利用Ethereal分析ARP协议

1、利用Ethereal分析ARP协议w实验目的： 本实验利用Ethereal捕获发生在ping过程中的ARP报文，加强对ARP协议的理解，掌握ARP报文格式，掌握ARP请求报文和应答报文的区别。利用Ethereal分析ARP协议wARP回顾w利用Ethereal捕获分组示例w在捕获分组中分析ARP协议Whats ARP?w当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据48bit的以太网地址来确定目的接口的.设备驱动程序从不检查IP数据报中的目的IP地址。地址解析为这两种不同的地址形式提供映射：32bit的IP地址和数据链路层使用的任何类型的地址。w ARP为IP地址到对应的

2、硬件地址之间提供动态映射。我们之所以用动态这个词是因为这个过程是自动完成的，一般应用程序用户或系统管理员不必关心。 返回地址解析地址解析协议协议：ARP和和RARP 返回用于以太网的ARP请求或应答分组格式假设我们的计算机IP地址是，要执行这个命令：ping。该命令会通过ICMP协议发送ICMP数据包。该过程需要经过下面的步骤： 1、应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序） 2、内核检查是否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC对应表 3、如果存在该IP-MAC对应关系，那么跳到步骤

3、9；如果不存在该IP-MAC对应关系，那么接续下面的步骤4、内核进行ARP广播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST（1），其中包含有自己的MAC地址5、当主机接收到该ARP请求后，就发送一个ARP的REPLY（2）命令，其中包含自己的MAC地址 6、本地获得主机的IP-MAC地址对应关系，并保存到ARP缓存中 7、内核将把IP转化为MAC地址，然后封装在以太网头结构中，再把数据发送出去Ping过程中的ARP应用返回从头到尾观察一个跟踪记录w步骤1 启动Etherealw步骤2 对Capture Op

4、tions各个选项设置w步骤3 点击Start按钮开始捕获,出现Capture from对话框w步骤4 点击Capture from 对话框中Stop按钮结束捕获w步骤5 得到捕获记录w步骤6 利用Analyze菜单分析记录返回观察一个跟踪记录步骤1:启动Ethereal桌面双击图标 ,启动Ethereal返回观察一个跟踪记录步骤2:对Capture Options各个选项设置Interface:以太网接口混杂模式下捕获分组没有指定捕获规则没有指定捕获文件没有指定实时更新分组Name Resolution全部选择返回观察一个跟踪记录步骤3:点击Start按钮开始捕获分组,出现Capture f

5、rom对话框返回观察一个跟踪记录步骤4:点击Capture from 对话框中Stop按钮结束捕获结束捕获返回观察一个跟踪记录步骤5:得到捕获记录从IP:88到(55)的捕获返回列表框协议层框(协议框)协议框显示所选分组的各层协议细节:物理层帧,以太网帧及其首部,IP协议数据报及其首部,UDP数据报及其首部,HTTP等协议细节原始框原始框显示了分组中包含的数据的每个字节.从中可以观察最原始的传输数据.方框左边是十六进制的数据,右边是ASCII码返回观察一个跟踪记录步骤6:利用Analyze菜单分析记录利用Summary观察跟踪记录的统计该要,包括通信

6、的总字节数,通信的频率,分组的大小等统计数据观察一个跟踪记录步骤6:利用Analyze菜单分析记录利用Protocol Hierarchy Statistics(协议层次统计)观察各个协议的统计返回分析一次Ping过程中的ARP分组 我们准备ping统一局域网内IP为 02的主机步骤:w查看并清空本地ARP高速缓存w执行Ping 02,并捕获分组w分析ARP分组返回查看ARP高速缓存并清空查看本地ARP高速缓存中是否有 02主机的IP-MAC地址对应关系执行ping并捕获分组捕获过程中Capture from Br中ICMP和A

7、RP报文分别为8个和2个 捕获后Ethereal面板显示分析ARP请求报文报文一ARP 请求报文分析ARP请求报文w由于02为局域网内IP并且本地主机ARP高速缓存无对应IP-MAC表项,故广播之.w对应于前面ARP请求分组格式,可以看到报文一为ARP请求报文,w以太网目的地址为广播地址(ff:ff:ff:ff:ff:ff),w帧类型为ARP(0 x0806),w操作字段op为ARP请求(0 x0001)w对照分组格式可以观察其他部分分析ARP响应报文报文2 ARP响应报文分析ARP响应报文w02主机接收到该ARP请求后，就发送一个ARP的REPLY命令，其中包含自己的MAC地址 w对应于前面ARP请求分组格式,可以看到报文一为ARP应答报文,w以太网目的地址为19