本文格式為Word版，下載可任意編輯——用Wireshark抓取arpsnmpicmpdhcp等報文的方法

1.ARP基礎知識學習1.1.ARP協(xié)議的概念

ARP,即地址解析協(xié)議，實現(xiàn)通過IP得知其物理地址。在CP/IP網絡環(huán)境下，每個主機分派了一個32位的IP地址，這種互聯(lián)網地址是在網際范圍表示主機的一種規(guī)律地址。為了讓報文在物理線路上的傳輸，必需知道對方目的主機的物理地址。這樣就存在把IP地址變成物理地址的轉換問題。一以太網環(huán)境為例，為了正確的向目的主機傳送報文，就必需將主機的32位IP地址轉換成48位的以太網的地址。這就需要在互聯(lián)層有一組服務將IP地址轉換成物理地址，這組協(xié)議就是ARP協(xié)議。

1.2ARP協(xié)議實現(xiàn)的基本功能

在以太網協(xié)議中，同一局域網中的一臺主機要和另一臺主機進行直接通信，必需知道目標主機的MAC地址。而在TCP/IP協(xié)議棧中，網絡層和傳輸層只關心目標主機的IP地址。這就導致再以太網中使用IP協(xié)議時，數(shù)據(jù)鏈路層的以太網協(xié)議連接到上層IP協(xié)議提供的數(shù)據(jù)中，只包含目的的IP地址。于是需要一種方法，更具目的主機的IP的地址，獲取其MAC地址。這就是ARP協(xié)議要做的事。所謂地址解析（addressresolution）就是主機再發(fā)送陣前將目標地址轉換成目標MAC地址的過程。

另外，當發(fā)送主機和目標及不在同一個局域網時，即便知道目的主機的MAC地址，兩者也不能直接通信，必需有路由轉發(fā)才行。所以此時，發(fā)送主機通過ARP協(xié)議獲得的將不是目的主機的真實MAC地址，而是一臺可以通往局域網外地路由器的某個端口的MAC地址。于是此后發(fā)送主機發(fā)送目的和主機的所有幀，都將發(fā)往該路由，通過他向外發(fā)送。這種狀況成為ARP代理（ARPProxy）.

1.3工作的原理

每臺裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里IP與MAC地址是一一對應的。

例如，主機A(192.168.1.5)主機B（192.168.1.1）發(fā)送數(shù)據(jù).當發(fā)送數(shù)據(jù)時，主機A會在自己的ARP緩存表中查找是否有目標IP地址。假使找到了，也就知道了目標MAC地址，直接將目標MAC地址寫進幀里發(fā)送就可以了；假使緩存表中沒有找到目標IP地址，主機A就會在網絡上發(fā)送一個廣播，Ａ主機ＭＡＣ地址就是“主機Ａ的MAC地址〞，〞，這表示向同一網段內的所有主機發(fā)出這樣的詢問：“我是192.168.1.5，我的硬件地址是\主機A的MAC地址\請問IP地址為192.168.1.1的MAC地址是什么？〞網絡上其他主機并不響應ARP詢問，

只有主機B接收到這個幀時，才向主機A做出這樣的回應：“192.168.1.1的MAC地址是00-aa-00-62-c6-09〞。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發(fā)送信息了。同時A和B還同時都更新了自己的ARP緩存表（由于A在詢問的時候把自己的IP和MAC地址一起告訴了B），下次A再向主機B或者B向A發(fā)送信息時，直接從各自的ARP緩存表里查找就可以了。ARP緩存表采用了老化機制（即設置了生存時間TTL），在一段時間內（一般15到20分鐘）假使表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢。1.4抓包并分析報文1.4.1抓包

