Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 071

ARP

ПроверилCybersecurity entrepreneur & security researcher

Что такое ARP?

ARPКанальный протокол (RFC 826), сопоставляющий IPv4-адрес с MAC-адресом узла в том же широковещательном домене, чтобы можно было доставлять кадры.


Address Resolution Protocol описан в RFC 826 (1982) и работает на стыке канального и сетевого уровней. Когда узлу нужно отправить IPv4-пакет получателю в той же подсети, он рассылает широковещательный ARP-запрос («у кого 192.168.1.1?»), а владелец отвечает своим MAC-адресом. Соответствие кешируется в ARP-таблице для последующих кадров.

flowchart TD
  H[Узел A ищет 192.168.1.1] -->|"широковещание: у кого .1?"| LAN[(Широковещательный домен)]
  LAN --> GW[Шлюз .1]
  LAN --> ATK[Атакующий]
  GW -->|"ответ: .1 это aa:bb:cc"| H
  ATK -->|"gratuitous-ответ: .1 это мой MAC"| H
  H -.->|кеш отравлен| ATK
  ATK -->|ретрансляция / перехват| GW

У ARP нет аутентификации, поэтому любой узел сегмента может ответить или отправить незапрошенные gratuitous-ответы. На этом строится ARP-спуфинг / ARP-отравление: трафик перенаправляется через злоумышленника для перехвата или подмены — классический приём «человек посередине» (on-path), автоматизированный такими инструментами, как arpspoof (из dsniff), Ettercap и Bettercap. Поскольку ответы перезаписывают записи кеша без всякой проверки, нескольких пакетов в секунду достаточно, чтобы поддерживать перехват. Защита на управляемых коммутаторах включает Dynamic ARP Inspection (DAI), который сверяет ответы с таблицей привязок DHCP snooping, а также статические ARP-записи для критичных узлов, port security и сегментацию границ доверия с помощью VLAN. В IPv6 вместо ARP используется Neighbor Discovery (ICMPv6, RFC 4861), чьё расширение SEND (RFC 3971) добавляет криптографически генерируемые адреса, чтобы противостоять тому же классу спуфинга.

Примеры

  1. 01

    В Wireshark видно ARP-запросы и ответы, когда узел при запуске узнаёт MAC-адрес шлюза по умолчанию.

  2. 02

    Злоумышленник рассылает gratuitous ARP-ответы, выдавая себя за обладателя IP шлюза, и перенаправляет трафик LAN.

Частые вопросы

Что такое ARP?

Канальный протокол (RFC 826), сопоставляющий IPv4-адрес с MAC-адресом узла в том же широковещательном домене, чтобы можно было доставлять кадры. Относится к категории Сетевая безопасность в кибербезопасности.

Что означает ARP?

Канальный протокол (RFC 826), сопоставляющий IPv4-адрес с MAC-адресом узла в том же широковещательном домене, чтобы можно было доставлять кадры.

Как защититься от ARP?

Защита от ARP обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия ARP?

Распространённые альтернативные названия: Протокол разрешения адресов.

Связанные термины

См. также