ARP完整过程及抓包分析

1、ARP协议概念

ARP（地址解析协议）是根据IP地址获取物理地址的一个协议。由于OSI将网络分为七层，IP地址在OSI模型的第三层（网络层），MAC地址在第二层（数据链路层），彼此不直接通信。在通过以太网发送IP数据包时，需要知道先封装第三层和第二层的报头。但由于发送数据包时只知道目标IP地址，不知道其MAC地址，而又不能跨越第二、三层，所以需要地址解析协议。

2、ARP应用：

ARP是解决同一局域网上的主机或路由器的IP地址和硬件映射关系。

3、ARP工作流程（以Ping命令演示）

PC1：6c:5b:90:d0:74:0c
PC2：74:ee:2a:e2:0c:48

a、pc1在本地ARP缓存表检查是否有pc2的MAC，若没有则发送广播给在同一网段的所有PC，若有则将pc2的MAC封装到数据包中发送。
b、在同一网段中的所有PC检查pc1的IP地址是否与自己相匹配，若匹配，则将pc1的MAC地址与IP地址（映射关系）放到本地ARP缓存表中，并将自己包含自己MAC地址的响应包发送给pc1(单播)。
c、pc1收到响应包后将对方MAC地址与IP地址（映射关系）放到自己的ARP缓存表中。

4、抓包过程

a、打开wireshark工具并抓包
在PC1上打开cmd，并输入ping 192.168.1.159 -t（PS：我这里PC2的IP是这个 ‘-t’表示让它一直ping），如图所示。

c、使用过滤器过滤，如下图所示。

d、如下图是抓到的一个ARP请求包，该包是通过广播方式发送出去。

e、如图是抓到的第二个ARP请求包，该包是单播方式发出去的。（PS：该包表示，是定时向 ARP 缓存条目中的主机发送点到点（单播）的 ARP 请求报文，假如在 N 次连续超时时间过后，都没有收到对应主机的 ARP响应报文，则将此条目从 ARP 缓存中删除），图中帧长为42小于以太网最小帧长，这里不是无效帧，因为在wire shark抓到本机发出数据帧的时候，还没下发到网卡进行填充，因此长度是42，不足以太网最小帧长，但是从网卡发出去的肯定是填充后并加上4字节的FCS的以太网帧，满足64字节的最小帧长约定。

f、如图4.5图是ARP响应包，该包通过单播发送出去。PS:图4.4图中帧长为60小于以太网最小帧长，这里不是无效帧，该帧未加上校验码4字节。

5、ARP欺骗原理（ARP后到优先）

a、假设我们有三台PC接在同一交换机上，分别为pc1,pc2,pc3
pc1:IP地址：192.168.1.23 MAC地址：BB-BB-BB-BB-BB-BB
pc2:IP地址：192.168.1.33 MAC地址：CC-CC-CC-CC-CC-CC
pc3:IP地址：192.168.1.55 MAC地址：DD-DD-DD-DD-DD-DD
b、pc1与pc2相互通信，向交换机发送广播。
c、pc2和pc3接收到广播，pc2单播回复给pc1,此时pc3进行ARP欺骗，告诉pc1,自己是pc2。
c、诉pc1,自己是pc2。
d、由于ARP后到优先的特性，让pc1认为pc3的MAC就是要找的pc2。
e、这样就变成了pc1与pc3通信了