W telekomunikacji z Protokół rozdzielczości adresu ( Arp ), jak określono przez RFC 826 , rozumiemy protokół sieciowy należący do pakietu internetowego protokołu (IP) wersja 4 i działająca na poziomie dostępu do sieci (poziom połączenia, jeśli jest uważany za nomenklaturę ISO/OSI), którego zadaniem jest dostarczenie „mapowania mapowania „Pomiędzy adresem IP (32 -bitowym – 4 bajtów) a adresem MAC (48 bitów – 6 bajtów) korespondentem terminalu w lokalnej sieci Ethernet. Jego analogiem w IPv6 jest Protokół Discovery Neighbor lub NDP. Protokół odwrotny, który MAC adres MAC do adresu IP, gdy konfiguracja komputera w sieci nazywa się RARP.

Cel protokołu [[[ zmiana |. Modifica Wikitesto ]

ARP to protokół serwisowy, używany w sieci kalkulatorów, który korzysta z protokołu sieci IP powyżej sieci poziomu danych, która obsługuje usługę transmisji. Jeśli ta usługa nie jest dostępna, na przykład w ATM, należy użyć innych mechanizmów.

Aby wysłać pakiet IP do kalkulatora tego samego Sottote, konieczne jest zamknięcie go w pakiecie poziomu danych, który musi mieć adres MAC kalkulatora jako przeznaczony do miejsca przeznaczenia. ARP służy do uzyskania tego adresu.

Jeśli pakiet musi zostać wysłany do kalkulatora innego Sottorete, ARP służy do odkrycia adresu MAC bramki lub routera.

W każdym kalkulatorze protokół ARP śledzi odpowiedzi wcześniej uzyskane w specjalnej pamięci podręcznej ( Pamięć podręczna ARP ) Aby uniknąć konieczności ciągłego korzystania z ARP przed wysłaniem każdego pakietu do odbiorcy (co pociągałoby za sobą znaczne opóźnienie w komunikacji i większą złożoność zarządzania ruchem). Informacje zawarte w pamięci podręcznej ARP są usuwane po określonym okresie po najnowszym wystąpieniu, zwykle po 5 minutach.

Operacja [[[ zmiana |. Modifica Wikitesto ]

Host, który chce poznać adres MAC innego hosta, którego adres IP wie, wysyła ARP (pakiet of Żądanie ARP ) Zawierający adres MAC i adres IP odbiorcy, którego adres MAC chcesz wiedzieć. Wszystkie kalkulatory Sottorete otrzymują żądanie: w każdym z nich protokół ARP weryfikuje, porównując IP z wysłanym, jeśli poproszony jest Twój adres MAC. Host docelowy, który rozpozna swój adres IP w pakiecie ARP-Request, wyśle ​​odpowiedź ( Odpowiedź ARP ) Zawieranie komputera Mac bezpośrednio do hosta nadawcy (zatem w emisji pojedynczej).

W ten sposób każdy host może odkryć fizyczny adres innych hostów na tej samej Sottorecie. Jest to szczególnie ważne, jeśli chcesz poznać urządzenia sieciowe, takie jak brama, router itp. Aby sprawdzić wszelkie awarie węzła samej sieci.

Należy zauważyć, że przybycie powtórki ARP do węzła całkowicie aktualizuje tabelę ARP obecną w pamięci podręcznej poświęconej jej protokołu, bez szacunku dla wcześniej istniejących elementów w tabeli routingu.

Każda wymiana pakietów ARP odbywa się przez zamknięcie ich w ramach poziomów danych (np. Ramy Ethernet).

Żądanie/odpowiedź ARP [[[ zmiana |. Modifica Wikitesto ]

Są one zamknięte w ramce Ethernet.

Adres docelowy Ethernet jest ustawiony na FF: FF: FF: FF: FF: TYM DO Adresów ARP) Jeśli zostanie przeprowadzone żądanie ARP.
Obóz typu jest ustawiony na wartość 0x0806 (podczas gdy dla RARP 0x8035).

28 bajtów dla żądania/odpowiedzi ARP jest ustrukturyzowane w ten sposób:

• Typ sprzętu : Określa typ interfejsu sprzętowego, na którym użytkownik szuka odpowiedzi, dla Ethernet pole jest ustawione na 1.
• Typ protokołu : Wskazuje rodzaj adresu na wysokim poziomie, jaki dostarczył nadawca, ponieważ IP jest ustawiony na 0x0800.
• sprzęt len To jest Tylko protokół : Pozwól użyć ARP w arbitralnych sieciach, ponieważ określają one długość adresu sprzętowego (MAC) i adresu protokołu wysokiego poziomu (IP).
• Operacja ARP : Określa, czy jest to żądanie ARP (wartość 1), odpowiedź ARP (wartość 2), żądanie RARP (wartość 3) lub odpowiedź RARP (wartość 4).

