ARP協(xié)議數(shù)據(jù)包的分析?
ARP也就是地址解析協(xié)議，我們要訪問外網(wǎng)，不知道對方的mac地址就需要arp來進(jìn)行請求然后知道后就可以請求網(wǎng)關(guān)來進(jìn)行通信。?
復(fù)制代碼

地址解析協(xié)議，即ARP（Address Resolution Protocol），是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。主機發(fā)送信息時將包含目標(biāo)IP地址的ARP請求廣播到網(wǎng)絡(luò)上的所有主機，并接收返回消息，以此確定目標(biāo)的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間，下次請求時直接查詢ARP緩存以節(jié)約資源。地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個主機互相信任的基礎(chǔ)上的，網(wǎng)絡(luò)上的主機可以自主發(fā)送ARP應(yīng)答消息，其他主機收到應(yīng)答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存；由此攻擊者就可以向某一主機發(fā)送偽ARP應(yīng)答報文，使其發(fā)送的信息無法到達(dá)預(yù)期的主機或到達(dá)錯誤的主機，這就構(gòu)成了一個ARP欺騙。ARP命令可用于查詢本機ARP緩存中IP地址和MAC地址的對應(yīng)關(guān)系、添加或刪除靜態(tài)對應(yīng)關(guān)系等。相關(guān)協(xié)議有RARP、代理ARP。NDP用于在IPv6中代替地址解析協(xié)議。

他的工作過程如下：?
復(fù)制代碼

主機A的IP地址為192.168.1.1，MAC地址為0A-11-22-33-44-01；

主機B的IP地址為192.168.1.2，MAC地址為0A-11-22-33-44-02；

當(dāng)主機A要與主機B通信時，地址解析協(xié)議可以將主機B的IP地址（192.168.1.2）解析成主機B的MAC地址，以下為工作流程：

第1步：根據(jù)主機A上的路由表內(nèi)容，IP確定用于訪問主機B的轉(zhuǎn)發(fā)IP地址是192.168.1.2。然后A主機在自己的本地ARP緩存中檢查主機B的匹配MAC地址。

第2步：如果主機A在ARP緩存中沒有找到映射，它將詢問192.168.1.2的硬件地址，從而將ARP請求幀廣播到本地網(wǎng)絡(luò)上的所有主機。源主機A的IP地址和MAC地址都包括在ARP請求中。本地網(wǎng)絡(luò)上的每臺主機都接收到ARP請求并且檢查是否與自己的IP地址匹配。如果主機發(fā)現(xiàn)請求的IP地址與自己的IP地址不匹配，它將丟棄ARP請求。

第3步：主機B確定ARP請求中的IP地址與自己的IP地址匹配，則將主機A的IP地址和MAC地址映射添加到本地ARP緩存中。

第4步：主機B將包含其MAC地址的ARP回復(fù)消息直接發(fā)送回主機A。

第5步：當(dāng)主機A收到從主機B發(fā)來的ARP回復(fù)消息時，會用主機B的IP和MAC地址映射更新ARP緩存。本機緩存是有生存期的，生存期結(jié)束后，將再次重復(fù)上面的過程。主機B的MAC地址一旦確定，主機A就能向主機B發(fā)送IP通信了。

平時在解決網(wǎng)站問題排查上，講到的這些是否用到了呢？?
如果想查看ARP緩存表可以ctrl+r 輸入cmd??打開命令提示符然后輸入arp -a?
?
?
相信大家都聽到過arp欺騙，其實就是欺騙了mac當(dāng)請求的時候就到了hack手里，這樣我們看什么都由他們進(jìn)行控制，你的信息也完全可以被監(jiān)控到。?
那么怎么去解決呢？ARP綁定，在路由器上把IP和mac地址進(jìn)行綁定即可。?
?
?
?
圖片中就是我們不知道對方mac時發(fā)起的全F廣播請求，這樣來獲得地址。?
?
?
看了本節(jié)是否有收獲呢？?
?

總結(jié)

以上是生活随笔為你收集整理的wireshark从入门到精通（协议排错安全篇）4的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。