ARP
Qu'est-ce que ARP ?
ARPProtocole de couche liaison (RFC 826) qui associe une adresse IPv4 a l'adresse MAC d'un hote du meme domaine de diffusion afin que les trames puissent etre livrees.
L'Address Resolution Protocol est defini par la RFC 826 et opere a la frontiere entre la couche liaison et la couche reseau. Lorsqu'un hote doit envoyer un paquet IPv4 a une destination du meme sous-reseau, il diffuse une requete ARP ("qui possede 192.168.1.1 ?") et le proprietaire repond avec son adresse MAC. L'association est mise en cache dans la table ARP pour les trames suivantes. ARP n'a pas d'authentification, donc tout hote du segment peut repondre ou emettre des reponses non sollicitees (gratuites). Cela rend possibles l'ARP spoofing / ARP poisoning : le trafic est detourne via un attaquant pour ecoute ou manipulation. IPv6 remplace ARP par Neighbor Discovery (ICMPv6, RFC 4861), qui supporte SEND pour une protection cryptographique.
● Exemples
- 01
Wireshark affiche les requetes et reponses ARP lorsqu'un poste demarre et apprend la MAC de sa passerelle.
- 02
Un attaquant envoie des reponses ARP gratuites se pretendant proprietaire de l'IP de la passerelle et redirige le trafic du LAN.
● Questions fréquentes
Qu'est-ce que ARP ?
Protocole de couche liaison (RFC 826) qui associe une adresse IPv4 a l'adresse MAC d'un hote du meme domaine de diffusion afin que les trames puissent etre livrees. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie ARP ?
Protocole de couche liaison (RFC 826) qui associe une adresse IPv4 a l'adresse MAC d'un hote du meme domaine de diffusion afin que les trames puissent etre livrees.
Comment fonctionne ARP ?
L'Address Resolution Protocol est defini par la RFC 826 et opere a la frontiere entre la couche liaison et la couche reseau. Lorsqu'un hote doit envoyer un paquet IPv4 a une destination du meme sous-reseau, il diffuse une requete ARP ("qui possede 192.168.1.1 ?") et le proprietaire repond avec son adresse MAC. L'association est mise en cache dans la table ARP pour les trames suivantes. ARP n'a pas d'authentification, donc tout hote du segment peut repondre ou emettre des reponses non sollicitees (gratuites). Cela rend possibles l'ARP spoofing / ARP poisoning : le trafic est detourne via un attaquant pour ecoute ou manipulation. IPv6 remplace ARP par Neighbor Discovery (ICMPv6, RFC 4861), qui supporte SEND pour une protection cryptographique.
Comment se défendre contre ARP ?
Les défenses contre ARP combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de ARP ?
Noms alternatifs courants : Protocole de resolution d'adresse.
● Termes liés
- attacks№ 062
Usurpation ARP
Attaque sur réseau local qui envoie des messages ARP falsifiés pour associer la MAC de l'attaquant à l'IP d'un autre hôte et rediriger le trafic.
- network-security№ 637
Adresse MAC
Identifiant materiel sur 48 bits (IEEE 802) grave dans une interface reseau et utilise pour la livraison au sein d'un meme segment de couche liaison.
- network-security№ 553
Adresse IP
Identifiant numerique attribue a une interface reseau pour le routage sur les reseaux IP : 32 bits en IPv4 (RFC 791) ou 128 bits en IPv6 (RFC 8200).
- network-security№ 1113
Sous-reseau
Plage contigue d'adresses IP partageant un prefixe commun, definissant un unique domaine de diffusion et une frontiere de routage sur le reseau.
- network-security№ 1206
VLAN
Un VLAN (IEEE 802.1Q) regroupe des ports de commutateur en domaines de diffusion distincts en taguant les trames Ethernet avec un VLAN ID sur 12 bits.
- network-security№ 508
ICMP
Protocole de controle et de diagnostic de la couche reseau (RFC 792 pour IPv4 et RFC 4443 pour IPv6), utilise par les hotes et routeurs pour signaler erreurs et conditions de chemin.
● Voir aussi
- № 311DHCP