Appearance
Skip to content
ARP
用途
ARP 是 Address Resolution Protocol(地址解析协议)的常用简称。在 Wireshark 中查看它,通常是为了确认同一二层网络内“哪个 MAC 地址对应哪个 IPv4 地址”。
适合用它排查:网关 MAC 是否变化、主机是否发出 ARP 请求、是否存在重复 IP 或异常 ARP 应答。不要把 ARP 和 DNS 混淆:ARP 解析的是 IPv4 地址到 MAC 地址,DNS 解析的是域名到 IP 地址。
分析入口
| 你要看什么 | 建议入口 | 说明 |
|---|---|---|
| ARP 完整说明 | Address Resolution Protocol | 本页原本只是跳转页,完整内容应从这里开始。 |
| 某台主机是否在询问网关 MAC | 过滤 ARP 请求后看 Who has ...? | 重点看发送方 MAC/IP 和目标 IP。 |
| 是否存在重复 IP 或 ARP 欺骗迹象 | 对比同一 IP 对应的源 MAC | 同一 IP 在短时间内对应多个 MAC,需要结合现场拓扑判断。 |
| 名称显示是否影响判断 | Name Resolution 首选项 | 排障时可关闭名称解析,直接看原始地址。 |
常用显示过滤器
text
arp只看 ARP 流量。
text
arp.opcode == 1只看 ARP 请求。
text
arp.opcode == 2只看 ARP 应答。
text
arp.src.proto_ipv4 == 192.0.2.10 || arp.dst.proto_ipv4 == 192.0.2.10围绕某个 IPv4 地址查看 ARP 交互。请把示例地址替换成现场地址。
常见问题
为什么这个页面很短?
原始 Wireshark Wiki 的 ARP 页只是手动重定向提示,正文指向 Address Resolution Protocol。这里保留这个定位,并补充为中文导航页。
抓不到 ARP 是否代表网络没问题?
不一定。ARP 只出现在本地二层广播域内,跨路由后的远端通信不会继续携带原始 ARP 过程。抓包位置不在同一网段时,可能看不到你关心的 ARP。
看到大量 ARP 一定是攻击吗?
不一定。主机上线、网关切换、地址冲突检测、扫描或网络故障都可能产生较多 ARP。需要结合频率、源 MAC、交换机端口和 DHCP/网关记录判断。
相关页面
- Address Resolution Protocol
- IP
- Display Filters
- Name Resolution 首选项
相关 Wireshark Wiki 页面
- Wireshark Wiki 首页Home · 入门与使用
- AddressResolutionProtocolAddressResolutionProtocol · 协议参考