實(shí)驗(yàn)7-分析ARP協(xié)議

1、實(shí)驗(yàn)7：分析ARP協(xié)議1. 實(shí)驗(yàn)?zāi)康?)深入理解地址解析協(xié)議(ARP)的工作原理。 2)理解IP和以太網(wǎng)協(xié)議的關(guān)系，掌握IP地址和MAC地址的映射機(jī)制，搞清楚IP報(bào)文是如何利用底層的以太網(wǎng)幀進(jìn)行傳輸?shù)摹?. 實(shí)驗(yàn)環(huán)境1)運(yùn)行Windows 2008 Server/Windows XP/Windows 7操作系統(tǒng)的PC一臺(tái)。 2)PC具有以太網(wǎng)卡一塊，通過雙絞線與網(wǎng)絡(luò)相連；或者具有適合的蹤跡文件。 3)每臺(tái)PC運(yùn)行程序協(xié)議分析儀Wireshark。3. 實(shí)驗(yàn)步驟 1)查看本機(jī)因特網(wǎng)硬件地址 ipconfig是Windows操作系統(tǒng)中調(diào)試網(wǎng)絡(luò)配置的常用命令，其主要功能包括顯示主機(jī)的網(wǎng)絡(luò)配置信息(通

2、過/all參數(shù))、釋放獲得的IP地址信息(通過/release參數(shù))，或者重新獲取ip地址信息(通過/renew參數(shù))等。本次實(shí)驗(yàn)主要學(xué)習(xí)使用ipconfig查看計(jì)算機(jī)網(wǎng)卡的物理地址，對(duì)其他功能感興趣的讀者可以通過ipconfig /?命令查看相應(yīng)的使用幫助。 ipconfig基本命令在“運(yùn)行”窗口中輸入“cmd”后，在打開的“命令提示符”窗口中輸入“ipconfig /all ”命令，可以看到類似于圖所示的有關(guān)網(wǎng)絡(luò)連接的信息。其中，主機(jī)的名字為Jess, 以太網(wǎng)絡(luò)適配器為 Qualcomn Atheros AR0152 PCI-E Fast Ethernet Controller，其 MAC

3、 地址為F0-4D-A2-42-47-BC，DHCP功能開啟，IP地址為192.168.1.102，掩碼為255.255.255.0，默認(rèn)網(wǎng)關(guān)是192.168.1.1，DNS服務(wù)器是50.20.127.28和50.20.127.170。 2)使用ARP命令 通過ARP命令能夠顯示和修改ARP高速緩存中IP地址和MAC地址的映射表，與ipconfig類似，該命令同樣包含多種參數(shù)，可以首先在“命令提示符”界面中輸入“arp /?”查看ARP命令的使用幫助，如圖32所示。 ARP幫助信息 由圖可以看到，ARP命令主要功能包括顯示當(dāng)前ARP高速緩存中全部的IP地址和MAC地址映射信息、刪除當(dāng)前ARP高

4、速緩存中的地址映射信息、以及增加一條靜態(tài)地址映射信息等，下面分別對(duì)這3個(gè)主要功能加以說明。 在“命令提示符”界面中鍵入“arp a”指令，可以查看本機(jī)ARP表中的全部?jī)?nèi)容，如圖所示?？梢钥吹?，在ARP高速緩存表中每個(gè)表項(xiàng)包括3個(gè)部分：主機(jī)IP地址，主機(jī)物理地址以及表項(xiàng)類型，其中表項(xiàng)類型中dynamic表明該表項(xiàng)狀態(tài)為動(dòng)態(tài)更新，一段時(shí)間未刷新將會(huì)被刪除，static表明該表項(xiàng)為靜態(tài)綁定，除非主動(dòng)刪除該表項(xiàng)將一直存在。 查看本機(jī)ARP緩存表中信息 “arp d”命令用于主動(dòng)清除ARP表中的全部記錄，如圖34所示，執(zhí)行過“arp d”命令后，再次執(zhí)行“arp a”命令可以發(fā)現(xiàn)系統(tǒng)提示不存在ARP表項(xiàng)

5、。 主動(dòng)清空ARP表項(xiàng) 如果僅希望刪除ARP表中的部分表項(xiàng)，可以在“arp d”命令后加相應(yīng)的IP地址參數(shù)，例如“arp d 26.28.249.254”將僅刪除ARP表中IP地址為26.28.249.254的表項(xiàng)。 “arp s”命令允許人們手工在ARP表項(xiàng)中增加一條IP地址和物理地址的綁定記錄，其命令格式為“arp s 26.28.249.1 00-12-36-fe-eb-dc”，如圖35所示，執(zhí)行該命令后，在ARP表中增加了一條表項(xiàng)，并且其類型字段為static，表明是一個(gè)靜態(tài)綁定的表項(xiàng)。 手工添加一條靜態(tài)ARP表項(xiàng) 3)分析ARP協(xié)議工作過程 (1) 在實(shí)驗(yàn)室中選擇兩臺(tái)相連的計(jì)算機(jī)，清

