ARP
¿Qué es ARP?
ARPProtocolo de capa de enlace (RFC 826) que asocia una dirección IPv4 con la dirección MAC de un host del mismo dominio de difusión para poder entregar tramas.
El Address Resolution Protocol está definido en la RFC 826 y opera en la frontera entre la capa de enlace y la capa de red. Cuando un host necesita enviar un paquete IPv4 a un destino de la misma subred, emite un ARP request en difusión ("¿quién tiene 192.168.1.1?") y el dueño responde con su MAC. La asociación se cachea en la tabla ARP para futuras tramas. ARP no tiene autenticación, por lo que cualquier host del segmento puede responder o enviar respuestas no solicitadas (gratuitas). Esto permite ARP spoofing / ARP poisoning, redirigiendo el tráfico a través del atacante para escucha o manipulación. IPv6 sustituye ARP por Neighbor Discovery (ICMPv6, RFC 4861), que admite SEND para protección criptográfica.
● Ejemplos
- 01
Wireshark muestra los ARP requests y replies cuando un equipo arranca y aprende la MAC de su gateway.
- 02
Un atacante envía ARP replies gratuitos afirmando ser dueño de la IP del gateway y redirige el tráfico de la LAN.
● Preguntas frecuentes
¿Qué es ARP?
Protocolo de capa de enlace (RFC 826) que asocia una dirección IPv4 con la dirección MAC de un host del mismo dominio de difusión para poder entregar tramas. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa ARP?
Protocolo de capa de enlace (RFC 826) que asocia una dirección IPv4 con la dirección MAC de un host del mismo dominio de difusión para poder entregar tramas.
¿Cómo funciona ARP?
El Address Resolution Protocol está definido en la RFC 826 y opera en la frontera entre la capa de enlace y la capa de red. Cuando un host necesita enviar un paquete IPv4 a un destino de la misma subred, emite un ARP request en difusión ("¿quién tiene 192.168.1.1?") y el dueño responde con su MAC. La asociación se cachea en la tabla ARP para futuras tramas. ARP no tiene autenticación, por lo que cualquier host del segmento puede responder o enviar respuestas no solicitadas (gratuitas). Esto permite ARP spoofing / ARP poisoning, redirigiendo el tráfico a través del atacante para escucha o manipulación. IPv6 sustituye ARP por Neighbor Discovery (ICMPv6, RFC 4861), que admite SEND para protección criptográfica.
¿Cómo defenderse de ARP?
Las defensas contra ARP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para ARP?
Nombres alternativos comunes: Protocolo de resolución de direcciones.
● Términos relacionados
- attacks№ 062
Suplantación ARP
Ataque en la red local que envía mensajes ARP falsificados para asociar la MAC del atacante con la IP de otro host y desviar el tráfico.
- network-security№ 637
Dirección MAC
Identificador de hardware de 48 bits (IEEE 802) grabado en una interfaz de red y utilizado para la entrega dentro de un mismo segmento de capa de enlace.
- network-security№ 553
Dirección IP
Identificador numérico asignado a una interfaz de red para el enrutamiento en redes IP: 32 bits en IPv4 (RFC 791) o 128 bits en IPv6 (RFC 8200).
- network-security№ 1113
Subred
Rango contiguo de direcciones IP que comparten un prefijo común y definen un único dominio de difusión y un límite de enrutamiento en la red.
- network-security№ 1206
VLAN
Una LAN virtual (IEEE 802.1Q) agrupa puertos de switch en dominios de difusión separados etiquetando las tramas Ethernet con un VLAN ID de 12 bits.
- network-security№ 508
ICMP
Protocolo de control y diagnóstico de capa de red (RFC 792 para IPv4 y RFC 4443 para IPv6) usado por hosts y routers para notificar errores y señalar condiciones del camino.
● Véase también
- № 311DHCP