arp协议

ARP协议（同一网段） 一：查看arp表 当主机A要与主机B通信时，需要主机B的MAC地址，以便在数据链路层进行数据封装，此时会查询自己主机内的arp表中有没有和主机B的IP：10.1.1.2/24相对应的MAC地址，如果没有，此时需要用arp协议来获取目标主机的MAC地址。 二：发送ARP请求包（是否执行看第一步骤） 此时主机A发送一个帧（arp请求包同时也是一个广播包）： 帧头中目的MAC地址为全F的广播地址，源MAC为主机A的MAC。 ARP部分（为一个请求包 ）：目的IP为主机B的IP地址 源IP为主机A的IP地址 由于目的MAC不知道所以为全0的MAC地址 源MAC为主机A的MAC地址 三：发送过程（交换机） 交换机接收到ARP请求包，解封装看到帧头的目的MAC为全F的广播MAC，中所以向所有与之相连的网络设备转发该包（主机B和主机C）并且将主机A的MAC记录到交换机的ARP缓存表，主机B解封装发现目的IP不是主机B的IP，所以将该包丢弃。主机C比较自己的IP地址和ARP请求报文中的目标IP地址，当两者相同时将ARP请求报文中的发送端（即主机A）的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A，其中包含了自己的MAC地址。 四：ARP响应 主机C接收到来自主机A的ARP请求包后

当网络设备有数据要发送给另一台网络设备时，必须要知道对方的网络层地址（即IP地址）。IP地址由网络层来提供，但是仅有IP地址是不够的，IP数据报文必须封装成帧才能通过数据链路进行发送。数据帧必须要包含目的MAC地址，因此发送端还必须获取到目的MAC地址。 通过目的IP地址来获取目的MAC地址 的过程是由ARP（Address Resolution Protocol）协议来实现的。 ARP 数据在链路层进行封装时需要目的MAC地址 。同一网段为目的MAC地址，不同网段为网关MAC地址。 ARP数据包格式 ARP是 广播类型 。例如图一所示，主机A发送一个ARP数据包询问谁的IP地址是10.1.1.2？10.1.1.2IP指向的主机（主机B）接收到该广播以后回复一个ARP数据包给发送端（主机A），发送端将10.1.1.2中的MAC地址缓存，这样就实现通过IP地址得到MAC地址的目的。 ARP报文不能穿越路由器，不能转发到其它广播域。 抓包显示： 如图所示，很容易就能看出10.1.1.2主机回复了它的MAC地址。 打开可看到： 下面再来看看回复的报文： 很明显能看到从主机B（10.1.1.2）回复的报文为单播报文。因为arp请求包中已经包含了主机A（10.1.1.1）的IP和MAC地址，所以此时回复只需要单播即可。 ARP缓存 如图所示，当主机A想要去请求主机C的MAC地址时

一、链路层转发 　　交换机：根据Mac地址 转发数据帧 。 交换机内 有一张 记录着局域网 主机MAC地址与交换机接口的对应关系的表 ，交换机就是根据这张表负责将数据帧传输到指定的主机上的。 　　工作原理：交换机在接收到数据帧以后，首先、会记录数据帧中的源MAC地址和对应的接口到MAC表中，接着、会检查自己的MAC表中是否有数据帧中目标MAC地址的信息，如果有则会根据MAC表中记录的对应接口将数据帧发送出去(单播)，如果没有，则会将该数据帧从非接受接口发送出去(广播)。 　　单个交换机传输数据帧过程： 在pc1上ping pc2的ip，在构造icmp报文前，需要知道目标主机的mac地址，由于此时pc1上没有匹配的mac地址条目，pc1将会先发送广播报文。 交换机收到此数据帧后，首先将数据帧中的源MAC地址和对应的接口(接口为feth26) 记录到MAC地址表中。 然后交换机会检查自己的MAC地址表中是否有数据帧中的目标MAC地址的信息，如果有，则从MAC地址表中记录的接口发送出去，如果没有，则会将此数据帧从非接收接口的所有接口发送出去(也就是除了feth26接口)。 这时，局域网的所有主机都会收到此数据帧，但是只有主机B收到此数据帧时会响应这个广播，并回应一个数据帧，此数据帧中包括主机B的MAC地址。 当交换机收到主机B回应的数据帧后，也会记录数据帧中的源MAC地址

