ARP(Addres Resolution Protocol) Analysis

<ARP>

ARP Request 패킷이다

필터링은 arp.src.hw_mac=[MAC Address]를 입력하시면 필터링을 하실 수 있습니다.

이전에 배운 이더넷을 보면 0x0806으로 이전에 Ethernet에서 Length of type에서 확인했던 것을 확인 할 수 있다. 이 위에 패킷이 ARP이고

목적지는 브로드 캐스트로 요청을 하는 것을 알 수 있다. 즉 라우터는 브로드 캐스트 패킷을 버려버리므로 LAN에서 오갈 수 있는 것이다.

그리고 H/W Type은 Ehternet 1번이 들어가고

Protocol Type은 ip 0x0800이 들어간다(참고로 Ethernet의 Length of Type과 같은 표를 공유한다)

H/W size는 48bit(=6byte) FF-FF-FF-FF-FF-FF(FF하나가 8bit이고 8*6 48bit가 된다)

protocol size는 32bit(=4byte) 255.255.255.255(0~255로 256=2^8이 된다 즉 8*4=32bit가 된다)

Opcode는 패킷마다 틀리게 잡히고 자신이 어떤 패킷인지 알려준다고 생각하면된다. 

그다음 sender MAC주소는 자신의 MAC주소

sender ip주소

Target MAC주소처음에는 알지 못하므로 0으로 설정해둠

Target ip 주소는 내가 알고있는주소(그림은 GW ip이다.)

ARP Reply 패킷이다.

Ethernet에서 목적지는 내 MAC인걸 확인할수 있다. 그리고 source도 그리고 ARP패킷이 위의 패킷인걸 알수 있다.

trailer는 잘모르겠지만.. 패킷이 최소사이즈보다 작게되면 불필요한 패킷을 붙인다는 것 같군요 정확히는 모르겠습니다.

ARP패킷을 보면 HW type,szie protocol type size 다 확인 할 수 있구요

opcode가 2번인것을 확인 할 수 있습니다. sernder mac address는 상대방, 게이트 웨이 ip주소

그리고 저의 MAC과  ip주소를 알고있으므로 Target에 저의 MAC과 ip주소를 넣은 걸 보실 수 있습니다.

패킷을 보시다 보면 혼동하기 쉬운점은

ARP 헤더는 혹시 3계층이 아닐까라고 생각하실가봐 그런데 2계층 패킷이라고 보는게 혼동되지 않을 거라고 하시더군요

보시면 제 xp에서 확인 한 정보입니다. arp 테이블에 dynamic으로 생성됬구요

arp명령어를 통해 static으로도 잡아 줄 수 있습니다.  (arp spoofing공격 방어법중 하나죠)

ARP cache는 사용목적은

송신시스템이 수신시스템에게 데이터를 보내기전에 먼저 cache 내용을 확인하여 효율적인 통신을 하기 위해

(cache는 H/W 적인 cpu에서부터 레지스터, L1~L3까지 cache에 많이 사용됩니다. 그리고 OS도 자주 사용하는 프로그램은 확장자.pf인가 오래전에 배운거라 로 저장해두었다 실행되면 더빨리 불러들인다고 하더군요 즉 저장해두었다 빨리 불러들이는 것은 많이 볼 수 있습니다.)

ARP cache내 저장된 정보는 일정 시간이 지날때까지 사용되지 않으면 지워짐

APR cache내의 저장 시간은 보통 2분동안 저장하고 2분이내 다시 통신이 일어나면 10분으로 늘린다고 합니다.

ARP 헤더 : http://gatsby-study.tistory.com/61