强制ARP广播ARP协议全面实战手册协议详解、攻击与防御大学霸

强制ARP广播强制ARP广播ARP协议全面实战手册协议详解、攻击与防御大学霸

从抓图工具中，可以看到ARP协议是不会主动发送ARP请求的。如果要捕获数据包，必须要使两台主机进行通信，迫使主机进行ARP广播。如果不想与其它主机通信，可以通过执行arp -a命令产生ARP广播包强制ARP广播ARP协议全面实战手册协议详解、攻击与防御大学霸。

下面将通过Wireshark来验证，arp -a命令。具体操作步骤如下所示：

（1）开启Wireshark抓包工具。

（2）执行arp- a命令。如下所示：

root@kali:~# arp -a

localhost (192.168.5.5) at 00:0c:29:56:bd:21 [ether] on eth0

localhost (192.168.5.9) at 00:0c:29:31:02:17 [ether] on eth0

router.router (192.168.5.1) at c8:3a:35:84:78:1e [ether] on eth0

输出信息显示了当前系统的ARP缓存表。

（3）在Wireshark中看捕获到的数据，如图1.12所示。

图1.12  ARP广播

从该界面可以看到都是ARP包。第7个数据包是ARP请求广播包，第8个是ARP响应包。每执行一次，会输出两个数据包。分别是ARP请求包和ARP响应包。

1.3.2  ARP报文格式

上面讲解了ARP的一些基础知识。在这个基础上，我们来讲解一下它的报文格式。ARP协议报文被封装在以太网帧头部中传输，如表1-1所示。

表1-1  ARP请求协议报文头部格式

该图中每行长度为4个字节，即32位。其中图中蓝色的部分是以太网（指Ethernet II类型）的帧头部。这里共三个字段，分别如下所示：

第一个字段是广播类型的MAC地址：0XFF-FF-FF-FF-FF-FF，其目标是网络上的所有主机。

第二个字段是源MAC地址，即请求地址解析的的主机MAC地址。

第三个字段是协议类型，这里用0X0806代表封装的上层协议是ARP协议。

接下来是ARP协议报文部分其中各个字段的含义如下：

硬件类型：表明ARP协议实现在哪种类型的网络上。

协议类型：表示解析协议（上层协议）。这里一般是0800，即IP。

硬件地址长度：MAC地址长度，此处为6个字节。

协议地址长度：IP地址长度，此处为4个字节。

操作类型：表示ARP协议数据包类型。1表示ARP协议请求数据包，2表示ARP协议应答数据包。

源MAC地址：发送端MAC地址。

源IP地址：表示发送端协议地址（IP地址）。

目标MAC地址：目标端MAC地址。

目标IP地址：表示目的端协议地址（IP地址）。

ARP协议应答协议报文和ARP协议请求协议报文类似。不同的是，此时以太网帧头部的目标MAC地址为发送ARP协议地址解析请求的MAC地址，而源MAC地址为被解析的主机的MAC地址。同时，操作类型字段为1，表示ARP协议应答数据包，目标MAC地址字段被填充为目标MAC地址强制ARP广播ARP协议全面实战手册协议详解、攻击与防御大学霸。