Sumber: http://pushm0v.blogspot.com/2007/07/arp-spoofing-n-sniffing.

html
http://opensource.telkomspeedy.com/wiki/index.php/ARP
http://teknik-informatika.com/arp-dan-rarp/

Address Resolution Protocol

Address Resolution Protocol disingkat ARP adalah sebuah protokol dalam TCP/IP Protocol Suite yang
bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat Media Access Control (MAC
Address). ARP didefinisikan di dalam RFC 826.

Ketika sebuah aplikasi yang mendukung teknologi protokol jaringan TCP/IP mencoba untuk mengakses
sebuah host TCP/IP dengan menggunakan alamat IP, maka alamat IP yang dimiliki oleh host yang dituju
harus diterjemahkan terlebih dahulu ke dalam MAC Address agarframe-frame data dapat diteruskan ke
tujuan dan diletakkan di atas media transmisi (kabel, radio, atau cahaya), setelah diproses terlebih dahulu
oleh Network Interface Card (NIC). Hal ini dikarenakan NIC beroperasi dalam lapisan fisik dan lapisan
data-link pada tujuh lapis model referensi OSI dan menggunakan alamat fisik daripada menggunakan
alamat logis (seperti halnya alamat IP atau nama NetBIOS) untuk melakukan komunikasi data dalam
jaringan.

Format Paket

Pada gambar dibawah memperlihatkan format paket ARP.

 Hardware Type : adalah tipe hardware/perangkat keras. Banyak bit dalam field ini adlah 16
bit. Sebagai contoh untuk Ethernet mempunyai tipe 1.

 Protocol Type : adalah tipe protokol di mana banyaknya bit dalam field ini 16 bit. Contohnya,
untuk protokol IPv4 adalah 080016.

 Hardware Length : field berisi 8 bit yang mendefinisikan panjang alamat fisik. Contohnya,
untuk Ethernet, panjang alamat fisik adalah 6 byte.

 Protocol Length : field berisi 8 bit yang mendefinisikan panjang alamat logika dalam satuan
byte. Contoh : untuk protokol IPv4 panjangnya adalah 4 byte.

 Operation Request & Reply: field berisi 16 bit ini mendefinisikan jenis paket untuk ARP
apakah itu berjenis ARP request atau ARP reply.

 Sender Hardware Address : banyaknya field adalah variabel yang mendefinisikan alamat
fisik dari pengirim. Untuk Ethernet panjang nya 6 byte.
  Sender Protocol Address : field ini panjangnya juga variabel dan untuk mendefiniskan
alamat logika (alamat IP) dari pengirim.

 Target Hardware Address : field ini panjangnya juga variabel yang mendefiniskan alamat
fisik daripada target. Pada paket ARP request, field ini isinya 0 semua.

 Target Protocol Address : field ini panjangnya juga variabel dan mendefinisikan alamat
logika (IP) dari target.

GAMBAR: Paket ARP

Enkapsulasi (pembungkusan)

Sebuah paket ARP dienkapsulasi langsung ke frame data link. Lihat Gambar berikut.

GAMBAR: Enkapsulasi Pada Paket ARP

PC / mesin biasanya menyimpan informasi ARP yang terkini. Untuk lebih jelasnya proses bertanya MAC
address komputer yang akan dituju dapat dilihat menggunakan software sniffer, dalam hal ini saya
menggunakan tcpdump yang tersedia di Linux menggunakan perintah:

# tcpdump –X –i eth0

Dalam hasil tcpdump, kadang kala di temukan proses ARP sedang berlangsung seperti contoh berikut

14:04:09.315845 arp who-has 192.168.0.112 tell 192.168.0.11

0x0000: 0001 0800 0604 0001 0002 b335 4271 c0a8 ...........5Bq..
0x0010: 000b 0000 0000 0000 c0a8 0070
...........p
14:04:09.316304 arp reply 192.168.0.112 is-at 00:00:1c:09:3c:0b
 0x0000: 0001 0800 0604 0002 0000 1c09 3c0b c0a8 ............<...
0x0010: 0070 0002 b335 4271 c0a8 000b 2020 2020 .p...5Bq........
0x0020: 2020 2020 2020 2020 2020 2020 2020 ..............

Dalam contoh, komputer 192.168.0.11 menanyakan ke jaringan MAC address dari komputer yang
mempunyai IP address 192.168.0.112. Jikakomputer dengan IP address 192.168.0.112 mendengarkan
permintaan tersebut, akan menjawab, dalam hal ini, MAC address komputer 192.168.0.112 adalah
00:00:1C:09:3C:0B.

Daftar lengkap MAC address yang termonitor oleh komputer Linux dapat dilihat menggunakan perintah
arp –a berikut:

[root@yc0mlc ~]# arp -a

? (192.168.0.112) at 00:00:1C:09:3C:0B [ether] on eth0
? (192.168.0.111) at 00:01:F4:EC:E2:E7 [ether] on eth0
? (192.168.0.10) at 00:0D:88:B3:22:99 [ether] on eth0
? (192.168.0.80) at 00:11:6B:C0:04:FB [ether] on eth0
? (192.168.0.110) at 00:80:48:22:2B:23 [ether] on eth0