ARP响应 目标主机的MAC地址为FF FF FF FF FF FF时,交换机会将此包广播到所有端口,这时候所有节点的网卡上都能收到这个广播包,如果某一节点的IP地址为192.168.1.201则需要对此包进行响应,判断依据为上述包的以下特征: 第一行倒数第4,第3字节:0806,代表的是ARP协议 第二行第6字节:01,代表的是ARP请求 第三行最后4字节:c0 a8 01 C9,代表的是192.168.1.1,跟自己寄存器中的值匹配 响应数据包为以下内容:
00 0e c6 d4 1d d4 00 11 0e 0b 03 8a 08 06 00 01
08 00 06 04 00 02 00 11 0e 0b 03 8a c0 a8 01 c9
00 0e c6 d4 1d d4 c0 a8 01 c8 00 00 00 00 00 00
00 00 00 00 00 00 00 00 20 20 20 20
上述中,以下数据是动态变化的: 第一行前6个字节:00 0e c6 d4 1d d4,根据请求包中的第7-12六个字节决定,表示目标MAC地址 第一行第7-12六个字节:00 11 0e 0b 03 8a,自由设置的自己的MAC地址 第二行第7-12六个字节:00 11 0e 0b 03 8a,自由设置的自己的MAC地址 第二行倒数4个字节:c0 a8 01 c9,自己的IP地址,也就是请求包中所呼唤的IP地址,192.168.1.201 第三行前6个字节:00 0e c6 d4 1d d4,根据请求包中的第7-12六个字节决定,表示目标MAC地址 第三行第7-10四个字节:c0 a8 01 c8,根据请求包第二行倒数四个字节决定,表示目标IP地址 这些信息都可以用WireShark分析出来,WireShark对每一个字节的含义都有明确的解释。
|