用Wireshark抓取arpsnmpicmpdhcp等报文的方法

本文格式为Word版，下载可任意编辑——用Wireshark抓取arpsnmpicmpdhcp等报文的方法

1.ARP基础知识学习1.1.ARP协议的概念

ARP,即地址解析协议，实现通过IP得知其物理地址。在CP/IP网络环境下，每个主机分派了一个32位的IP地址，这种互联网地址是在网际范围表示主机的一种规律地址。为了让报文在物理线路上的传输，必需知道对方目的主机的物理地址。这样就存在把IP地址变成物理地址的转换问题。一以太网环境为例，为了正确的向目的主机传送报文，就必需将主机的32位IP地址转换成48位的以太网的地址。这就需要在互联层有一组服务将IP地址转换成物理地址，这组协议就是ARP协议。

1.2ARP协议实现的基本功能

在以太网协议中，同一局域网中的一台主机要和另一台主机进行直接通信，必需知道目标主机的MAC地址。而在TCP/IP协议栈中，网络层和传输层只关心目标主机的IP地址。这就导致再以太网中使用IP协议时，数据链路层的以太网协议连接到上层IP协议提供的数据中，只包含目的的IP地址。于是需要一种方法，更具目的主机的IP的地址，获取其MAC地址。这就是ARP协议要做的事。所谓地址解析（addressresolution）就是主机再发送阵前将目标地址转换成目标MAC地址的过程。

另外，当发送主机和目标及不在同一个局域网时，即便知道目的主机的MAC地址，两者也不能直接通信，必需有路由转发才行。所以此时，发送主机通过ARP协议获得的将不是目的主机的真实MAC地址，而是一台可以通往局域网外地路由器的某个端口的MAC地址。于是此后发送主机发送目的和主机的所有帧，都将发往该路由，通过他向外发送。这种状况成为ARP代理（ARPProxy）.

1.3工作的原理

每台装有TCP/IP协议的电脑里都有一个ARP缓存表，表里IP与MAC地址是一一对应的。

例如，主机A(192.168.1.5)主机B（192.168.1.1）发送数据.当发送数据时，主机A会在自己的ARP缓存表中查找是否有目标IP地址。假使找到了，也就知道了目标MAC地址，直接将目标MAC地址写进帧里发送就可以了；假使缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播，Ａ主机ＭＡＣ地址就是“主机Ａ的MAC地址〞，〞，这表示向同一网段内的所有主机发出这样的询问：“我是192.168.1.5，我的硬件地址是\主机A的MAC地址\请问IP地址为192.168.1.1的MAC地址是什么？〞网络上其他主机并不响应ARP询问，

只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09〞。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表（由于A在询问的时候把自己的IP和MAC地址一起告诉了B），下次A再向主机B或者B向A发送信息时，直接从各自的ARP缓存表里查找就可以了。ARP缓存表采用了老化机制（即设置了生存时间TTL），在一段时间内（一般15到20分钟）假使表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询。1.4抓包并分析报文1.4.1抓包

环境搭建方法：用一根网线连接两台主机，不妨记做主机A、主机B。主机A向主机B通信。

操作步骤如下：

1.测试环境，用一根网线将主机A、主机B连接起来，并进行ping操作（ping对方的IP），直到ping同为止。

2.开启主机B的“本地连接状态〞，查看IP地址，也可以在主机B上进行ipconfig/all操作，得到IP。

3．在主机A上进行arp-d操作，目的是清空ARP缓存表。

4.在主机A上进行arp–a操作，目的是查看ARP缓存表的内容是否被清空。5.在主机A上开启抓包软件Wireshark,并正确配置网管。6在主机A上ping主机B的IP地址。7.过滤报文，并进行分析。1.4.2报文分析

如下所示，图1.1是具体的操作命令，图1.2是主机A向网络发出的请求报文，图1.3是主机B向主机A发出的响应报文。、

从图1.2可以看出,源MAC地址为：44:37:e6:46:e7:98,源IP地址为10.1.22.11；目的MAC为：00:00:00:00:00:00,目的IP为10.1.11.22。其中源是指主机A,目的是指B主机。从图1.3可以看出，源MAC地址为：f4:6d:04:c1:0b:de，源IP为：10.1.11.22；目的MAC地址为：44:37:e6:46:e7:98,目的IP为：10.1.22.11。其中，源是指主机B,目的是指主机A。

从图1.3可以看出，

图1.1

图1.2

图1.3

2.DHCP的相关学习2.1.DHCP的基础概念

DHCP(DynamicHostConfigurationProtolo)是一个局域网协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务商自动分派IP地址给用户和给内部网络管理员作为对所有计算机做中央管理的手段。

2.2DHCP结构介绍

DHCP是动态主机配置协议，他的前身是BOOTP。网络主机使用BOOTPOM而不是磁盘启动，BOOTP则可以自动地为那些主机设定TCP/IP环境。但BOOTP的缺点是，在设定前必需获得客户端的硬件地址，而且，与IP是相对静止的。换言之，BOOTP缺乏“动态性〞，而DHCP可以说是BOOTP的加强版本，它分为两部分：一个是服务器端，一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户的DHCP要求；而客户端则会听从服务器分派下来的IP环境数据。比较BOOTP,DHCP通过“租约〞的概念，有效且动态的分派TCP/IP设定，而且，作为兼容考虑，DHCP完全照料了BOOTPClient的需求。DHCP的分派形式，首先，必需至少一台DHCP工作在网络上面，他会监听网络的DHCP请求，并与客户端磋商TCP/IP的设定环境。

2.3地址分派

IP地址分派方式主要有3中，即手动分派（ManualAllocation）、自动分派（AutomaticAllocation）和动态分派（DynamicAllocation）。

手动分派是指，网络管理员为某些少数特定的Host绑定固定IP地址,且地址不会过期。自动分派是指，一旦DHCP客户端第一次成功从DHCP服务器端租用到IP地址之后，就永远使用这个地址。

动态分派是指，当DHCOP客户端第一次从DHCP服务器租到IP后，就永久使用该地址，只要租约到期，就释放（release）这个IP地址。

2.4工作原理

下图是首次登陆时，DHCP工作过程。

DHCPdscoverDHCPoffer客户端DHCP服务器DHCPrequestDHCPACKDHCPdiscover:

功能是：寻觅DHCP服务器。具体过程如下：

当DHCP客户端第一次登录网络的时候，客户发现本机上没有任何IP数据设定，他会向网络发出一个DHCPDISCOVER封包。由于客户端还不知道自己属于哪一个网络，所以封包的来源地址会为0.0.0.0，而目的地址则为255.255.255.255，然后再附上DHCPdiscover的信息，向网络进行广播。在Linux下，