ARP
Что такое ARP?
ARPКанальный протокол (RFC 826), сопоставляющий IPv4-адрес с MAC-адресом узла в том же широковещательном домене, чтобы можно было доставлять кадры.
Address Resolution Protocol описан в RFC 826 и работает на стыке канального и сетевого уровней. Когда узлу нужно отправить IPv4-пакет получателю в той же подсети, он рассылает широковещательный ARP-запрос («у кого 192.168.1.1?»), а владелец отвечает своим MAC. Соответствие кешируется в ARP-таблице. У ARP нет аутентификации, поэтому любой узел сегмента может ответить или отправить незапрошенный (gratuitous) ответ. На этом строится ARP-спуфинг/ARP-отравление: трафик перенаправляется через злоумышленника для перехвата или подмены. В IPv6 вместо ARP используется Neighbor Discovery (ICMPv6, RFC 4861), который поддерживает SEND для криптографической защиты.
● Примеры
- 01
В Wireshark видно ARP-запросы и ответы, когда узел при запуске узнаёт MAC-адрес шлюза по умолчанию.
- 02
Злоумышленник рассылает gratuitous ARP-ответы, выдавая себя за обладателя IP шлюза, и перенаправляет трафик LAN.
● Частые вопросы
Что такое ARP?
Канальный протокол (RFC 826), сопоставляющий IPv4-адрес с MAC-адресом узла в том же широковещательном домене, чтобы можно было доставлять кадры. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает ARP?
Канальный протокол (RFC 826), сопоставляющий IPv4-адрес с MAC-адресом узла в том же широковещательном домене, чтобы можно было доставлять кадры.
Как работает ARP?
Address Resolution Protocol описан в RFC 826 и работает на стыке канального и сетевого уровней. Когда узлу нужно отправить IPv4-пакет получателю в той же подсети, он рассылает широковещательный ARP-запрос («у кого 192.168.1.1?»), а владелец отвечает своим MAC. Соответствие кешируется в ARP-таблице. У ARP нет аутентификации, поэтому любой узел сегмента может ответить или отправить незапрошенный (gratuitous) ответ. На этом строится ARP-спуфинг/ARP-отравление: трафик перенаправляется через злоумышленника для перехвата или подмены. В IPv6 вместо ARP используется Neighbor Discovery (ICMPv6, RFC 4861), который поддерживает SEND для криптографической защиты.
Как защититься от ARP?
Защита от ARP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия ARP?
Распространённые альтернативные названия: Протокол разрешения адресов.
● Связанные термины
- attacks№ 062
ARP-спуфинг
Атака в локальной сети: подделанные ARP-сообщения связывают MAC-адрес злоумышленника с IP другого узла и перенаправляют трафик через атакующего.
- network-security№ 637
MAC-адрес
48-битный аппаратный идентификатор (IEEE 802), записанный в сетевой интерфейс и используемый для доставки кадров внутри одного канального сегмента.
- network-security№ 553
IP-адрес
Числовой идентификатор, назначаемый сетевому интерфейсу для маршрутизации в IP-сетях: 32 бита в IPv4 (RFC 791) или 128 бит в IPv6 (RFC 8200).
- network-security№ 1113
Подсеть
Непрерывный диапазон IP-адресов с общим префиксом, образующий единый широковещательный домен и границу маршрутизации в сети.
- network-security№ 1206
VLAN
Виртуальная локальная сеть (IEEE 802.1Q) объединяет порты коммутатора в отдельные широковещательные домены, помечая кадры Ethernet 12-битным идентификатором VLAN.
- network-security№ 508
ICMP
Сетевой протокол управления и диагностики (RFC 792 для IPv4 и RFC 4443 для IPv6), которым узлы и маршрутизаторы сообщают об ошибках и состоянии пути.
● См. также
- № 311DHCP