[패킷분석] Who has 192.168.118.130? Tell 192.168.118.2 는 무엇일까?

뜻

어떤 장비가 192.168.118.130 이라는 아이피 주소를 가지고 있어? 192.168.118.2에게 말해줘.

-> 192.168.118.130이라는 아이피 주소를 가진 장비의 MAC주소를 알고 싶을 때 보내는 패킷

 

 Who has 192.168.118.130? Tell 192.168.118 이런 류의 패킷은 ARP의 Request패킷이라고 합니다.

(참고로 ARP는 L3 레이어 계층)

 

ARP는 IP주소를 기반으로 MAC주소를 알아오는 역할을 하고, ARP 패킷은 그 역할을 하는 패킷임.

 

1. ARP의 Request 패킷을 연결된 모든 장비에게 전송함(브로드캐스트)

2. ARP Resquest 메세지를 받은 장비들은 자신에게 전달된 Request인지 IP주소인지를 확인함.

3. 만약에 맞다면, 자신의 맥주소를 Response 패킷에 담아서 요청한 IP에게 보냄.

 

https://resources.infosecinstitute.com/topic/wireshark/ (실제로 ARP 패킷을 캡쳐한 모습)

 

ARP프로토콜은 Request를 보내기 위해 브로트캐스트 방식을 사용합니다.

- 경우1: 목적지 IP주소가 같은 네트워크일 경우

  해당 장비를 직접 찾는 Request메세지를 브로드캐스트로 보냄

- 경우2: 다른 네트워크일 경우

직접 브로드캐스트를 보낼 수 없으니 Gate-way로 데이터를 전달하기 위해 Gate-way에게 Request를 보냄.

 

 

Wireshark의 Info란을 보면

"who has"로 시작해서 "tell~"끝나는 내용은 ARP의 Request패킷

'who has 192.168.118.130 ? tell 192.168.118.1'라는 Request패킷이 있다면,

192.168.118.130 가 누군지 안다면 192.168.118.1으로 MAC주소를 보내달라는 뜻입니다.

 

'~ is at ~'내용의 Reply(Response)패킷은

'192.168.118.130 is at 00:50:56:c0:00:08'라는 내용이 있다면

네가 물어본 192.168.118.130의 MAC주소는 00:50:56:c0:00:08라는 내용으로 해석 가능

 

참고자료

https://boradol0902.tistory.com/25