【arp】原理·作用·危害·现象·建议

ARP的内

ARP的全称是:Address Resolution Protocol，也是地址解析协议。顾名义，主要作用就“地址解析”，即通过目设备的IP地，查询

在局域网中，如果要在两台主机之进行通信，就必须要知道目标主机的IP地，但是起到传输数据的物理设备网卡并不能直接识别IP地，只能识别其件址MAC地址，MAC地是一个全唯一的序列号并由1216进制数成。主机之间的通信，都网卡之间的通信，而网卡之间的通信都是根据对方的 MAC地址来进行工作的，而ARP协议就是一个将

ARP在局域

而在规模越来越庞大的局域网中，存在上百台主机已很及，如何在这么多的主机的MAC地址中，快速又准确的记住每个网卡对应的IP地址和MAC地址的对应关系，这就要依靠一个存在于所有主机中的ARP缓存表来进行记录。例如局域中有A、B两台主机并过交机相连接，当A需要给B所的IP地址发据时，A就要先查找己的ARP缓存表，看其中是否存在这个IP的MAC地址，如有就发送。如果没有，那么A就要整个域网发广播要求使用这个IP地址的主机进行响应，B收到广播会向A返回一响应信息，说明自己MAC和A所要发的IP地址是对应关系，而A收B返回的信息后会将这个 IPMAC进行记录，以后如果要再发送信息，则可以从ARP缓存表中直接查找发

ARP病毒

ARP缓存表记录了所有和和其主主机进通讯过的其他电脑

系，而漏洞也恰恰在此。如果域网中的一台电脑进行欺骗性地使用自的IP地址来冒充其他主机的MAC地址。比如:在BC的通讯时，这出现一台A器，它告诉B说它就C，结果B机器就认它是C 了，且在B的缓存，原C的IP地址被对应到了A的MAC上。于是，本要从B发送到C的消息就

ARP病毒就是利用上原理来对整个局域网来进行破坏，其中除了使其他电脑上不了网之外，还可以利用身“帮”网转发信息的特权给数据包添加病代码。比，用户打开本正常的网页，但是由于ARP病毒的在，这个原本正常网页会带上

ARP攻击时的

1、网上银行、

一些人为了获取非法利，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登时的加密解算法，通过截取局域网中的数包，然分析数据讯的方法截获用户的信息。运行这类木病毒，就可以获得个局域网中

2、网速时快时慢，极其不定，但单进行光纤数据

当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内有的计算及网络设备发送大量非法ARP欺骗数据，阻塞网络通道，造成网设备的承载过，导致网

3、局域网内频繁性区域或体掉线，启计算机或网络

当带有ARP欺骗程序的计算机在网内进行通讯时，就导致繁掉线，出现此问后重启计算机或禁用网卡会

=================================================================

=====

给IDC客户

由于机房客户复杂(主要是小客户增加了很多，这些小客户的技术水平参差不齐，如:的客户没给系统打补丁，有的杀软件没级，有没安装防火墙。给机房的其他用带来了很大的扰)，从

(1)使用稳定、

如:windows2003，linux内核在2.4以上。

(2)及时更

(3)不要打开

(4)安装杀毒软件，并及时更新病毒库

?IDC机提供网

(5)安装防火墙，最安装具有

如:arp防火墙

(6)建议双

向客服申请。

=================================================================

================

IDC?NOC

【arp攻击交换机路由表】故障主机的IP--->mac---->arp病毒宿主

(1)故障主机

?what's up(供整易用的控机制，全方位监控

#show ip arp vlan1 //显示同

?受攻

#show ip arp(ip||mac) //显示对应的mac或ip

(2)通过此故障ip查

(3)通过mac找造成

备份

(4)封掉此mac(

(5)通知客户、客服、5680

(6)clear arp

=================================================================

查看? arp 源 mac

//显示所有端口、状态、协

描述、vlan

#show run int f0/1 //显示一个端口的描述、

vlan、

#show ip int brief //vlan、IP、

port

--------------------------------------------------------------------------------------

#show ip arp vlan1 //显示同一vlan内

的mac、vlan

---------------------------------------------------------------------------------------------

#show ip arp(ip||mac) //显示对应的mac

或ip

--------------------------------------------------------------------------------------------------------------

#show arp | inc 10.1.1.168 //显示此ip对

应的mac、vlan

--------------------------------------------------------------------------------------------------------------

#show mac-address-table | include aaaa.bbbb.cccc //mac、动

态、端口

--------------------------------------------------------------------------------------------------------

====================================================================

封?解封(mac)

