Décortiquer une requête ARP avec WireShark

Voici le texte brut, exporté de la trame (ce que vous voyez dans la capture d'écran ci-dessus) :

No. Time Source Destination Protocol Length Info
51 8.528343 TPLink_d7:9f:85 Broadcast ARP 60 Who has 192.168.10.250? Tell 192.168.10.10

Frame 51: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface \Device\NPF_{27BB5FB2-E90C-46B8-858A-9AE0317E9CAB}, id 0
Section number: 1
Interface id: 0 (\Device\NPF_{27BB5FB2-E90C-46B8-858A-9AE0317E9CAB})
Interface name: \Device\NPF_{27BB5FB2-E90C-46B8-858A-9AE0317E9CAB}
Interface description: vEthernet (COM_EXT)
Encapsulation type: Ethernet (1)
Arrival Time: Feb 7, 2025 12:02:43.548506000 Paris, Madrid
UTC Arrival Time: Feb 7, 2025 11:02:43.548506000 UTC
Epoch Arrival Time: 1738926163.548506000
[Time shift for this packet: 0.000000000 seconds]
[Time delta from previous captured frame: 0.389684000 seconds]
[Time delta from previous displayed frame: 0.389684000 seconds]
[Time since reference or first frame: 8.528343000 seconds]
Frame Number: 51
Frame Length: 60 bytes (480 bits)
Capture Length: 60 bytes (480 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ethertype:arp]
[Coloring Rule Name: ARP]
[Coloring Rule String: arp]

Ethernet II, Src: TPLink_d7:9f:85 (a8:42:a1:d7:9f:85), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
Source: TPLink_d7:9f:85 (a8:42:a1:d7:9f:85)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: ARP (0x0806)
[Stream index: 1]
Padding: 0000000000000000000000000000
Trailer: 20202020

Address Resolution Protocol (request)
Hardware type: Ethernet (1)
Protocol type: IPv4 (0x0800)
Hardware size: 6
Protocol size: 4
Opcode: request (1)
Sender MAC address: TPLink_d7:9f:85 (a8:42:a1:d7:9f:85)
Sender IP address: 192.168.10.10
Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)
Target IP address: 192.168.10.250

Nous allons décortiquer ce paquet capturé par Wireshark afin de comprendre chacune de ses parties.
Ce paquet est une requête ARP (« Address Resolution Protocol ») qui sert à découvrir l'adresse MAC associée à une adresse IP donnée sur un réseau local. Dans cet exemple, l'appareil à l'adresse IP 192.168.10.10 cherche à savoir « qui possède » l'IP 192.168.10.250.

Voici l'explication détaillée :

1. La ligne de résumé

No. Time Source Destination Protocol Length Info
51 8.528343 TPLink_d7:9f:85 Broadcast ARP 60 Who has 192.168.10.250? Tell 192.168.10.10

• No. 51
  Le numéro de trame dans la capture. Ici, c'est la trame numéro 51.
• Time 8.528343
  Le temps (en secondes) écoulé depuis le début de la capture ou un repère temporel interne. Cela indique que ce paquet a été capturé à 8,528343 secondes après le début de l'enregistrement.
• Source : TPLink_d7:9f:85
  L'étiquette associée à l'adresse MAC source. Ici, l'appareil émetteur se fait identifier par ce nom (souvent dérivé du fabricant ou d'une configuration locale) et son adresse MAC réelle est indiquée plus bas (a8:42:a1:d7:9f:85).
• Destination : Broadcast
  L'adresse de destination est « Broadcast » (ff:ff:ff:ff:ff:ff), ce qui signifie que le paquet est envoyé à tous les équipements du réseau local. Les requêtes ARP sont, en effet, diffusées pour atteindre tous les hôtes.
• Protocol : ARP
  Le protocole utilisé est ARP, qui permet de résoudre une adresse IP en adresse MAC.
• Length : 60
  La longueur totale du paquet est de 60 octets.
• Info : "Who has 192.168.10.250? Tell 192.168.10.10"
  Un résumé lisible indiquant que l'appareil à l'IP 192.168.10.10 demande quel appareil possède l'adresse IP 192.168.10.250. C'est la formulation classique d'une requête ARP.

2. Détails de la trame (Frame 51)

Frame 51: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface \Device\NPF_{27BB5FB2-E90C-46B8-858A-9AE0317E9CAB}, id 0
Section number: 1
Interface id: 0 (\Device\NPF_{27BB5FB2-E90C-46B8-858A-9AE0317E9CAB})
Interface name: \Device\NPF_{27BB5FB2-E90C-46B8-858A-9AE0317E9CAB}
Interface description: vEthernet (COM_EXT)
Encapsulation type: Ethernet (1)
Arrival Time: Feb 7, 2025 12:02:43.548506000 Paris, Madrid
UTC Arrival Time: Feb 7, 2025 11:02:43.548506000 UTC
Epoch Arrival Time: 1738926163.548506000
[Time shift for this packet: 0.000000000 seconds]
[Time delta from previous captured frame: 0.389684000 seconds]
[Time delta from previous displayed frame: 0.389684000 seconds]
[Time since reference or first frame: 8.528343000 seconds]
Frame Number: 51
Frame Length: 60 bytes (480 bits)
Capture Length: 60 bytes (480 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ethertype:arp]
[Coloring Rule Name: ARP]
[Coloring Rule String: arp]

