 192.168.0.125进行测试
2.分别用ifconfig命令输出两个主机的IP和MAC地址信息,见下图
3.两个主机都打开echo服务
打开echo服务的具体步骤见博客:http://blog.csdn.net/linux_ever/article/details/50515632
4.用arp命令查看arp缓存,并用arp -d 192.168.0.125删除缓存
在主机192.168.0.141用arp -d 192.168.0.125删除缓存
5.在主机192.168.0.141登陆主机192.168.0.125的echo服务并监听帧
首先:在主机192.168.0.141下监听收到的帧root@linux_ever:~# tcpdump -i eth0 -ent '(dst 192.168.0.125 and src 192.168.0.141) or (dst 192.168.0.141 and src 192.168.0.125)'
其次:在主机192.168.0.141下另外一个终端中输入telnet 192.168.0.125 echo, 登陆主机192.168.0.125的echo服务,登陆成功之后输入quit退出。此时我们可以看到tcpdump监听到的帧。
监听命令:
由tcpdump抓取的数据包本质上是以太网帧,我们通过该命令的众多选项来控制帧的过滤(比如用dst和src指定通信的目的端IP地址和源端IP地址)和显示(比如用-e选项开启以太网帧头部信息的显示)。
登陆命令:
6.分析arp数据包
第一个数据包中,ARP通信的源端的物理地址是08:00:27:23:9c:b4(主机1:192.168.0.141),目的端的物理地址是ff:ff:ff:ff:ff:ff,这是以太网的广播地址帧。数值0x806是以太网帧头部的类型字段的值,它表示分用的目标是ARP模块。
“Request”表示这是一个ARP请求,“who-has 192.168.1.125 tell 192.168.1.141”则表示是主机1:192.168.0.141要查询主机2:192.168.0.125的MAC地址。
该以太网帧的长度为42字节(实际上是46字节,tcpdump未统计以太网帧尾部4字节的CRC字段),其中数据部分长度为28字节。
第二个数据包中,ARP通信的源端的物理地址是08:00:27:5e:44:7e(主机2:192.168.0.125),目的端的物理地址是08:00:27:23:9c:b4(主机1:192.168.0.141)。
“Reply表示这是一个应答,“192.168.0.125 is-at 08:00:27:5e:44:7e”则表示目标机器主机2:192.168.0.125报告其物理地址。
该以太网帧的长度为60字节(实际上是64字节,tcpdump未统计以太网帧尾部4字节的CRC字段),可见它使用了填充字节来满足最小帧长度。
7.以太网ARP请求/应答报文详解
1、硬件类型字段定义物理地址的类型,它的值为1表示MAC地址。
2、协议类型字段表示要映射的协议地址类型,它的值为0x800,表示IP地址。
3、硬件地址长度字段和协议地址长度字段,顾名思义,其单位是字节。对MAC地址来说,其长度为6;对IP(v4)地址来说,其长度为4。
4、操作字段指出4种操作类型:ARP请求(值为1)、ARP应答(值为2)、RARP请求(值为3)和RARP应答(值为4)。
5、最后4个字段指定通信双方的以太网地址和IP地址。发送端填充除目的端以太网地址外的其他3个字段,以构建ARP请求并发送之。接收端发现该请求的目的端IP地址是自己,就把自己的以太网地址填进去,然后交换两个目的端地址和两个发送端地址,以构建ARP应答并返回之(当然,如前所述,操作字段需要设置为2)。
6、ARP请求/应答报文的长度为28字节。如果再加上以太网帧头部和尾部的18字节,则一个携带ARP请求/应答报文的以太网帧长度为46字节。不过有的实现要求以太网帧数据部分长度至少为46字节,此时ARP请求/应答报文将增加一些填充字节,以满足这个要求。在这种情况下,一个携带ARP请求/应答报文的以太网帧长度为64字节。