抓包分析【arp协议，icmp协议，http协议】

各种协议理论及实操

arp协议

arp(地址解析协议)，工作在TCP/IP模型中的网络层,其作用就是将IP地址解析为MAC地址。

工作原理

在主机A上想要ping主机B时，A知道B的IP地址，此时，通过ping命令，ping主机B的IP地址，但是主机A的arp缓存表中并没有B的arp缓存

A将发送arp广播报文，内容为：“我的ip为x.x.x.x，我的MAC地址为AA-BB-CC-DD-EE-FF ；IP为x.x.x.x的主机，请问你的MAC地址是多少 ”，主机B收到arp广播后，发现IP地址是自己的时候，向主机A单播自己的MAC地址信息，主机A收到后，将B的IP地址和MAC地址的映射加入到自己的ARP缓存表中。

在ping的时候，就把IP地址，转换成MAC地址。即可完成通信。

抓包

icmp协议

ICMP(Internet控制报文协议)，主要用于网络探测。

根据ICMP类型回馈，来判断目标的状态

常见的类型字段有：

1. Type为8 ：ping请求
2. Type为0 ：ping应答
3. Type为3 ：目标主机不可达
4. Type为11：TTL超时

抓包

DNS协议

DNS协议(域名系统)，DNS协议是用来将域名转换为IP地址（也可以将IP地址转换为相应的域名地址）。

工作原理

假如主机A想要访问www.aqnu.edu.cn这个网址，主机A首先检查自己本机的hosts文件中是否有该网址的IP映射，有的话，直接解析出；

没有的话，则查找本地的DNS缓存，有对应的映射的话直接即可解析；

windows中文件在C:\Windows\System32\drivers\etc\hosts，linux中文件放在/etc/hosts

本地的DNS缓存也没有的话，根据网络配置中的首选DNS服务器地址，向该DNS服务器发送请求，如果该DNS服务器有相应的映射，给出权威性解析，如果没有相应的映射，但是有缓存信息，给出非权威性解析；

如果首选DNS服务器地址中没有的话，则向上一级DNS服务器请求，上一级没有，则再向上上级请求，直到根DNS服务器。查找成功，返回首选DNS，首选DNS其再返回给主机A。

抓包

http协议

http称为超文本协议，是互联网上应用最为广泛的一种网络协议。所有的www文件都必须遵守这个标准。设计http最初的目的是为了提供一种发布和接收html页面的方法。

GET - 从指定的资源请求数据。

POST - 向指定的资源提交要被处理的数据。

表单提交方式：

get与post不同
1.get是从服务器上获取数据，post是向服务器传送数据。
2.对于get方式，服务器端用Request.QueryString获取变量的值，对于post方式，服务器端用Request.Form获取提交的数据。
3.get传送的数据量较小，不能大于2KB。post传送的数据量较大，一般被默认为不受限制。
4.get相比post，post安全性更高，因为GET 提交参数一般显示在 URL 上，POST 通过表单提交不会显示在 URL 上，POST 更具隐蔽性。

抓包

HTTP请求

HTTP响应

查看数据包中的具体网页信息

抓取登录时的数据包