(1)在三层设备

#show ip arp | inc 10.11.12.13 //找到此ip对应的mac

(2)在二层设备

#config t

#f0/9

#mac access-list extended qu6zhi //列表

#mac access-group san-xi-yi-ze in //生效

-----------------------------------------------------------------------------------------------------------------------

#no mac access-group san-xi-yi-ze in //失效

网络层arp协议的作用

网络层 arp协议的作用

分类：计算机应用文摘（文摘）计算机网络 2006-04-14 11:36 2220人阅读评论(4) 收藏举你知道，数据包在局域网上是么传输的？是靠什么来吗？也许你会说是靠IP地址，那么你正确了一半。其实真正传输过程中

现在我们就用实例来模一下传

A(IP:192.168.85.1 MAC:AA-AA-AA-AA-AA-AA)，另一台计算机

B(IP:192.168.85.100 MAC:BB-BB-BB-BB-BB-BB)

见 Reply from 192.168.85.100: bytes=32 time

192.168.85.100，再带上自己的源IP，和源 MAC。那么个网段的所有计算机都会接收到来自A的 ARP请求，由于每台计机都有自己唯一的MAC和IP，那么它会分析目的IP即 192.168.85.100是不是自己的IP？如果是，网卡会自动丢弃数据包。如果B接收到了，经过分析，目的IP是自己的,于是更新自己的ARP高速缓存，记录下A的IP和MAC。然后B应A一个ARP应答，就把A的源IP，源MAC变成现在IP，和目的MAC，再带上自己源IP，源 MAC，发送给A。当A机接收到ARP应答后，新自己的ARP高速缓存，即把arp应的B机的IP，源MAC的映射关系记录在高缓存中。那么现在A中有B的MAC和IP，B机中也有A的MAC和IP。arp请求和应答程就结束。由于arp高速缓存是定时自动更新的，在没有静态定的情况下，IP和MAC的射关系会随时间流逝自动消失。在以后的通信中， A在B通信时，会首先察看arp高速缓存中有没有B的IP和MAC的映射关，如果有，就直接取得MAC地址，如果没有就再发一次ARP请求的广播，B 再应答即重上

arp,协议的作用是(

篇一:ARP

前言:ARP

1. 什么

ARP (Address Resolution Protocol) 是个址解析协。最直白的说法是:在IP以太中，当个层协议要发包时，有了该节的IP地址，ARP就能

2为什么要

OSI 模式把网络工作分为七层，彼此不直接打交道，通过口(layre interface). IP地

协议在发生数据包时，首先要封装第三层 (IP地址)和第二层 (MAC地址)的报头, 但协议只道目点的IP址，不知道其物理地址，

详细说明:

? 在网络通讯时，源主机的应用程序知道目的主机的IP地和端口，却不知道目的机的件地址，数据包首先是被网卡

据包的硬件地址与本机不符，则直接丢弃。此通讯前必须得

? 当一台主机把以网数据帧发送到位于同一局域网上的另一台主机时，是根据 48位的以太网地址来定目的接口，设备驱动程序从不检查 IP据报中的的IP地址。ARP(地址解析)模块的功能为这两种同的地址形式提供映

一.ARP报文

ARP报文字段总

1.硬件类型:占2个字，表明ARP实现在何种

? 值为1:

2.协议类型:占2字节表

? IP:0800

3.硬件地址长度:占1个节，表示 MAC地址长度，

4.协议地址长度:占1字节，表

5.操作类型 :占2个字节，表示ARP数据包类型。

? 值为1表

? 值2表示ARP应答。

6.源MAC地址:6个字

7.源IP地址:4个字

8.目的以太网地址:占6个字节，

9.目的IP地址:占4个字节，表示目标设备的IP地址.

注意:在ARP操作中，有效数据的长度为28个字，不以太网的最小

二.ARP请求

以太网首部总共有14字节数据，arp请求文总有28字节。所一个ARP请求分组或

而以太网数据包的最小数为60节。所以，要

这里有一些

1. 在以太网的数据帧报头和ARP请数据帧中都有发送

2. 在发送ARP请时，以太

FF-FF-FF-FF-FF-FF,而

3. 对一个ARP请求来说，除ARP目端MAC硬地外的所有其他的字段

的端为本地的ARP请求报文后，它就把硬件地址填进，然用两个目的端址替换两个发送端地址，并

三.ARP协

1. 原理:(ARP

1在局域网中，网络中实际传输是“帧”，帧里面是有目标主

2在以太网中，一个机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得呢,就是通址解析议获的。所谓“地址解析”就是主在发送帧前将目IP地址转

3ARP协议的基本功能就是通过目标设的IP地址，查

4点对点的连接是不

2. 工作过程:

