ARP完整过程及抓包分析

ARP（地址解析协议）是根据IP地址获取物理地址的一个协议。由于OSI将网络分为七层，IP地址在OSI模型的第三层（网络层），MAC地址在第二层（数据链路层），彼此不直接通信。在通过以太网发送IP数据包时，需要知道先封装第三层和第二层的报头。但由于发送数据包时只知道目标IP地址，不知道其MAC地址，而又不能跨越第二、三层，所以需要地址解析协议。

ARP是解决同一局域网上的主机或路由器的IP地址和硬件映射关系。

a、pc1在本地ARP缓存表检查是否有pc2的MAC，若没有则发送广播给在同一网段的所有PC，若有则将pc2的MAC封装到数据包中发送。 b、在同一网段中的所有PC检查pc1的IP地址是否与自己相匹配，若匹配，则将pc1的MAC地址与IP地址（映射关系）放到本地ARP缓存表中，并将自己包含自己MAC地址的响应包发送给pc1(单播)。 c、pc1收到响应包后将对方MAC地址与IP地址（映射关系）放到自己的ARP缓存表中。

a、打开wireshark工具并抓包 在PC1上打开cmd，并输入ping 192.168.1.159 -t（PS：我这里PC2的IP是这个 ‘-t’表示让它一直ping），如图所示。 c、使用过滤器过滤，如下图所示。 d、如下图是抓到的一个ARP请求包，该包是通过广播方式发送出去。 e、如图是抓到的第二个ARP请求包，该包是单播方式发出去的。（PS：该包表示，是定时向 ARP 缓存条目中的主机发送点到点（单播）的 ARP 请求报文，假如在 N 次连续超时时间过后，都没有收到对应主机的 ARP响应报文，则将此条目从 ARP 缓存中删除），图中帧长为42小于以太网最小帧长，这里不是无效帧，因为在wire shark抓到本机发出数据帧的时候，还没下发到网卡进行填充，因此长度是42，不足以太网最小帧长，但是从网卡发出去的肯定是填充后并加上4字节的FCS的以太网帧，满足64字节的最小帧长约定。 f、如图4.5图是ARP响应包，该包通过单播发送出去。PS:图4.4图中帧长为60小于以太网最小帧长，这里不是无效帧，该帧未加上校验码4字节。

a、假设我们有三台PC接在同一交换机上，分别为pc1,pc2,pc3 pc1:IP地址：192.168.1.23 MAC地址：BB-BB-BB-BB-BB-BB pc2:IP地址：192.168.1.33 MAC地址：CC-CC-CC-CC-CC-CC pc3:IP地址：192.168.1.55 MAC地址：DD-DD-DD-DD-DD-DD b、pc1与pc2相互通信，向交换机发送广播。 c、pc2和pc3接收到广播，pc2单播回复给pc1,此时pc3进行ARP欺骗，告诉pc1,自己是pc2。 c、诉pc1,自己是pc2。 d、由于ARP后到优先的特性，让pc1认为pc3的MAC就是要找的pc2。 e、这样就变成了pc1与pc3通信了