48小时系统班试听入口

IEEE802.3和Ethernet II帧的区别, 0x0806 ARP协议分析

发布作者:新盟教育 发布日期:2022-12-01 浏览人数:3403人

网工技术点

资源放送 

↓ 扫一扫 

领取Ethernet录屏资

网页同步文章.png


一、IEEE802.3和Ethernet II帧的区别


12.1-1.png


概念:

① 以太网上使用两种标准帧格式。第一种是上世纪80年代提出的DIX v2格式,即Ethernet II格式。第二种是1983年提出的IEEE 802.3格式。

② 两种格式得区别在于Ethernet 格式种包含一个Type字段,标识以太网帧处理完之后将被发送到哪个上层协议进行处理,IEEE 802.3格式种,同样位置是长度字段。

③ Ethernet II 格式相对使用广泛。

④ 从Type/Length字段值可以区分两种帧类型:当Type字段值小于等于1500(0x05DC)时,帧使用的是IEEE 802.3格式。当Type字段值大于等于1536(0x0600)时,帧使用的是Ethernet II格式。

Ethernet II格式

12.1-2.png


Ethernet II格式中Data字段长度在46-1500B,故以太网数据帧的长度在64(6+6+2+46+4)-----1518(6+6+2+1500+4)字节之间。

  • DMAC:目的MAC地址。字段长度6个字节,标识帧的接收者;

  • SMAC:源MAC地址。字段长度6个字节,标识帧的发送者;

  • Type:类型字段,字段长度2个字节,用于标识数据字段种包含的高层协议;

  • 0x0800代表 IP协议帧;

  • 0x0806代表ARP协议帧;

  • Data:数据字段是网络层数据,最小长度必须为46字节;

  • FCS:循环冗余校验字段,提供了一种错误检测机制,字段长度为4个字节。


IEEE802.3

12.1-3.png


  • Length字段定于了Data字段包含的字节数;

  • LLC(Logical Link Control)逻辑链路控制,由目的服务访问点DSAP(Destination Service Access Point)、源服务访问点SSAP(Source Service Access Point)和Control字段组成;

  • SSAP(Source Service Access Point)和Control字段组成;

  • SNAP(Sub-network Access Protocol)由机构代码(Org Code)和类型Type字段组成。Org Code三个字节都为0。Type字段的含义与Ethernet II中Type字段相同。


IEEE802.3帧根据DSAP和SSAP字段的取值,又可以分为以下几类:

① 当DSAP和SSAP都取特定值0xff时,802.3帧就变成了Netware-ETHERNET帧,用来承载NetWare类型的数据。

② 当DSAP和SSAP都取特定值0xaa时,802.3帧就变成了ETHERNET_SNAP帧。此帧可以用于传输多种协议。

③ DSAP和SSAP其他的取值均为纯IEEE802.3帧。

故可以说4种以太网帧。

二、0x0806 ARP协议分析

1、基本概念

ARP(Address Resolution Protocol) 即地址解析协议,用于实现从IP地址到MAC地址映射。

2、 ARP工作流程

(1)同一网段ARP工作流程分析

12.1-4.png


① PC1 要和PC3 通行,首先查看自己的ARP表,查看其中是否包含PC3的MAC地址信息,如果找到对应关系,直接利用ARP表中的MAC地址对IP数据包进行封装。并将数据包发送给PC3。

② 如果PC1在ARP表中未找到PC3对应的MAC地址,则先缓存数据报文,然后利用广播方式(目标MAC地址FF:FF:FF:FF:FF:FF)发送一个ARP报文请求,ARP请求中的发送端MAC地址分别是PC1的IP地址和MAC地址,接收端的IP地址为PC3的IP地址,MAC地址全为0,因为ARP请求报文是以广播方式发送,所以该网段上的所有主机都可以接收到该请求包,但只有其IP地址与目的IP地址一致的PC3才会对该请求进行处理。

③ PC3将ARP请求报文中的发送端(即PC1)的IP地址和MAC地址存入自己的ARP表中。然后以单播方式向PC1发送一个ARP相应报文,应答报文中就包含了自己的MAC地址,也就是原来在请求报文中要请求的目的MAC地址。

④ PC1收到来自PC3的ARP响应报文之后,将PC3的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将原来缓存的IP数据包再次修改(在目的MAC地址字段填上PC3的MAC地址)后发送出去。

(2)跨网段的ARP地址解析流程

① 如果主机A不知道网关的MAC地址(也就是主机A的ARP表中没有网关对应的MAC地址表项),则主机A先在本网段中发出一个ARP请求广播,ARP请求报文中的目的IP地址为网关的IP地址,代表其目的就是想获得网关的MAC地址。如果主机A已经知道网关的MAC地址,则略过此步。

② 网关收到ARP广播包后同样会向主机A发回一个ARP应答包。当主机A收到的应答包中获得网关的MAC地址后,在主机A向主机B发送的原报文的目的MAC地址字段填上网关的MAC地址后发给网关。

③ 如果网关的ARP表中已有主机B对应的MAC地址,则网关直接将在来自主机A的报文中的目的MAC地址字段填上主机B的MAC地址后转发给B。

④ 如果网关ARP表中没有主机B的MAC地址,网关会再次向主机B所在的网段发送ARP广播请求,此时目的IP地址为主机B的IP地址,当网关从收到来自主机B的应答报文中获得主机B的MAC地址后,就可以将主机A发来的报文重新再目的MAC地址字段填上主机B的MAC地址后发送给主机B。

3、协议格式

12.1-5.png


  • 以太网目的地址: 目的主机的硬件地址。目的地址全为1表示广播地址;

  • 以太网源地址:源主机的硬件地址;