1当主机A向本局域网上的某个主机B发送IP据报时，就在己的ARP缓冲表中

2如果有，就可以查出其对应的硬件地址，将此件地址写入MAC帧，然后通过以太网

3如果查不到主机B的IP

才入网，也可能是主机A刚刚加电。其速冲表还是的。在这中情况下，主

(1)ARP进程在局域网上广播一个ARP请求分组。ARP请求分组的主要内容是表明:的IP地是192.168.0.2，我的硬件址是00-00-C0-15-AD-18.我

(2)在本局域网上的所有主上运行的ARP进行都收到

(3)主机B在ARP请求分组见到自己的IP地址，就向主机A发送ARP响应分组，并写入自己的硬件地址。其余的所有主机都不理这个ARP请组。ARP响分组的主要内容是表明:“我的IP地址是192.168.0.4,我的硬件地是08-00-2B-00-EE-AA”,请注意:虽然ARP请求分组是广播发送的，但ARP响应分组是普

(4)主机A收到主机B的ARP响应分组，在其ARP速

3. 事例说明:

假设我们的计算机IP地址是192.168.1.1，要执行这命令:ping192.168.1.2。该命会通过ICMP协议

该过程需要经过

1 应用程序构造数据包，该示是生ICMP包，被提交给内

2 内核检查是否能够转化该IP地址为MAC地址，也就本地的ARP缓存中

3 如果存在该IP-MAC对应关，那么跳到步

如果不存在该IP-MAC对应

4 内核进行ARP广播，目的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型

5 当192.168.1.2主机接收到该ARP请求，就发送一ARP的REPLY(2)命

6 本地获得192.168.1.2主机的IP-MAC地址对应关，并保到ARP缓存中; 7 核将把IP化为MAC地址，然后装在以太网

4. 特殊情况:

ARP是解决同一个局域网上的主机或路由器的IP地址硬件地址的射问。如果所要找的目标设

1此时主机A就无法解析出主机B的件地(实际上机A也不需要知道远

2此时主机A需要的是将路由器R1IP地址解析来，然后将该IP数

3R1从路由表中找出下一跳路由器R2，同时使用ARP解出R2的硬件址。

4路由器R2在转发这个IP数据报时用类方解析出目的机B的硬件地址，使IP

说明:

? 如果你的数据包是发送到不同网段目地，那么就

? 知道了ARP议的作用，就能够很清楚地知道，数据包的向外传输很依靠ARP协议，当，也就是赖ARP缓存。要知道，ARP协议的有操作都内自动完成的，同其他的应用程序没任何关系。同时

四.ARP缓

1. ARP缓冲表

1 ARP协议的本质是完成网地址到物理地址的映射。从概念上将就找到一个映射方法f,使得“物理地址 = f(网络地)“。物理址两种基本类型:以太网类型和令牌网类型。网络地址特指IP地址，对方法的要求就是。体到以太网，它使用的是动态绑定转换的方法。一是设置ARP高速缓存，通

? 学习指ARP收到任何指向本结点IP地址的ARP/IP包，从中提出地对，当ARP缓冲表中无

? 老化指为每项设置命域，以

? 更新指ARP提取到新的地址对时，用其更新存里有的对应项; ? 溢出算法指当缓存慢时，

2 ARP缓存表由状态，寿命，IP地址，MAC地址4个字段组成。状态字段指示地址对是否有效;寿命字段用于老操，初始存最大值，以后由OS时间函数调用，秒减1，直为0清除;IP和MAC地址字段保存网络地址和物理地的映射。围绕ARP缓表，完成了4

3 当ARP被询问一个已只IP址

l 若存在，就直

l 若不存在，才发送ARP request

4当主机A向B发送数据报时，很可能以后不主B还要向A送据报，因而主机B可能

所以，为了减少网络的通信

请求分组时，就将自己的IP地址到硬件地址的写主机B自己的ARP高速冲表中。这对主机B以

Tiger 说明:

任何事物都有两面性，如果握的好它是天使，如果

Satan,ARP中的缓冲表为计算机之间的通信效率和减少网通信量间作出了巨大的献，它同时为们上网时留下了安全患;例如交

2. ARP中

ARP将保存在高速缓冲表中的每一个映射地址表都设了TTL(存时)，只要TTL小于0

(ARP的超时值一般为20分钟，对不完的表项设置为20分钟，而对不完整的表项设置为2分钟《完整的表项:即在以太网上对一个不存在的主机发ARP请求》，当这些表再次使用时，实一般都把超时值重新为20分。) 好处:主A和B通信。A的ARP高速(来自:WwW.xltkwJ.cOm 小龙文网:arp,协议的作用是()缓冲表里保存有B的物理地址。但B的网卡然坏了，B立即就更换了一块，因此B件地址就改变了。A还