6、除ARP表中的所有項(xiàng)目。 本次實(shí)驗(yàn)選擇IP地址為192.168.1.102的主機(jī)A和192.168.1.101的主機(jī)B進(jìn)行實(shí)驗(yàn)，首先在主機(jī)A與B上分別執(zhí)行“arp d”命令清除ARP表中的所有項(xiàng)目，如圖所示。 清空主機(jī)ARP表項(xiàng) (2) 在主機(jī)A上運(yùn)行Wireshark程序，執(zhí)行包俘獲操作。 (3) 從主機(jī)A向主機(jī)B發(fā)送Ping包，稍后停止發(fā)Ping包。分別檢查兩臺(tái)主機(jī)的ARP表中項(xiàng)目。 如圖37所示，可以發(fā)現(xiàn)此時(shí)主機(jī)A的ARP表項(xiàng)中增加了一條關(guān)于主機(jī)B的表項(xiàng)，檢查主機(jī)B的ARP表可以發(fā)現(xiàn)類似結(jié)論。 查看主機(jī)ARP表項(xiàng)(4) 從俘獲的分組中找出ARP報(bào)文，并分析ARP協(xié)議執(zhí)行的全過程，畫出或?qū)?/p>

7、出ARP協(xié)議報(bào)文的交互過程，分析實(shí)驗(yàn)結(jié)果和現(xiàn)象。 ARP請(qǐng)求報(bào)文分析 圖顯示了本次通信過程的分組俘獲情況，并且為了清晰起見，運(yùn)用arp作為過濾器，以便只顯示通信過程中的ARP報(bào)文，分析發(fā)現(xiàn)報(bào)文57為主機(jī)A發(fā)送的ARP請(qǐng)求報(bào)文，進(jìn)一步分析其報(bào)文結(jié)構(gòu)可以發(fā)現(xiàn)，ARP 報(bào)文是封裝在以太幀中傳輸，并且在以太幀中協(xié)議類型為0x0806，其源MAC地址為主機(jī)A的MAC地址f0:4d:19:a9:e4:8c，目的MAC地址為廣播地址ff:ff:ff:ff:ff:ff，表明ARP請(qǐng)求報(bào)文是一個(gè)廣播幀。ARP協(xié)議中硬件類型為以太網(wǎng)，協(xié)議類型為IP，硬件地址和協(xié)議地址的長(zhǎng)度分別為6字節(jié)(48 bits MAC地址

8、)和4字節(jié)(32 bitsIP 地址)，操作類型為 ARP 請(qǐng)求報(bào)文(0x0001)，發(fā)送方的 MAC地址和 IP 地址分別為f0:4d:19:a9:e4:8c 和 192.168.1.102，目標(biāo)方的 MAC 地址未知(全 0 填充)，IP 地址為192.168.1.101。 報(bào)文58為主機(jī)B向主機(jī)A發(fā)送的ARP應(yīng)答報(bào)文，圖39給出了其詳細(xì)結(jié)構(gòu)，可見其同樣是封裝在以太幀中傳輸，但源MAC地址為主機(jī)B的MAC地址20:89:84:20:93:bb，目的MAC地址為主機(jī)A的MAC地址f0:4d:19:a9:e4:8c。ARP操作類型為ARP應(yīng)答報(bào)文(0x0002)，發(fā)送方的MAC地址和IP地址分

9、別為20:89:84:20:93:bb和192.168.1.101，目標(biāo)方的MAC地址為f0:4d:19:a9:e4:8c，IP地址為192.168.1.102。 ARP應(yīng)答報(bào)文分析 完成上述交互過程后，通信雙方均已獲得彼此的MAC地址，隨后即可以進(jìn)行正常通信。思考：在本次通信過程中，為何只有主機(jī)A到主機(jī)B的ARP請(qǐng)求？主機(jī)B是如何獲得主機(jī)A的MAC地址的？因?yàn)榘l(fā)送方已經(jīng)將自己的IP和MAC地址廣播的方式發(fā)送出去，等待主機(jī)B的回應(yīng)。4. 相關(guān)概念 每一個(gè)主機(jī)都設(shè)有一個(gè)ARP高速緩存(ARP cache)，里面有所在的局域網(wǎng)上的各主機(jī)和路由器的IP地址到硬件地址的映射表，這些都是該主機(jī)目前知道的一些地址。例如，當(dāng)主機(jī)A欲向本局域網(wǎng)上的某個(gè)主機(jī)B發(fā)送IP數(shù)據(jù)報(bào)時(shí)，就先在其ARP高速緩存中查看有無主機(jī)B的IP地址。如有，就可以查出其對(duì)應(yīng)的硬件地址，再將此硬件地址寫入MAC幀，然后通過局域網(wǎng)把該MAC幀發(fā)往此硬件地址。若查不到主機(jī)B的IP地址的項(xiàng)目，主機(jī)A就自動(dòng)運(yùn)行ARP，向所在局域網(wǎng)廣播一個(gè)ARP查詢，查詢主機(jī)B的硬件地址，該查詢中包含主機(jī)B的IP地址。主機(jī)B在應(yīng)答中包含其硬件地址，主機(jī)A將B的硬件地址添加到其ARP緩存中供以后使用。5. 注意事項(xiàng) 1) 除本次實(shí)驗(yàn)用到的功能外，ipco