ARP

介绍：

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

查看arp：

win+R打开，输入cmd，再输入arp-a

Ping 同一个局域网的主机：

本机地址：

抓到的arp如下：

发送请求：

Who has 10.242.61.244? tell 10..242.112.201

响应：

IP数据报：

介绍：

IP协议是TCP/IP协议的核心，所有的TCP，UDP，IMCP，IGMP的数据都以IP数据格式传输。要注意的是，IP不是可靠的协议，这是说，IP协议没有提供一种数据未传达以后的处理机制，这被认为是上层协议：TCP或UDP要做的事情。

Ping 百度官网：

百度官网的Ip地址为 120.232.145.185

加入过滤条件：ip.addr==120.232.145.185，结果为：

tcp报文正是基于ip协议的，tcp是传输层协议，而ip是它底下的网络层协议。不存在Protocol类型为IP的协议。

ICMP协议

介绍：

ICMP，即因特网控制报文协议，在主机和路由器之间起到沟通网络层信息的作用。最典型的用途就是差错报告，它允许主机或路由器报告查错情况和提交有关异常情况的报告。例如网络通不通、主机是否可达、路由是否可用等网络本身的消息，这些控制消息虽对于数据的传递起着重要的作用。ICMP 报文作为 IP 有效载荷承载的，因此虽然 ICMP 被认为是 IP 的一部分，但在体系结构上 ICMP 位于 IP 之上。当主机接收到指明上层协议为 ICMP 的 IP 数据报时，该数据报分解的内容应当交给 ICMP。

抓包如下：

windows下ping默认执行四次ping，因此，Wireshark抓到8个ICMP查询报文，具体为四次请求和应答过程。

分析其中一个：