ARP
Что такое ARP?
ARPКанальный протокол (RFC 826), сопоставляющий IPv4-адрес с MAC-адресом узла в том же широковещательном домене, чтобы можно было доставлять кадры.
Address Resolution Protocol описан в RFC 826 (1982) и работает на стыке канального и сетевого уровней. Когда узлу нужно отправить IPv4-пакет получателю в той же подсети, он рассылает широковещательный ARP-запрос («у кого 192.168.1.1?»), а владелец отвечает своим MAC-адресом. Соответствие кешируется в ARP-таблице для последующих кадров.
flowchart TD H[Узел A ищет 192.168.1.1] -->|"широковещание: у кого .1?"| LAN[(Широковещательный домен)] LAN --> GW[Шлюз .1] LAN --> ATK[Атакующий] GW -->|"ответ: .1 это aa:bb:cc"| H ATK -->|"gratuitous-ответ: .1 это мой MAC"| H H -.->|кеш отравлен| ATK ATK -->|ретрансляция / перехват| GW
У ARP нет аутентификации, поэтому любой узел сегмента может ответить или отправить незапрошенные gratuitous-ответы. На этом строится ARP-спуфинг / ARP-отравление: трафик перенаправляется через злоумышленника для перехвата или подмены — классический приём «человек посередине» (on-path), автоматизированный такими инструментами, как arpspoof (из dsniff), Ettercap и Bettercap. Поскольку ответы перезаписывают записи кеша без всякой проверки, нескольких пакетов в секунду достаточно, чтобы поддерживать перехват. Защита на управляемых коммутаторах включает Dynamic ARP Inspection (DAI), который сверяет ответы с таблицей привязок DHCP snooping, а также статические ARP-записи для критичных узлов, port security и сегментацию границ доверия с помощью VLAN. В IPv6 вместо ARP используется Neighbor Discovery (ICMPv6, RFC 4861), чьё расширение SEND (RFC 3971) добавляет криптографически генерируемые адреса, чтобы противостоять тому же классу спуфинга.
● Примеры
- 01
В Wireshark видно ARP-запросы и ответы, когда узел при запуске узнаёт MAC-адрес шлюза по умолчанию.
- 02
Злоумышленник рассылает gratuitous ARP-ответы, выдавая себя за обладателя IP шлюза, и перенаправляет трафик LAN.
● Частые вопросы
Что такое ARP?
Канальный протокол (RFC 826), сопоставляющий IPv4-адрес с MAC-адресом узла в том же широковещательном домене, чтобы можно было доставлять кадры. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает ARP?
Канальный протокол (RFC 826), сопоставляющий IPv4-адрес с MAC-адресом узла в том же широковещательном домене, чтобы можно было доставлять кадры.
Как защититься от ARP?
Защита от ARP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия ARP?
Распространённые альтернативные названия: Протокол разрешения адресов.