ARP原理--抓包分析.pdf

环境:一台中文XP,一台英文XP,双机用交叉线直连.起Sniffer 抓包观察. A:IP 10.1.1.1/8 B:IP 11.1.1.1/8 1.无网关,A ping B,报Destination host unreachable.显然,A 机器发现对方与 自己不是同一网段,试图寻找网关,但网关不存在,所以报主机不可达,B 上的 Sniffer 未抓到任何包,观察网卡也是只发不收.显然数据没有出去,也没有发生 卷一上所说的ARP 广播过程. 2.网关设成对方IP,能正常PING 通.为什么能通?从A 计算机Sniffer 上抓到的 包可以看出，A 在PING 对方过程中,A 首先进行了ARP 广播,它广播询问11.1.1.1 的MAC 是什么!但这里有个问题,这个11.1.1.1 到底指的是PING 中指定的 11.1.1.1 还是网关中的11.1.1.1 呢?先不管它,一会实验就明白了.反正此时的 结果是A 问11.1.1.1 的MAC,显然这个ARP 广播是可以被B 收到的(为什么就不 用说了吧),而11.1.1.1正好就是B 的IP地址,理所当然B 要回应这个ARP 请求. 下图是A 上的SNIFFER,A 首先进行了ARP 广播,然后收到了B 的应答. 这样A 就有了B 的MAC,而B 在接到A 的ARP 广播时候就学到A 的MAC,所以双方 可以PING 通. 3.网关设成自己,A PING 对方一样是通的,A 上抓包如下: (抓到的结果与第2 种情况一样,所以借用第2 种情况的图),A 依然是先广播询问 11.1.1.1的MAC,这个ARP 广播被B接到后,B有义务应答,于是双方知道对方MAC, 所以能PING 通.与第2 种情况不同的是,这里可以明确知道ARP 中的11.1.1.1 指的是PING 中所指定的IP地址而不是网关(此时A 网关是10.1.1.1 了),那么第 2 种情况中的11.1.1.1 也指的是PING 中所指定的IP ?做个实验4 看看! 4.网关设成自己,PING 3个不存在的IP,一个是和自己在同一网段的,一个是和网 关在同一网段的,一个是和谁都不在同一网段的: 4.1:PING 和自己同一网段的IP,PING 返回超时,在B 上抓包结果如下: 可以看出,A 发出了询问10.1.1.2 的ARP 广播而不是询问网关(10.1.1.1)的广播, 由于这个IP 不存在,所以没有机器做出回应. 4.2:PING 和网关同一网段的IP,超时,B 上接到的是A 发出的关于11.1.1.2 的ARP 广播,由于不存在11.1.1.2 这个地址,所以没有机器回应.图略. 4.3:PING 和谁都不在一个网段的IP,超时,B 上接到是A 发出的关于 100.1.1.1 的ARP 广播,由于不存在100.1.1.1 这个地址,所以没有机器回应.图 略. 从上面的3 个付实验来看,当网关设置成自己的时候,不管PING 的地址是什么, 计算机发出的ARP 广播都是直接询问PING 中所指定IP 对应的MAC,没有询问网 关的MAC,这符合卷一上的描述,其实计算机在广播询问PING 命令指定的IP之前 还是会先问网关的MAC 的,只是这里由于网关是自己所以这一步就被跳过了,到 底是不是这样,继续做下面的实验来测试. 5.A 计算机网关设成B 的IP 地址,但B 的网关设置成一个不存在的IP(且与A/B 都不在同一网络),PING 实验4 中的三种情况, 5.1:PING 与自己同一网段IP,抓包可以看到B 上接到询问 10.1.1.2 的ARP 广播,但10.1.1.2 是不存在的IP,所以没有得到回应. 5.2:PING 与网关同一网段IP,在A 上抓包,可以看到A 首先发出了关 于网关11.1.1.1 的ARP 广播请求(对应B 接到这个广播请求,图略),B 对这个 11.1.1.1 进行了ARP 应答.但这个IP 是不存在的所以PING 结果超时. 5.3:PING 与谁都不在同一网段,超时,结果类似5.2 结果,A 发出了关于网关 11.1.1.1 的请求,B 做了应答.但PING 是超时的. 5.4:PING 计算机B 的地址,结果超时,为什么这个也不通呢?按说按照上 面的测试,AB 计算机都能获得对方MAC,以太网下,有MAC 应该就有通信的可能, 可这个时候却不通,查看Sniffer 抓到的包可以发现: A 发出了关于11.1.1.1 的ARP 广播请求,B 对11.1.1.1 做出应答,但是