Wireshark를 통한 ARP프로토톨 분석

ARP프로토톨이란?

ARP프로토콜이란?

- Address Resolution Protocol의 약자로 주소 결정 프로토콜을 나타낸다.

- IP 주소를 물리적인 하드웨어 주소인 MAC Address로 변경하는 프로토콜을 말한다.

- IP 주소와 이에 해당하는 MAC Address를 ARP Cache라 불리는 메모리에 테이블 형태로 저장한다.

  ARP Cache에 MAC Address가 저장되어 있다면 브로드캐스트를 하지 않는다.

  

ARP프로토콜 헤더 구조

[그림 1] ARP프로토콜 헤더 구조

- Hardware Type은 하드웨어 주소의 유형을 정의한다. 

  Hardware Type이 1이라면  Ethernet를 나타낸다.

- Protocol Type은 프로토콜 주소의 유형을 정의한다.

  Protocol Type이 0x0800이라면 IPv4를 나타낸다.

- Hardware Length는 하드웨어 주소(MAC주소 : 48Bit)의 길이를 byte단위로 나타낸다.

- Protocol Length는 프로토콜 주소(IP주소 : 32Bit)의 길이를 byte단위로 나타낸다.

- Operation Code는 ARP의 동작을 나타낸다.

  1 : ARP Request

  2 : ARP Reply

  3 : RARP Request

  4 : RARP Reply

  5 : DARP Request

  6 : DARP Reply

  7 : DARP Error

  8 : InARP Reply

  9 : InARP Request

- Sender Hardware Address는 송신지의 하드웨어 주소를 나타낸다.

- Sender Protocol Address는 송신지의 프로토콜 주소를 나타낸다.

- Target Hardware Address는 수신지의 하드웨어 주소를 나타낸다.

- Target Protocol Address는 수신지의 프로토콜 주소 를 나타낸다.

WireShark를 통한 ARP프로토콜 패킷 분석 

[그림 2] WireShark ARP프로토콜 패킷 

[그림 3] WireShark Request 패킷 

[그림 4] WireShark Reply 패킷 

[그림 3]을 보면 Hardware type이 1인 것으로 보아 Ethernet를 나타내고 , Protocol Type이 0x0800인 것을 보아 IPv4를 나타낸다. Hardware Size는 하드웨어 주소가 MAC Address이기 때문에 Size가 6byte가 되고, Protocol Size는 프로토콜 주소가 IPv4이기 때문에 Size가 4byte가 된다.

Opcode부분이 1인 것으로 보아 브로드캐스트를 통해 ARP 요청을 전송했다. Target MAC Address가 00:00:00:00:00:00인 이유는 아직 수신지의 MAC주소를 모르기 때문이다. 

[그림 4]를 보면 Opcode부분이 2인 것으로 보아 ARP요청에 대한 응답을 하였다.

따라서 응답을 통해 수신지의 Target MAC Address를 알게 되었다.