arp 将ip地址解析为mac地址物理地址
在局域网中使用因为在数据链路层是以太网帧的形式进行将ip层的数据进行打包处理发送;所以打包成对应的以太网帧格式(需要目的的ip和对应的mac地址)
arp的应答和请求格式的如下图
图 1 ARP报文结构 硬件类型:表示硬件地址的类型。它的值为1表示以太网地址; 协议类型:表示要映射的协议地址类型。它的值为0x0800即表示IP地址; 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4; 操作类型(OP):1表示ARP请求,2表示ARP应答; 发送端MAC地址:发送方设备的硬件地址; 发送端IP地址:发送方设备的IP地址; 目标MAC地址:接收方设备的硬件地址
目标IP地址:接收方设备的IP地址。
通信过程:
当在同一个网段中
首先先打包以太网帧 由于只知道目标的ip不知道他的mac所以他要先查看自己的arp映射表如果有直接找到mac地址直接发送
如果没有先给所有在lan上的主机返送mac为全0,所有在lan上都可以看到这个arp请求报文,但只有该ip的主机 进行回复报文并且将发送该请求报文的发送机的ip和mac地址放到自己的映射表中,然后给发送机回复自己的ip和mac以帧的形式打包然后发送机收到该报文,将目标机的ip和mac地址放到自己的映射表中;在打包发送数据。ip数据包;
不同网段的操作
当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。
动态arp
静态arp
无法更新ip和mac地址的关系更安全
免费arp
tcpdump 获取以太网帧
tcpdump -i eth0 -ent '(dst 192.168.0.125 and src 192.168.0.141) or (dst 192.168.0.141 and src 192.168.0.125)'