  • 帧类型:ARP:0x0806、 RARP:0x8035;

  • 硬件类型:表示硬件地址类型。


ARP当前可用硬件类型如下:

12.1-6.png


  • 协议类型:IP类型:0x0800;

  • 硬件地址长度:对于以太网II来说,MAC地址作为硬件地址,因此该字段值为十六进制06;

  • 协议地址长度:对于IPv4来,IP地址长度位32个字节,因此该字段值为十六进制04;

  • 操作类型:ARP定义了两种操作:0x0001(请求)、0x0002(应答);

  • 发送端以太网地址:对于以太网II来说,MAC地址作为硬件地址;

  • 发送端IP地址:对于IPv4来, 值为IPv4地址;

  • 目的以太网地址:对于以太网II来说,MAC地址作为硬件地址;

  • 目的IP地址:对于IPv4来, 值为IPv4地址。


4、协议分析

(1) 普通ARP

即通过ip地址获得MAC地址,即网络中通过IP寻找对应MAC地址信息。

① 请求包

12.1-7.png


链路层解析:

主机(54 89 98 ec 0f 66) 向局域网内发送广播(ff ff ff ff ff ff), 使用类型类型为 ARP (0806)。

网络层解析:

该数据包的硬件地址类型为以太网(00 01), 使用IPv4(08 00)协议类型, 其中硬件地址长度为6个字节(以太网MAC地址长度), 协议地址长度为4字节(IPv4地址长度);该数据包为ARP请求包(0001), 数据包内容为 宿主机MAC地址为54 89 98 ec 0f 66 ,IP地址为 192.168.1.2(c0 a8 01 02) 向网络(ff ff ff ff ff ff)中请求IP地址为192.168.1.4(c0 a8 01 04的mac地址。该网络中主机收到该数据包请求根据包中发送方地址信息,更新自己ARP表信息,若该IP地址为自己IP地址,则对请求方进行回复,若非自己IP地址,则丢弃。

② 响应包

12.1-8.png


链路层解析:

主机(54 89 98 49 3a 78) 向主机发送响应消息(54 89 98 ec 0f 66), 使用类型类型为 ARP (0806)。

网络层解析:

该数据包的硬件地址类型为以太网(00 01), 使用IPv4(08 00)协议类型, 其中硬件地址长度为6个字节(以太网MAC地址长度), 协议地址长度为4字节(IPv4地址长度);该数据包为ARP响应包(0002), 数据包内容为 宿主机MAC地址为54 89 98 49 3a 78,IP地址为 192.168.1.4(c0 a8 01 04) 向主机(54 89 98 ec 0f 66)发出的ARP请求数据包进行响应,接收方收到该响应包更新系统ARP表。

(2)免费ARP

免费ARP报文与普通ARP请求报文的区别在于普通的ARP请求报文,其ARP封装内的“目的IP地址”是其他机器的IP地址,而免费ARP的请求报文,其ARP封装内的“目的IP地址”是其自己的IP地址。免费ARP的数据包格式如下图所示:

12.1-9.png


免费ARP在实际环境中的一些应用:

  • 免费ARP主要用于检测IP地址冲突。当一台主机发送了免费ARP请求报文后,如果收到了ARP响应报文,则说明网络内已经存在使用该IP 的主机。

  • 利用免费ARP确认设备接口地址。一般的设备在网卡地址加载阶段都会向网络中发送免费的ARP报文(也有些安全设备为了安全起见,让设备在加载地址期间不向外发送免费ARP报文),当我们想知道某些设备的接口地址但又没有相应记录可查时,我们就可以利用设备的这种特性,抓取其免费ARP报文,从而分析出其接口使用的IP地址。

  • 使用免费ARP报文,更新某些设备的ARP表项。

  • 利用免费ARP的攻击。

  • 网关设备利用免费ARP防止ARP攻击。


(3)代理ARP(proxy ARP)

代理ARP是ARP协议的一个变种。对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信,网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router,使得子网对该主机来说变得更透明化。同时也会带来巨大的风险,除了ARP欺骗,和某个网段内的ARP增加,最重要的就是无法对网络拓扑进行网络概括。代理ARP的使用一般是使用在没有配置默认网关和路由策略的网络上的。

① 基本实现

12.1-10.png


② 数据解析

在主机192.168.2.2 上ping 主机 192.168.3.2 抓取数据包如下:

12.1-11.png


解析:主机192.168.2.2 与主机 192.168.3.2 进行通行,先向发送广播包,请求网关MAC地址,网关收到该广播后发送单播给请求方告知自己的MAC地址信息。

抓取 192.168.3.0/24 网络侧数据包如下:

12.1-12.png


解析: 网关收到192.168.2.1 发送给192.168.3.2的信息,先检查自身MAC地址表若没有192.168.3.2 的MAC地址信息,则在192.168.3.0 网段进行广播请求192.168.3.2 的MAC地址信息,192.168.3.2收到网关的ARP请求信息,向网关发送单播告知自己的MAC地址信息。

5、ARP常用命令

12.1-13.png


1671585dc74035d34ac554d5f2ae42fc.jpg

推荐阅读

>>>【独家首发】新版HCIE考试解读直播回顾
>>> 重磅!华为HCIE认证改版升级通知!
>>>【命令解析】Linux用户行为的常用命令
>>> 网工必备通信基础知识,还不知道你就out了?
>>>【必备干货】网工入门必会桥接教程,外网+GNS3+Vmware
>>>【技术指南】5分钟搞清楚OSPF链路状态路由协议

客服电话 15822722968 邮箱 799830458@qq.com 地址 天津市红桥区光荣道157号宝能创业中心2号楼-1、2门-907号
官方公众号
商务合作