環(huán)境搭建方法：用一根網線連接兩臺主機，不妨記做主機A、主機B。主機A向主機B通信。

操作步驟如下：

1.測試環(huán)境，用一根網線將主機A、主機B連接起來，并進行ping操作（ping對方的IP），直到ping同為止。

2.開啟主機B的“本地連接狀態(tài)〞，查看IP地址，也可以在主機B上進行ipconfig/all操作，得到IP。

3．在主機A上進行arp-d操作，目的是清空ARP緩存表。

4.在主機A上進行arp–a操作，目的是查看ARP緩存表的內容是否被清空。5.在主機A上開啟抓包軟件Wireshark,并正確配置網管。6在主機A上ping主機B的IP地址。7.過濾報文，并進行分析。1.4.2報文分析

如下所示，圖1.1是具體的操作命令，圖1.2是主機A向網絡發(fā)出的請求報文，圖1.3是主機B向主機A發(fā)出的響應報文。、

從圖1.2可以看出,源MAC地址為：44:37:e6:46:e7:98,源IP地址為10.1.22.11；目的MAC為：00:00:00:00:00:00,目的IP為10.1.11.22。其中源是指主機A,目的是指B主機。從圖1.3可以看出，源MAC地址為：f4:6d:04:c1:0b:de，源IP為：10.1.11.22；目的MAC地址為：44:37:e6:46:e7:98,目的IP為：10.1.22.11。其中，源是指主機B,目的是指主機A。

從圖1.3可以看出，

圖1.1

圖1.2

圖1.3

2.DHCP的相關學習2.1.DHCP的基礎概念

DHCP(DynamicHostConfigurationProtolo)是一個局域網協(xié)議，使用UDP協(xié)議工作，主要有兩個用途：給內部網絡或網絡服務商自動分派IP地址給用戶和給內部網絡管理員作為對所有計算機做中央管理的手段。

2.2DHCP結構介紹

DHCP是動態(tài)主機配置協(xié)議，他的前身是BOOTP。網絡主機使用BOOTPOM而不是磁盤啟動，BOOTP則可以自動地為那些主機設定TCP/IP環(huán)境。但BOOTP的缺點是，在設定前必需獲得客戶端的硬件地址，而且，與IP是相對靜止的。換言之，BOOTP缺乏“動態(tài)性〞，而DHCP可以說是BOOTP的加強版本，它分為兩部分：一個是服務器端，一個是客戶端。所有的IP網絡設定數(shù)據(jù)都由DHCP服務器集中管理，并負責處理客戶的DHCP要求；而客戶端則會聽從服務器分派下來的IP環(huán)境數(shù)據(jù)。比較BOOTP,DHCP通過“租約〞的概念，有效且動態(tài)的分派TCP/IP設定，而且，作為兼容考慮，DHCP完全照料了BOOTPClient的需求。DHCP的分派形式，首先，必需至少一臺DHCP工作在網絡上面，他會監(jiān)聽網絡的DHCP請求，并與客戶端磋商TCP/IP的設定環(huán)境。

2.3地址分派

IP地址分派方式主要有3中，即手動分派（ManualAllocation）、自動分派（AutomaticAllocation）和動態(tài)分派（DynamicAllocation）。

手動分派是指，網絡管理員為某些少數(shù)特定的Host綁定固定IP地址,且地址不會過期。自動分派是指，一旦DHCP客戶端第一次成功從DHCP服務器端租用到IP地址之后，就永遠使用這個地址。

動態(tài)分派是指，當DHCOP客戶端第一次從DHCP服務器租到IP后，就永久使用該地址，只要租約到期，就釋放（release）這個IP地址。

2.4工作原理

下圖是首次登陸時，DHCP工作過程。

DHCPdscoverDHCPoffer客戶端DHCP服務器DHCPrequestDHCPACKDHCPdiscover:

功能是：尋覓DHCP服務器。具體過程如下：

當DHCP客戶端第一次登錄網絡的時候，客戶發(fā)現(xiàn)本機上沒有任何IP數(shù)據(jù)設定，他會向網絡發(fā)出一個DHCPDISCOVER封包。由于客戶端還不知道自己屬于哪一個網絡，所以封包的來源地址會為0.0.0.0，而目的地址則為255.255.255.255，然后再附上DHCPdiscover的信息，向網絡進行廣播。在Linux下，