并使用该硬件地址向B发送数据帧。但B原先的硬件地址已经失效了。因此A无法找到主机B。但是过了段时间，A的ARP高速冲表中删除了B原先硬件地址(因为它的生存时间了)，于是A重

五.ARP命令:

1.使用arp-a命令就可以查看本地的ARP缓存容，以，执行一个地PING命令后，ARP缓

2. 使用arp –d来删除ARP高速缓存

3. 使用arp –s来增加高速缓冲表中的内容，这个命令需要主机名以太网地。新增加的内容是永性的，非在命令行

00-aa-aa-562-c6-09

增加一个静态的ARP表项。

4. arppub –s:使系统起着机ARP代理功。统将回答与主机名对

篇二:ARP协议作用

ARP协议的作用

arp(地址

arp是一个重要的tcp/ip协议，并且于确对应ip地的

或另一台计算机的arp高速缓存中的当前内容。此外，使用arp命令，也可以用工方式输静态的网卡物理/ip址对，能会使这方式为缺省网关和本地服务等常用主机进行项作，有

按照缺省设置，arp高速缓存中的项目是态的，每当发送一个指定地点的数据报且高速缓存中不存在项目时，arp便会自动添加该项目。一旦高速缓存项目被输入，它们就已经始走向失效状态。如，在windows nt网络中，果输入项目后不一步使用，物理/ip地址对会在2至10分内。因此，如果arp高缓中项很少或根本没有时，请不要奇怪，通过另一台计算机或路由器的ping令即可添加。所以，需要通过arp命令高速缓存中的内容时，

常用命令选项:

arp -a或arp -g——用于查看高速缓存中的所有项目。-a和-g参数的结果是一样的，多年来-g一直是unix平台上用来显示arp高速缓中所有项的选项，而windows用的是arp -a(-a可视为all，即全部意思)，但

arp -a ip——如果你有多个网卡，那么用arp -a加上口ip地址，就可以只显示

arp -s ip 物理地址——你可以向arp高速缓存中人工输一个静项目。该项目在计算引导中将保持效状态，或者在出现错时，人工配

arp -d ip——用本命能够人工删除

篇三:实验二:理解

实验二:理解子网码、

一、实验目的

理解上述知识点所涉及的基本概念与原并运用于分实际网络，达到对数据

二、实验内容

在实验中，利用ping命令来检验主机间能否进行正常的双向通信。在ping的过程中，源主机向目主机发送ICMP的Echo Request报文，主机收到，向主机发回ICMP的Echo Reply报文，从而可验证源与目

实验的拓扑结构:

202.192.31.235/20

A与B为实验用的PC

步骤1:设置主

A(1号机): 202.192.31.机号 255.255.248.0 B(2号机):

202.192.30.机号 255.255.248.0 两台主

用arp -d命令清除两台主机上的ARP表，后在A与B分用ping命令与对

用arp -a命令可以在两台PC上别看到对

分析实验结果。

步骤2:将A的子网掩码改为:255.255.255.0，

操作1:用arp -d命令清除两台主机上的ARP表，然后在A上pingB，记录显示结。

操作2:接着在B上pingA，记录B上显示的结果

此时用arp -a命令能否到对方的MAC地址。分析

步骤3:在前面实验的基础上，A的缺省网

在A与B上分别用ping命令与对方通信，记录自的示结果在AB分别用tracert命

分析(3)的

步骤4:(不用做)用arp -d命令清除A中的ARP表，

在A上ping一台外网段的主机，如广大的WWW Server，再用arp -a可到A的ARP表中只有缺省

三、实验原理

四、实验设备 PC机二台

Window xp

实验步骤、

要求按实验内容记录各项的实步骤，实记录(截图)和

分析实验结果，并总结验中遇

六、实验结果

步骤1:设置主

A(1号机): 202.192.31.机号 255.255.248.0 B(2号

两台主机均不设

用arp -d命令清除两台主机上的ARP表，后在A与B分用ping命令与对

A机

B机:

用arp -a命令可

地址，记录A、B的MAC地址。 A机

B机

步骤2:将A的子网掩码改为:255.255.255.0，

操作1:用arp -d命令清除两主

用arp -a令能

地址。

分析操作1的

分析:A将目标设备的IP址(202.192.30.30)和自己的子网掩码(255.255.255.0)相与得202.192.30.0，和自己不在一网段(A所在网段为:202.192.31.0)，则A必须将该IP分组首先发向缺省网关。于A的缺省网关没有配置，无法对分组进