Polecenie wyświetlania tabeli ARP przechowywanej w lokalnej pamięci podręcznej w systemach Windows, Mac i GNU/Linux ARP -A .

Na przykład polecenie wykonane w systemie Windows zwróci wynik podobny do tego:

C:> ARP -A
Interfejs: 10.10.22.156 --- 0x10004
  Adres internetowy Typ adresu fizycznego
  10.10.22.1 00-0D-B4-01-AB-B2 Dynamika
  10.10.22.155 00-1B-77-24-74-89 Dynamika 

Należy zauważyć, że protokół ARP jest używany za każdym razem, gdy host podłączony do sieci LAN musi wysłać wiadomość do hosta na tej samej sieci LAN, z którą zna tylko adres poziomu sieci (IP), dlatego pracuje tylko w lokalnej podsieci (Nie może przekroczyć routera, a tym samym dotrzeć do innej Sottorete od tego, w którym powstało żądanie).

Procedura odwrotna jest przeprowadzana przez protokół protokołu rozdzielczości odwrotnej rozdzielczości (RARP).

Możliwe jest również ręczne skonfigurowanie adresów IP statycznych w tabeli ARP, za pośrednictwem polecenia ARP -s [adres IP] [Adres fizyczny]

Protokół ARP nie zapewnia mechanizmów uwierzytelnienia otrzymanych odpowiedzi, dlatego host, który wysyła żądanie „zaufania”, aby odpowiedź pochodzi z „legalnego” właściciela żądanego adresu IP, i identyfikuje ten adres IP z adresem MAC, który ma adres MAC, który ma adres MAC otrzymane. Stwarza to pomieszczenia dla licznych luk w zabezpieczeniach.

Próbowanie IP [[[ zmiana |. Modifica Wikitesto ]

Bardzo łatwo jest nielegalnie skonfigurować adres IP na hoście, pod warunkiem, że jest on podłączony do odpowiedniej Sottorete, a adres jest nieużywany lub legalny właściciel jest wyłączony.

W rezultacie fakt, że host odpowiada na określony adres IP, nie upoważnia nas do „zaufania” tego hosta. Oznacza to tylko, że jest fizycznie podłączony do właściwej sieci lokalnej (lub że routing również został zagrożony).

Mimo to wiele aplikacji używa kryteriów bezpieczeństwa opartych na zabezpieczeniach (filtrowanie IP) adresów IP za pomocą ich w mechanizmie uwierzytelniania. Tylko niektóre hosty, które mają określony adres IP zawarty w pliku filtra, mogą uzyskać dostęp do usług.

Próbowanie ARP [[[ zmiana |. Modifica Wikitesto ]

Konstrukcja sztuki zwodniczego pakietu ARP jest prosta zarówno w systemie Linux, jak i w systemie Windows, a w rzeczywistości jest to jedna z głównych luk w sieci lokalnych. Wysyłając odpowiednio podrobioną odpowiedź ARP na hosta, możemy zmienić jego pamięć podręczną ARP, uzyskując na przykład możliwość przechwytywania danych przeznaczonych dla innych hostów. Ta technika nazywa się fałdowaniem ARP lub Zatrucie pamięci podręcznej ARP (W języku angielskim zatrucie pamięci podręcznej ARP).

Wśród środków zaradczych jest rozwiązaniem typu open source Arpon „Kontrola obsługi ARP”. Arpon jest przenośnym demonem, który sprawia, że ​​protokół ARP jest bezpieczny przed człowiekiem w środkowych atakach (MITM) poprzez techniki sfałszowania ARP, zatrucie pamięci podręcznej ARP, routing ARP Truison (APR).

• ( W ) Format pakietu ARP . Czy Networksorcery.com . URL skonsultowano 12 listopada 2004 (Zarchiwizowane przez Oryginał URL 21 lipca 2006) .
• ( W ) RFC 826 – Protokół rozdzielczości adresu Ethernet – lub – adresowanie adresów protokołu sieci – Novembre 1982 – Modificata da RFC 5227 To jest RFC 5994
• ( W ) RFC 5227 – Wykrywanie konfliktów IPv4 – Luglio 2008
• ( W ) RFC 5994 – Wytyczne dotyczące alokacji IANA dla protokołu rozdzielczości adresu (ARP) – Aprile 2009
• ( W ) Strona główna Arpon . Czy arpon.sourceforge.net .

