wireshark抓取arp,帧的编号

Hardware size :占1字节,硬件地址大小,标识MAC地址长度,这里是6个字节(48bit)。 Protocol size: 占1字节,协议地址大小,标识IP地址长度,这里是4
2 Protocol type: 占2字节,协议类型,标识网络层协

1ARP协议的作用

2交换机的工作原理详解

3ARP协议的报文抓包分析

4以太网广播风暴问题及解决方案

5以太网安全问题辨析
pc1会以ARP的request报文以广播的方式发送给连接这台交换机下面的所有者，例如pc2，pc2收到后会以ARP的reply报文回应，单波的方式回应pc1,c1收到c2的mac地址回应信息，它会将此信息记录在自己的缓存表里面，每台电脑都有自己的缓存表，缓存表里面存有一些pc的ip地址和mac地址对应关系。下一次发送给pc2，就会在自己的缓存表里面查询了，不会再以ARP方式发送广播了，缓存表重启或者随着时间会丢失。必须要知道mac地址，不然在数据链路层就不能完成装帧这个工作的。以太网通讯都需要mac地址，ARP报文是以request发送的，

动态ip地址是通过学习得到的，过段时间会丢失。

arp -d 删除所有报文  arp -a 啥都没有 ,再去Ping 又会重新发送报文  arp -a又会有了

pc1 ping pc2的报文pc3 R1路由器右端都会收不到，因为pc1会通过自身的ip 和掩码比对发现右端不自己不在同一个网段，所以不会发送arp报文。pc1发送报文会发现源mac是自身网卡mac,目标mac通过arp请求不到pc3的mac,目标mac如何填充呢，因为是跨网段通讯，因为是跨网段，所以需要网关，网关可以中转到达其他网段数据，所以pc1 和pc3通讯，发现源ip 自己的，目标ip是另一个网段的，源mac自己的，所以此时目标mac应该是网关的。通过网关来中转。所以pc1和pc3通讯，pc1mac是自己，然后mac到达R1路由器f0/0后，R1会在mac地址表里查到pc3的目标ip ,然后将数据传输到f0/1,到达f0/0是pc1的mac。到达f0/1的mac是f0/0的封装的mac，到达pc3
R2#show mac-address-table查看交换机的mac地址表
Destination Address  Address Type  VLAN  Destination Port

-------------------  ------------  ----  --------------------

c001179c0000          Self          1    Vlan1

c000179c0000          Dynamic      1    FastEthernet1/14

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。
主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

反向地址转换协议（RARP）是局域网的物理机器从网关服务器的ARP表或者缓存上根据MAC地址请求IP地址的协议，其功能与地址解析协议相反。与ARP相比，RARP的工作流程也相反。首先是查询主机向网路送出一个RARP Request广播封包，向别的主机查询自己的IP地址。这时候网络上的RARP服务器就会将发送端的IP地址用RARP Reply封包回应给查询者，这样查询主机就获得自己的IP地址了。

数据包在物理链路上传输 以太网帧 需要目的地的物理地址（MAC）
通过ARP协议来获取同一个网络内的机器的IP地址和Mac的对应关系，为上层协议提供支持，因为上层协议使用IP地址进行通信。

Wireshark 抓包

ARP 广播请求 （由192168188 发起的广播请求，询问谁的IP是19216811）

ARP 应答 （19216811 直接应答 192168188，告知其Mac地址）

其他收到该广播的机器判断19216811不是自己的IP，直接丢弃

只有arp请求

可以看到只会发送ARP请求，且ARP请求没有获得响应，此时无法获取ping的目的地，故不会发送ping（ICMP）请求
且错误显示为： “无法访问目标主机”

先添加IP对MAC的映射关系

用 arp -a 查看结果

ping 测试

只有ping

数据报详情：

当本地的Arp缓存中有IP地址和Mac地址的对应关系时，会直接往目标地址发送数据报，从以太网帧中可以看到目的地Mac就是我们设置的Mac。
此时不会再发送ARP请求，直接发送了Ping请求，且错误显示为： “请求超时”

这里修改 19216811 的Mac地址
arp 命令修改失败：拒绝访问

改用netsh命令修改

比如在浏览器中访问百度

使用wireshar 抓包

使用netsh 命令设置之后，再用 arp -d 19216811 命令删除，在重启之前是可以上网的，下次重启网关的mac地址还将是错误的

需要使用上面的命令删除，完了之后就会变成 “可以访问”

ARP欺骗可以分成两种情况：

发送一系列错误的内网MAC地址给路由器，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

不停发送错误的网关Mac到局域网的机器中，让局域网内的机器建立错误的绑定关系，让局域网内的机器不能正确的将数据包发送到网关设备，导致PC不能上网。

有时间再试试

返回值为1表示已被使用，0表示没有被使用

过滤目的地址
arpdstproto_ipv4==1921681214

---