操作2:接着在B上pingA，记录B上显示的结果

此时用arp -a令能否

分析操作2的

分析:B将目标设备的IP地(202.192.31.26)和己的子网掩码(255.255.248.0)相“与”，发现目机与自己均于同一网段(202.192.30.0)，因此，BARP协议获A的MAC地址，并可以正确地向A发送Echo Request报文。但由A不能向B正确

ping的结果为“请求超时”。

步骤3:在前面实验的基础上，把A的缺省网关设为:202.192.31.235 A与B上别用ping命令

B机

在A与B上分别用tracert命令追

B机

分析(3)的

分析:由于A认为B与其不在同一个网段，故从A发向B的报文要经过关转发;而B认为A与其同一个网，故B不需要经过网

理解子网掩码,网关和arp协议的作用

篇一:34实验三理解

《计算机网

实验一:UTP双绞线的制作

实验二:Windows网络工具

实验三:理解

实验四:使用络监视

实验五:使用模

实验六:简

实验三:理解子掩码、

1、相

(1)子网掩

子网掩码的主要功能是告知网络设备，一个特定的IP地址的哪一部分是包含网络址与子网址，哪一部分是主机地址。网络的由设备只识出目的地址的网络号与子网号可作出路由寻

的路由寻址操作，只用于在段中唯一标识一个网络设备的接口。本来，如果网络系统中只使用A、B、C这三种主类地址，而不三种主类地址子网划分或者进主类地址的汇聚，网络设备根IP地址的第一节数值范围即可判断它属于A、B、C中的哪个主类网，进而可确定该IP地址的网络

但是在实际网络规划中，他并不利于有效地分配有限的地址空间。对于A，B类地址，很少有这么大规模的公司能够使用，对于C类地所容纳的主数相对太少。所有类别的IP地址并适用于网络规划。同时着加入互联络越来越多，路经急剧膨胀，这样不仅会降低网关寻径效率(甚至可能使径表溢出，从而造成寻径故障)，更重要的是将增

为了提高IP地址使效率及路由效率，在基础的IP地址分类上对IP编址进行了相应改进。但为了使系统在对A、B、C这三主类网进行了子网的划分，或者采无类别的选路技术CIDR网段进行汇聚的情况下，也能对IP地的网络及子网部分与主部分作正确的

子网掩码使用与IP相同的编址格式，网码为1的部对于IP地址的网络与

对应于IP地址的主机部分。将子网掩码和IP地址作与操作后，IP地址的主机部分将被丢弃，剩余的是网络地址和子网地址。如，一个IP分组的目的IP址为:10.2.2.1，若子掩码为:255.255.255.0，与之作与运算得:10.2.2.0，则网络设备为该IP地址的

(2)网关(Gateway)

在Internet中的网关一般是指用于连接两个或者两个以上网段的网络设备，通常使用路由(Router)作为网关。在TCP/IP网络体系，网关的基是根据目的IP地址的网络号与子网，选择最佳的出口IP分组进

(3)ARP协议(Address Resolution Protocol)

在以太网(Ethernet)中，一个网络设备要和另一个网络设备进行直接通信，除了知道目标设备的网层逻辑地址(如IP地址)外，还要知道目标设的第二层理地址(MAC地)。ARP协议的基本功能就是通过目设备的IP地址，查

当一个网络设备需要和另一个网络设备通信时，它首先把目标设备的IP地址与自的子网掩进行与操作，以判断目标备与自是否位于一段内。如果目标设备在同一网内，并且源设没有获得

地址信息，则源设备以第二层播的形式(目标MAC地址为全1)送ARP请求报文，在ARP请求报文中包含了源设备与目标设备IP地址。同网段中的所有其他备都可以收到并分析个ARP请文，如果某设现文中的目标IP地址与自己的IP地址相同，它向源设备发回ARP响报文，通过该报

如果目标设备与源备不在同一网段，则源设备首先把IP分组发向自己的缺省网关(Default Gateway)，由缺省网关该分组行转发。如源备没有关于缺省网关的MAC信，则它同样通过ARP协议获

为了减少广播量，网设备通过ARP表在缓存中保存IP与MAC地址的映射信息。在一次ARP的请求与响应中，通信方都把对方的MAC地址与IP地的对应关系存在各自的ARP中，以在后续的通信中使用。ARP表使老化机制，删除在一时间内没有使

2、

复习相关知识点，设验证ARP协议工作机

注意实验中要细心观察实

析网络问题的方法、设计验

3、

理解上述知识点所涉及的基本概念与理能运用于析实际网络，达到对数

4、

在实验中，利用ping命令来检验主机间能否进行正常的双向通信。在ping的过程中，源主机向标主机发送ICMP的Echo Request报文，标主机收后，源主机发回ICMP的Echo Reply报文，从而以验证源与