Portal elektroniczny : Uzyskaj dostęp do głosów Wikipedii, które mówią o sieciach, telekomunikacji i protokołach sieciowych

L ’ Protokół rozdzielczości adresu (ARP, protokół rozdzielczości adresu) to protokół używany do powiązania adresu protokołu warstwy sieciowej (zazwyczaj adresu IPv4) zdalnego hosta, pod adresem protokołu warstwy Link (zazwyczaj adresu MAC). Jest na interfejsie między warstwą sieciową ( Warstwa 3 modelu OSI) i warstwy łącza ( Warstwa 2 modelu OSI).

Został zdefiniowany w 1982 roku w Prośba o komentarze RFC 826 ^{[[[ Pierwszy ]} : Protokół rozdzielczości adresu Ethernet .

Protokół ARP jest niezbędny do działania IPv4 używanego powyżej sieci typu Ethernet.
W IPv6 funkcje ARP są pobierane przez Sąsiad Protokół odkrywania (NDP).

W pozostałej części artykułu termin adres IP służy do mówienia o adresie IPv4.

Komputer podłączony do sieci komputerowej chce wydać ramkę Ethernet dla innego komputera, którego adres IP zna i umieścił w tej samej podsieci.
W takim przypadku ten komputer będzie w toku i złoży żądanie ARP audycja Poziom 2. To żądanie jest typu „Jaki jest adres MAC odpowiadający adresowi IP Adres ? Odpowiedź Monadresseip ».

Ponieważ jest to audycja , wszystkie komputery w segmencie otrzymają żądanie. Obserwując jego treść, będą mogli ustalić, jaki jest adres IP, na który badania są noszone. Maszyna, która ma ten adres IP, będzie jedynym, który odpowiedział, wysyłając maszynę emitowaną odpowiedź ARP typu „Jestem Adres , mój adres MAC to Adres ». Aby wydać tę odpowiedź na odpowiedni komputer, tworzy wpis do pamięci podręcznej ARP na podstawie danych zawartych w żądaniu ARP, które właśnie otrzymał.

Maszyna za zapytaniem ARP odbiera odpowiedź, aktualizuje pamięć podręczną ARP i dlatego może wysłać wiadomość, którą wstrzymał na komputerze.

Więc tylko jeden audycja i a Uncast Aby utworzyć wpis do pamięci podręcznej ARP dwóch komputerów.

Komenda Arp Umożliwia konsultację, a czasem modyfikację tabeli ARP w niektórych systemach operacyjnych. To polecenie jest przydatne do wykrywania potencjalnych podatności.

• ARP -A : Wyświetla wszystkie wpisy w pamięci podręcznej ARP.
• ARP -A @IP : W przypadku, gdy istnieje kilka kart sieciowych, możesz wyświetlić pamięć podręczną powiązaną z pojedynczym @IP.
• Arp -s @ip @mac : Ręczne dodanie stałego statycznego wejścia do pamięci podręcznej (ta potrzeba objawia się, jeśli istnieją zwykłe hosty, aby zmniejszyć ruch sieciowy).

Protokół ARP został zaprojektowany bez żadnego szczególnego bezpieczeństwa bezpieczeństwa. Jest podatny na lokalne ataki na segment oparty głównie na wysyłaniu błędnych wiadomości ARP do jednego lub większej liczby komputerów. Są zgrupowane pod nazwą Zatrucie ARP (Zanieczyszczenie pamięci podręcznej ARP). Podatność komputera na zanieczyszczenie pamięci podręcznej ARP zależy od wdrożenia protokołu ARP przez jego system operacyjny.

Lub maszyna Charliego, która chce przechwycić wiadomości Alice do Boba, wszystkie należące do tej samej podsieci.
Atak to Charlie, aby wysłać pakiet ” ARP Who-Has „Na maszynie Alice. Ten specjalnie zbudowany pakiet będzie zawierał jako źródło IP, adres IP komputera BOB, którego tożsamość chcemy uzurpować ( Próbowanie ARP ) oraz adres MAC karty sieciowej Charlie. Maszyna Alice utworzy zatem wpis łączący nasz adres MAC z adresem IP komputera BOB. Alice, odbiorca ” ARP Who-Has », Użyj pakietu, aby utworzyć wpis do tabeli MAC. Jeśli Alice chce komunikować się z Bobem na poziomie IP, to Charlie otrzyma ramki Alice, ponieważ nasz adres MAC jest zapisany w zatrutej pamięci podręcznej Alice jako równoważność IP postu BOB. Jest to znana słabość do wdrożenia ARP i ułatwia uszkodzenie zdalnej pamięci podręcznej ARP.

Ataki te mogą pozwolić na słuchanie komunikacji między dwoma maszynami (atak środkowego człowieka), kradzież połączenia, przeciążenie przełączników służących jako struktura do sieci komputerowej lub odmowa usługi (wykonując atak człowieka w środku, a następnie w środku odmawianie pakietów).