XX公司网络卡断问题 https://www.aliyun.com/product/cas?source=5176.11533457&userCode=kv73ipbs&type=copy 1. 问题现象 2017年XX公司机关网络出现几次异常情况，并寻求内外部专家对异常情况进行诊断分析，均未找到原因，具体情况如下： 1.XX分公司机关网络IP地址为10.0.0.1-10.0.0.254，上半年约有15台电脑出现不能上网现象，但是修改IP地址后可正常使用，约三四天后还需再修改IP地址才能正常使用，该现象大约持续2个月左右。 2.10月中旬，有一台电脑突然出现断网现象，经过修改IP地址后可以正常使用，目前再未出现问题。 3.9月、11月和12月共有三台电脑正在使用的时候突然断网，用笔记本电脑测试网线正常，IP地址配置正常，但是不能上网，最后更换网卡后，网络恢复正常。 4. 12月6号上午视频会期间网络出现闪断3次， 12月7号上午视频会期间网络出现闪断1次，下午闪断1次，12月8号上午视频会期间网络出现闪断2次，断网时间约在1分钟之内，然后网络自行恢复。 5.12月10日，业务运作部网络突然断开，重启交换机后，网络恢复，反复出现三次。 6. 9月21日，下午4点公司到分支机构的所有网络（包含高清监控）全部断开，持续到下午6点恢复，联通公司也未找到原因，但是高清视频监控一直卡顿严重

因为主机判断别的主机的网段时总是以自己的子网掩码来判断，所以可能导致误以为不同网段的主机与自己同网段，这个时候连接这两个的路由器就要开启代理arp，让路由器来给该主机的arp请求报文作出相应的arp应答。 本文转自https://blog.csdn.net/iteye_11541/article/details/82519824 概述:代理ARP是ARP协议的一个变种。对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信，网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router，使得子网对该主机来说变得更透明化。同时也会带来巨大的风险，除了ARP欺骗，和某个网段内的ARP增加，最重要的就是无法对网络拓扑进行网络概括。代理ARP的使用一般是使用在没有配置默认网关和路由策略的网络上的。 什么代理ARP:proxy ARP就是通过使用一个主机(通常为router),来作为指定的 设备 对另一设备的ARP请求作出应答。 工作原理: 图表 这个主机A要发送数据包到主机D。图表显示主机A使用的是16位掩码。（注意这一点！）主机A相信目的网段是直接连接在172.16.0.0上的。于是主机A直接发送一个ARP请求给目的站点。主机A

目录 总言 一、工具攻击 （一）目的 （二）平台及工具 （三）步骤及结果分析 1、准备工作 2、禁止上网攻击 3、定时IP冲突攻击 4、不断IP冲突攻击 5、总结 二、编码实现 （一）方案 （二）步骤及结果分析 1、建立工程、并配置winpcap。 2、查看宿主机和虚拟机IP地址和MAC地址。 3、代码： 4、攻击效果 5、结果分析 总言 首先使用攻击工具进行攻击，根据抓包结果，分析ARP欺骗实验的原理。然后根据原理，进行编码实现ARP欺骗攻击。 一、工具攻击 （一）目的 运行WinArpAttacker或Ettercap，扫描在线主机，对目标主机进行“禁止上网”、“IP冲突”等攻击，查看目标主机状态，通过WireShark等抓包工具，捕获ARP欺骗攻击的数据包，分析ARP攻击的原理。 （二）平台及工具 VMware、WinArpAttacker、WireShark。 （三）步骤及结果分析 本次工具攻击在VMware的两个桥接模式的虚拟机（虚拟机一和虚拟机二）上完成。在一台虚拟机上通过WinArpAttacker对另一台虚拟机进行了“禁止上网”、“定时IP冲突攻击”和“不断IP冲突”攻击，并通过WireShark抓包工具捕获ARP欺骗攻击的数据包，根据结果对ARP攻击的原理进行了分析。 1、准备工作 启动虚拟机，打开命令行程序cmd.exe，用ipconfig命令查看虚拟机IP信息

https://blog.csdn.net/salmonwilliam/article/details/85274043 ping ARP Tracert Route ipconfig Netstat Nbtstat Pathping Netsh net __________________________________________________________________________________________________ Arp –a :显示所有的ARP表项 其他参数: Arp -s:在ARP缓存中添加一条记录. C:\>Arp -s 126.13.156.2 02-e0-fc-fe-01-b9 Arp -d:在ARP缓存中删除一条记录. C:\>Arp -d 126.13.156.2 Arp -g:显示所有的表项 C:\>Arp -g _____________________________________________________________________________________________________ tracert 是为了探测源节点到目的节点之间数据报文经过的路径. 如果此时TTL=0则向源节点报告TTL超时这个特性,从一开始逐一增加TTL,直到到达目的站点或TTL达到最大值255. Ø功能:探索两个节点的路由.