(1)理解子掩码、

步骤1:设置

A(1号机): 202.192.72.机号 255.255.248.0

B(2号机): 202.192.73.机号 255.255.248.0

两台主机均

用arp -d命令清除两台主机上的ARP，然后在AB分别用ping命令与

用arp -a命令可以在两台PC分别看到方的MAC地址，记

分析实

步骤2:将A的子

，其他设置

操作1:用arp -d命令清除两台机的ARP

用arp -a令能否

不能看到

分析操作1

操作2:接着在B

此时用arp -a命令能

分析操作2

步骤3:在前面实验的基础上，把A的缺省

在A与B上

命令与对方通信，

在A与B上分别用tracert令追踪数据的传

篇二:计算机网络实三理解子

《计算机网实验

实验二:

实验三:理解

实验四:使用络监视

实验五:用模

实验六:简

目录UTP双绞线的制作 Windows网络工具 ARP协议的作用

实验三:理解子掩码、

1、相

(1)子网掩

子网掩码的主要功能是告知网络设备，一特定的IP地址的哪一部分是包含网络地址与子网地址，哪一是主机地址。网络的路由设备只要识别出目的地址的网号与子网号即可作出路由址决策，IP地址主机分不参与路由器的路寻址操作，用于在网段中唯标识一个网络设备的接口。本来，果网络系统中只用A、B、C这三种主类地址，而对这种主类地址作子网划分或者进行主类地址的汇聚，则网络设备根据IP地址的一个字节的数值范围即可判断它属于A、B、C中的哪一个主类网，进可确定该IP地址的网络部分和机部分，不需要子网掩码的

但是在实际网络规划中，他并不利于有效地分配有限的地址空间。对A，B类地址，很少有这么大规模的公司能够使用，对于C地址所容纳主数又相对太少。所以有类别的IP地并不适用于网络规划。时随着加互网的网络越来越，由经表急剧膨胀，这样不仅会降低网关寻径效率(甚至能使寻径表溢出，从而造成径故障)，更重要

负担。

子网掩码使用与IP相同的编址式，子网掩码为1的部分对应于IP地址的网络子网部分，子网掩码为0的部分对应于IP地址的主机部分。将子掩码和IP作操作后，IP地的主机分将被丢弃，余的是网络地址和子网地。例如，一IP分组的目的IP地为:10.2.2.1，若子网掩码为:255.255.255.0，与之作与运算得:10.2.2.0，则网络设备认

(2)网关(Gateway)

(3)ARP协议(Address Resolution Protocol)

在以太网(Ethernet)，一个网络设

设备进行直接通信，除了知道目标设备的网络层逻辑地址(如IP地址)外，还要知道目设备的第层物理地址(MAC地)。ARP协议的本功就是通过目标设备的IP地，查询目标设备MAC地

当一个网络设备需要和另一个网络设备通信，它首先把目标设备的IP地址与自己的子网掩码进行与操作，判断目标设备与自己是否位于同一网段内。如果目标设备同一网段内，并且源设备没获得与目标IP相应的MAC地址信息，源设备以第层广播的形式(目MAC地址为全1)发送ARP求报文，在ARP求文中包含了源设备与目标备的IP地。同一网段中的所有其他设备都可以收到并分析这个ARP请求报文，如果某备发现报文中的目标IP地址与自己的IP相同，则它向源设备发回ARP响应报文，通过该报文使源备获得目标设备的MAC地址

为了减少广播量，络设备

与MAC地址的映射息。在一次ARP的请求与响应过程中，通信双方都把对方的MAC地与IP地址对应关系保存在各自的ARP表中，在后续的信中用。ARP表使用老化机制，除在一段时间内没

2、

复习相关知识点，设验证ARP协议工作机

注意实验中要细心的观察实验现象，习透网络现象析络问题的方法、设计

3、

理解上述知识点所涉及的基本概念与理能运用于析实际网络，达到对数

4、

(1)理解子掩码、

步骤1:设置

A(1号机): 202.192.72.机号 255.255.248.0

B(2号机): 202.192.73.机号 255.255.248.0

两台主机均不

用arp -d命令清除两台主机上的ARP表，然后在A与B上别用ping命令与对

用arp -a命令可以在两台PC分别看到方的MAC地址，记

分析实

步骤2:将A的子网掩码改

操作1:用arp -d命令清除两台主机上的ARP，然在A上pingB，记显示显示

分析操作1

操作2:

pingA

，记录B上

此时用arp -a命令能

分析操作2

步骤3:在前面实验的基础上，把A的缺省

在A与B上

命令与对方通信，

在A与B上分别用tracert命追踪数据的传

分析(3)

