ARP数据包分析:网络通信背后的秘密

地址解析协议（arp，address resolution protocol）的功能是把ip地址转换成物理地址（也就是mac地址）。因为在网络里，交换机依赖内容可寻址存储器（cam，content addressable memory）运作，而cam存储器中保存了一张arp表，这张表记录着每个端口下连接设备的mac地址信息。本次实验中，我们将运用wireshark抓包工具来捕捉并分析arp协议的数据包，从而更深入地理解它的运行机制及数据交互流程。

1、 引用一张简单的网络图，它清楚地展现了PC如何构建ARP缓存表的过程。

2、 在使用Wireshark捕捉ARP数据包并加以分析时，首先关注的是ARP请求包。在这个数据包的帧结构中，总大小为42字节。以太网部分显示目标MAC地址为ff:ff:ff:ff:ff:ff，这是一个广播地址，意味着它会向整个局域网内的所有设备发送请求。然后是ARP头部的信息，这里的目标MAC地址为空，用全0代替，这表明设备正在寻找某个特定IP对应的MAC地址。

3、 然后查看ARP回应，其显著特点是操作码（Opcode）为2，表明这是一个回应包。此时，发送者的MAC地址和IP地址已经变成了目标MAC和IP地址，这就意味着我们已经得到了对方的MAC地址。

4、 若要查询MAC地址，可以在命令提示符中输入arp -a，这个指令适用于Kali和Windows操作系统。

5、 反向地址解析协议（RARP）能够让局域网里的物理设备借助网关服务器的ARP表或者缓存来获取自身的IP地址。简而言之，RARP主要用于无盘设备在启动时确定自己的IP地址。从下面的图片可以清楚地看到RARP的工作方式。

6、 首先看RARP请求包，其主要区别在于：RARP的源MAC地址和目标MAC地址都是自己的MAC地址，因为需要获取IP地址，所以IP地址设置为0.0.0.0。

7、 RARP回应包以单播形式发送，按照缓存表将请求的MAC与IP地址匹配后返回，其操作码值为4。