我是计网渣渣，大家加油(ง •_•)ง 实验一 接网线水晶头 实验二 网络协议分析仪的 基本 应用 【实验目的】 1．熟悉协议分析工具Wireshark的安装过程； 2．掌握Wireshark的基本使用方法。 【实验设备】 1．提供Wireshark软件安装包； 2．提供每人连网计算机1台 【实验内容】 下载和安装好Wireshark之后，启动Wireshark并且在接口列表中选择接口名 ， 然后开始在此接口上抓包。 点击接口名称之后，就可以看到实时接收的报文。Wireshark会捕捉系统发送和接收的每一个报文。 上端面板每一行对应一个网络报文，默认显示报文接收时间（相对开始抓取的时间点），源和目标IP地址，使用协议和报文相关信息。点击某一行可以在下面两个窗口看到更多信息。“+”图标显示报文里面每一层的详细信息。底端窗口同时以十六进制和ASCII码的方式列出报文内容。 【实验结果】 在窗口顶端过滤栏输入“ dns ” 并点击Apply（或按下回车）就会只看到DNS报文。输入的时候，Wireshark会帮助自动完成过滤条件。 如图 1所示。 【实验心得】 通过本次实验我熟练掌握了最基本的 过滤报文的 方式 和 Wireshark的色彩标识，对Wireshark有了基本的了解。 Wireshark通过颜色让各种流量的报文一目了然。比如默认绿色是TCP报文，深蓝色是DNS，浅蓝是UDP

ARP协议 ARP高速缓存：ARP把保存在高速缓存中的每一个映射地址项目都设置生存时间。凡超过生存时间的项目就从高速缓存中删除掉。 ARP是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题。 IP协议 利用IP协议可以使这些性能各异的网络从用户看起来好像是一个统一的网络。 ICMP协议 为了提高IP数据报交付成功的机会，在网际层用了网际控制报文协议ICMP。 ICMP允许主机或路由器报告差错情况和提供有关异常情况的报告。 ICMP报文格式 ICMP协议的应用 PING PING用来测试两个主机之间的连通性。 PING使用了ICMP回送请求与回送回答报文。 PING是应用层直接使用网络层ICMP协议的例子，它没有通过运输层的TCP或UDP协议。 Traceroute Traceroute跟踪一个分组从源点到终点的路径，使用了ICMP时间超过差错报告报文。 原理： Traceroute从源主机向目的主机发送一连串的IP数据报，数据报中封装的是无法交付的UDP用户数据报。 第一个数据报P1的TTL = 1，当P1到达路径上的第一个路由器R1时，路由器R1先收下它，接着把TTL - 1 = 0,R1丢弃P1，并向源主机发送一个ICMP时间超过差错报告报文。 源主机接着发送第二个数据报P2，并且TTL = 2。P2先到达R1，R1收下它并把TTL - 1 = 1

TCP/IP协议包含众多协议，本章，我们介绍几个相关协议：ICMP协议，ARP协议，DNS协议，学习他们对于理解网络通信很有帮助。 一、TCP/IP协议族体系结构以及主要协议： TCP/IP协议从下到上分四层：数据链路层，网络层，传输层，应用层。 应用层　　ping　　OSPF　　DNS　　用户空间 传输层　　　　TCP　　　　　　　　 UDP 网络层　　ICMP　 　　　　 IP　　 内核空间 数据链路层　　　　ARP　　data-link　RARP 1、（1）数据链路层：实现了网卡接口的网络驱动程序，以处理数据在物理媒介（以太网，令牌环网）上的传输。 （2）俩个常用的协议：ARP（地址解析协议）,RARP：他们实现了IP地址和机器物理地址(MAC)之间的相互转换。 （3）网络层必须使用IP地址来寻找一台机器，而数据链路层使用MAC寻找一台机器，因此网络层必须使用ARP将IP地址转换为物理地址，才能使用数据链路层提供的服务，这就是ARP协议的用途。 2、（1）网络层：网络层实现数据包的选路和转发。WAN通常使用众多的路由器来连接分散的主机或LAN，因此，通信的俩台主机一般不是直接相连的，而是通过多个中间节点（路由器）连接的。网络层的作用就是选择这些中间节点，确定主机之间的路径。网络层隐藏了上层协议网络拓扑的连接的细节，使得在传输层和网络应用程序看来，通信的双方是直接相连的。 （2