• "Frame 51: 60 bytes on wire"
  Indique que la trame occupe 60 octets sur le support de transmission (soit 480 bits). Le fait que le nombre d'octets capturés soit égal à la taille sur le fil montre que le paquet n'a pas été tronqué lors de la capture.
• Interface et encapsulation
  • Interface id, name et description : Informations sur l'interface réseau utilisée pour la capture (ici, une interface virtuelle nommée "vEthernet (COM_EXT)").
  • Encapsulation type : Ethernet (1) : Le paquet est encapsulé selon le format Ethernet.
• Horodatage
  • Arrival Time : Heure locale à laquelle le paquet a été reçu (ici, le 7 février 2025, à 12:02:43, heure de Paris/Madrid).
  • UTC Arrival Time et Epoch Arrival Time : D'autres formats de l'heure de réception.
  • Time delta : Indique le temps écoulé par rapport au paquet précédent ou par rapport au début de la capture.
• Informations sur le paquet
  • Frame Number, Frame Length et Capture Length : Rappelent le numéro de trame et sa taille.
  • [Protocols in frame: eth:ethertype:arp] : Indique que la trame contient une entête Ethernet (eth) et un protocole ARP.
  • [Coloring Rule Name/String] : Informations internes à Wireshark pour appliquer des couleurs au paquet dans l'affichage.

3. En-tête Ethernet

Ethernet II, Src: TPLink_d7:9f:85 (a8:42:a1:d7:9f:85), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
Source: TPLink_d7:9f:85 (a8:42:a1:d7:9f:85)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: ARP (0x0806)
[Stream index: 1]
Padding: 0000000000000000000000000000
Trailer: 20202020

• Format Ethernet II
  Il s'agit du standard d'encapsulation pour les réseaux Ethernet.
• Adresse MAC Source
  • TPLink_d7:9f:85 (a8:42:a1:d7:9f:85)
    L'adresse MAC de l'émetteur.
    • Le bit LG (Local/Global) est à 0, indiquant une adresse assignée par le fabricant (globale).
    • Le bit IG (Individual/Group) est à 0, indiquant une adresse individuelle (unicast).
• Adresse MAC Destination
  • Broadcast (ff:ff:ff:ff:ff:ff)
    Cette adresse spéciale signifie que le paquet est envoyé à tous les nœuds du réseau local.
    • Ici, les bits LG et IG indiquent respectivement qu'il s'agit d'une adresse localement administrée et de groupe (broadcast/multicast).
• Type de trame
  • Type: ARP (0x0806)
    Le champ EtherType signale que le contenu suivant du paquet est une trame ARP.
• Padding et Trailer
  • Padding : Des octets de remplissage (ici des zéros) sont ajoutés pour atteindre la taille minimale requise par le standard Ethernet (même si, selon la capture, le paquet est de 60 octets, ce qui est souvent le cas si la FCS n'est pas capturée).
  • Trailer : Des données additionnelles qui peuvent être présentes en fin de trame (ici "20202020").

4. Protocole ARP (Address Resolution Protocol)

Address Resolution Protocol (request)
Hardware type: Ethernet (1)
Protocol type: IPv4 (0x0800)
Hardware size: 6
Protocol size: 4
Opcode: request (1)
Sender MAC address: TPLink_d7:9f:85 (a8:42:a1:d7:9f:85)
Sender IP address: 192.168.10.10
Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)
Target IP address: 192.168.10.250

• Nature de la requête
  Le paquet est identifié comme une requête ARP, c'est-à-dire que l'émetteur cherche à connaître l'adresse MAC correspondant à une adresse IP donnée.
• Hardware type: Ethernet (1)
  Indique que le protocole s'applique à des adresses matérielles de type Ethernet.
• Protocol type: IPv4 (0x0800)
  Précise que la résolution se fait pour le protocole IPv4.
• Hardware size et Protocol size
  • Hardware size: 6 : La taille d'une adresse MAC en octets (6 octets).
  • Protocol size: 4 : La taille d'une adresse IPv4 en octets (4 octets).
• Opcode: request (1)
  L'opération ARP est une requête (contrairement à une réponse ARP).
• Sender MAC et IP address
  • Sender MAC address : a8:42:a1:d7:9f:85, identifiant matériel de l'émetteur.
  • Sender IP address : 192.168.10.10, l'adresse IP de l'appareil qui envoie la requête.
• Target MAC address
  Affichée comme 00:00:00:00:00:00, car l'adresse MAC correspondant à l'IP cible n'est pas encore connue (d'où la nécessité de la requête).
• Target IP address
  L'adresse IP pour laquelle la résolution est demandée, ici 192.168.10.250.

En résumé

• Contexte :
  L'appareil avec l'adresse IP 192.168.10.10 envoie une requête ARP pour découvrir l'adresse MAC associée à l'IP 192.168.10.250.
  Le paquet est diffusé en broadcast, ce qui signifie qu'il sera reçu par tous les appareils du réseau local.
• Structure du paquet :
  • En-tête Ethernet : Contient les adresses MAC source et destination ainsi que le type de protocole (ARP).
  • Données ARP : Spécifient les détails de la requête (type de matériel, adresses IP/MAC de l'émetteur, et IP de la cible).
• But d'une requête ARP :
  Permettre à un appareil de découvrir l'adresse physique (MAC) associée à une adresse logique (IP) pour pouvoir ensuite communiquer directement au niveau de la couche liaison de données.