步骤4:用arp -d命令清除A的ARP表，在Aping一台外网段

Server，再用arp -a观

验结果。

(2)验证ARP协议的作过程------设计并实

A、假设一台计算机广播了一个ARP请求之后，收到两个应答，第一个应答声明件地址是H1，第二个应答声明硬件地址是H2，那么ARP软件先从第一个中出H1与IP的定信息，放入高速缓存，然后从第二个应答中取H2与IP绑信息后，检测高速存已在发送方IP的地址绑定信息，这时会以H2与IP的绑定息替代高速缓存中已有的H1与IP的绑定。请设计实

B、ARP还引入了一种优化策:一台计机回答了一个ARP

篇三:sniffer助理解子

sniffer帮助解子网

子网掩码(Subnet Mask)

子网掩码的主要功能是告知网络设备，个特定的IP地址的哪一部分是包含网络地址与子网地址，哪分是主机地址。网络的路由设备只要识别出目的地址的络号与子网号即可作出路由址决策，IP地主部分不参与路由器的路寻址操作，用于在网段中唯标识一个网络设备的接口。本来，如果网络系统中使A、B、C这三种主类地址，而对这种主类地址作子网划分或者进行主类地址的汇总，则网络设备根据IP地址第一个字节的数值范围即可判断它属于A、B、C中的哪一个主类网，进可确定该IP地址的网络部分和机部分，不需要子网掩码的

但为了使系统在对A、B、C这三种主网进了子网的划，者采用无类别的域间选

Inter-Domain Routing，CIDR)对网段行汇总情况下，也能对IP地网络及子部分与主机部分作正的区分，就

子网掩码使用与IP相同的址格式，子网掩码为1的部分对应于IP址的网络与子网部分，子网掩码为0的部分对应于IP地的主机部分。子网掩码和IP地址作“与”操作后，IP地址的主机部分被丢弃，剩余是网络地址和子地。

则网络设备认为该IP地的网络号

网关(Gateway)

在Internet中的网一般是指用于连接两个或者两个以上网段的络设备，通常使用路由器(Router)作为网关。在TCP/IP网络中，网关的基本用是根目的IP地的网络号与子网号，选最佳的出口IP分组进行转发，现网的数据通信。在Semester 1中只需要对网的基本作用有所了解，在Semester 2中

ARP协议(Address Resolution Protocol)

在以太网(Ethernet)中，一个网络设备要和另一个网络设备进行直接通信，除了知道目标设备的络层逻辑地址(如IP地址)外，还要知道目标备的第二层理地址(MAC地)。ARP协议的基本功能就是通过目设备的IP地址，查

操作2:接着在B上ping A，在B上显示结果为:Request timed out 此时用arp -a命令可以

分析2:B将目设备的IP地址(10.2.2.2)和自己的子网掩码(255.255.254.0)相“与”，发现目标主机与自己均位于同网段(10.2.2.0)，因此，B通过ARP协议获得A的MAC地址，并可以正确

A不能向B正确地发回Echo Reply报文(

B上显示ping的结为“请求

观察A与B的ARP

请求与响应过程中，

知对方的MAC地址IP地

的ARP表中。

步骤3:

在前面实验的基础，把A的

网关的子网掩码为:255.255.0.0。在A与B上分别用ping

命令与对方通信，各

A: Reply from 10.2.3.3: bytes=32 time<10ms TTL=128

B: Reply from 10.2.2.2: bytes=32 time<10ms TTL=127

在A与B上分别用tracert命令追踪

结果分别为:

A: tracert 10.2.3.3

Tracing route to 10.2.3.3 over a maximum of 30 hops:

1 <10 ms <10 ms <10 ms 10.2.2.1

2 <10 ms <10 ms <10 ms 10.2.3.3

Trace complete.

B: tracert 10.2.2.2

Tracing route to 10.2.2.2 over a maximum of 30 hops:

1 <10 ms <10 ms <10 ms 10.2.2.2

Trace complete.