Aby walczyć z tego rodzaju atakiem, jest możliwe:

• Aby skonfigurować statyczne wejścia w pamięci podręcznej ARP w każdej sieci sieci (polecenie ARP -s ). Ma to zastosowanie tylko do niewielkiej liczby maszyn (faworyzujemy najbardziej krytyczne, takie jak serwery i mosty). W systemach operacyjnych Microsoft Windows przed wersją XP można aktualizować wejście statyczne, jedyną różnicą jest to, że nie wygasa;
• Ogranicz adresy MAC na każdym porcie (informacje statyczne) przełączników, jeśli zezwalają (funkcja Bezpieczeństwo portu ). Przełączniki Poziom 3 Na przykład oferuje możliwość konfigurowania statycznych skojarzeń Port/Mac/IP. Ale to oczywiście utrudnia utrzymanie parku;
• Do monitorowania wiadomości ARP krążących w sieci, za pomocą narzędzi nadzoru, takich jak Arpwatch ^{[[[ 2 ]} lub arpalert ^{[[[ 3 ]} lub systemy wykrywania włamań (IDS).

Każde wejście do tabeli ARP ma żywotność, która zobowiązuje atakującego do regularnego uszkodzenia pamięci podręcznej ofiary. Niektóre systemy operacyjne, takie jak Solaris, pozwalają na modyfikację wartości tego czasu ważności (polecenie Ndd ). Krótka wartość sprawi, że uszkodzenie łatwiej będzie widoczne.

Pakiety ARP są transportowane na warstwie łącza danych. W przypadku transportu Ethernet stosuje się ethertyp 0x0806. Szczegóły pakietu ARP podano poniżej:

z :

Typ sprzętu ( Typ materiału ) ^{[[[ 4 ]}

To pole określa zastosowany protokół warstwy 2. Na przykład Ethernet (10 MB) ma wartość 1, Eksperymentalny Ethernet (3 MB) ma wartość 2.

Typ protokołu ( Typ protokołu )

To pole określa zastosowany protokół warstwy 3. Na przykład IPv4 ma wartość 0x0800. To pole przyjmuje te same wartości co EtherTypes.

Długość adresu sprzętowego ( Fizyczna długość adresu )

To pole odpowiada długości adresu fizycznego. Długość należy wziąć w bajtach. Na przykład adres Ethernet ma wartość 6; adres Pierścień tokenu Przy wartości 1.

Długość adresu protokołu ( Logiczna długość adresu )

To pole odpowiada długości adresu sieciowego. Długość należy wziąć w bajtach. Na przykład adres Ethernet ma wartość 4.

Operacja (Operacja)

To pole pozwala poznać funkcję wiadomości, a tym samym jej cel. Warto 1 na żądanie ( Wniosek ) lub 2 dla odpowiedzi ( Odpowiedź ).

Adres sprzętowy nadawcy (Fizyczny adres nadajnika)

Adres MAC węzła nadajnika. Ten adres niekoniecznie jest identyczny z adresem źródłowym ramki Ethernet niosącej pakiet ARP, dzieje się tak, gdy węzeł odpowiada na miejsce innego.

Adres prococol nadawcy (Logiczny adres nadajnika)

Adres IP interfejsu węzła emitera, powiązany z adresem fizycznym.

Docelowy adres sprzętu (Docelowy adres fizyczny)

Adres MAC interfejsu węzła odbiorcy. W ramach żądania ARP o żądanie to pole wynosi zero, ponieważ dokładnie to nadajnik stara się wiedzieć.

Docelowy adres protokołu (Docelowy adres logiczny)

Adres IP interfejsu węzła odbiorcy, powiązany z adresem fizycznym.

Bezpłatne żądania ARP ( nieuzasadniony ARP ) są wysyłane na początku niektórych systemów operacyjnych, na przykład niektóre czerwone modemy. Pozwalają temu sprzętowi, nowicjuszowi do sieci, sprawdzić, czy jego adres IP jeszcze nie istnieje, co pozwala uniknąć konfliktów według duplikatu adresu IP ^{[[[ 5 ]} . Interfejs wysyłkowy reportera nie czeka na żadną odpowiedź. Następnie zapewniono aktualizację pamięci bufora systemów podłączonych do sieci. Przełączniki są informowane o istnieniu adresu MAC danego urządzenia. Wszystkie te działania zapewniają większą dalszą szybkość połączenia z siecią. Wiele emisji tego rodzaju żądań może być wadliwym wskaźnikiem kabla, co powoduje częste ponowne połączenie ^{[[[ 6 ]} .

Powiązane artykuły [[[ modyfikator |. Modyfikator i kod ]

Linki zewnętrzne [[[ modyfikator |. Modyfikator i kod ]