分析:如步骤2中的分析，由于A为B与其不在同一个网段，故从A发向B的报文需要经过转发;而B认为A与其在同一个网段，故B不需经过网关直接向A发送报，从而可以观AB双向通信时传输径的不对。由于ping命令结果显示的是从目标主机回的Echo Reply报文的TTL的，B收从A返回的Echo Reply报文经过了网关的转发，所以在B

步骤4:

用arp -d命令清除A中的ARP表，在A上ping一台外网段的主机，如中大的WWW Server(202.116.64.8)，再用arp -a可观到A的ARP中只有缺

分析:当源主机要和外段的主机进行通信时，它并不需要获取远程主机的MAC地址，而是把IP分组发向缺省网关，由IP分组的成转发过程。如果主机没有缺省网关MAC地址的存记录，则它过ARP协议获取网关的MAC地址，因此在AARP表中只观察到网的MAC地址记

当一个网络设备要和另

把目标设备的IP地址与自己的网掩码进行“与”操作，以判断目标设备自己是否位于同一网段内。如果目标设备在同一网段内，且源设备没获与目标IP地相对应的MAC地信息，则源设备以第二广播的形(标MAC地址为1)送 ARP请求报文，在ARP请求报文中包含了源备与目标设备的IP地址。一网段中的所有其

如果某设备发现报文中的目标IP地址与自己的IP地相同，则它向源设备发ARP响应报，通过该报文使源

如果目标设备源设备不在同一网段，则源设备首先把IP分组发向自己的缺省网关(Default Gateway)，由缺省网对该分行转发。果设备没有关于缺省网关的MAC息，则它同样通过ARP协议获

为了减少广播量，络设备通过ARP表在缓存中保存IP与MAC地址的映射信息。在一次ARP的请求与响程中，通信方都把对方的MAC地址与IP地的对应关存在各自的ARP中，以在后续的通信中使用。ARP表用老化机制，删除在一时间内没有使

实验设计

我们通过设计一个简单的实验来助学员更深入直观地理解上述三个知识所涉及的基本概念与原理。在实验中，我们利用ping令来检验主能否进行正常双向通信。在“ping”的过程中，源主向目标主机发ICMP的Echo Request报文，目标主机收到后，向源主机发回ICMP的Echo Reply报文，从而可

A与B为实验用的PC机，使用Windows2000 Professional作操作系统。

实验方案:

步骤1:

设置两台

A: 10.2.2.2 255.255.254.0

B: 10.2.3.3 255.255.254.0

两台主机均不

用arp -d命

RP表，然后在A与B上分别ping

A: Reply from 10.2.3.3: bytes=32 time<10ms TTL=128

B: Reply from 10.2.2.2: bytes=32 time<10ms TTL=128

用arp -a命令可在两台PC上分别看到对

分析:由于主机将各自通信目标的IP地址与自己的子网掩码相“与”后，发现目标机与自己位于同一网段(10.2.2.0)，因通ARP协议获得对方的MAC址，从而实现同一网段

步骤2:

将A的子网掩码改为:255.255.255.0，

操作1:用arp -d命令清除两台主机上的ARP表，然后在A上ping B，在A上显示结果为:Destination host

ueachable

用arp -a命令两台PC均不能看到对

分析1:A将目标设的IP地址(10.2.3.3)和自己的子网掩码(255.255.255.0)相“与”10.2.3.0，和自己不在一网段(A所在网为:10.2.2.0)，A必将该IP分组首先发向缺省网关。由于A的省网关没有配置，无法分组进行正确

相关热词搜索:网关子网掩码解

简述arp协议功能与作用,并抓包分析

ARP协议

ARP，即地址解析协议，现通过IP地址得知其物理地址。在TCP/IP网环境下，每个主机都分配了一个32位的IP地，这种互联网地址是在际范围标识主机一逻辑地址。为了让文在物理路上传送，必知道对方目的主机的物理地。这样就存在IP址变换成物理地址的转换题。以以太网环境为例，为了正确地向目的主机传送报文，必须把的主机的32位IP地址转换成为48位以太网的地址。这

抓包结果:

ARP请求报文

ARP应答报文

分析

1.ARP

从截图

1:硬件类型(hardware type)是以太网(0x0001)。

2:协议类型(protocol type)为0x0800，表示使用ARP的协议类型为IPV4。

3:硬件地址长度(hardware size)为6。

4:协议地址长度(protocol size)为4，操作类型(opcode)为0x0001，表示报文类型为ARP请求。

5:发送方硬件地址(sender MAC address)为20:89:84:7f:35:ee，定义了发送方的硬件地址。

6:发送方协议地址(sender IP address)为192.168.139.11，

定义发送方的

7:目的硬件地址(target MAC address)为00:0f:e2:a5:f1:4f。

8:目的协议地址(target IP address)为192.168.139.254，定义目的设备的协议地址。

2.ARP

1:硬件类型

2:协议类型为IP(0x0800)。

3:硬件地址

4:协议地址长度为4，操作类为2(0x0002)，表示

5:发送方硬件地址为00:0f:e2:a5:f1:4f

6:发送方IP地址

7:目的硬件地址为20:89:84:7f:35:ee

8:目的协议地址

转载请注明出处范文大全网 » 【arp】原理·作用·危害·现象·建议