قد تكون على دراية بمفهوم عناوين IP. كل كمبيوتر على الشبكة لديه واحد على الأقل. عند الاتصال بين الشبكات ، تحدد عناوين IP هذه بشكل فريد مصدر ووجهة حركة مرور الشبكة بحيث يمكن تسليمها والاستجابة لها بشكل موثوق. عند الاتصال بجهاز على نفس الشبكة ، لا يستخدم الكمبيوتر عنوان IP مباشرةً. بدلاً من ذلك ، فإنه يترجم عنوان IP هذا إلى عنوان MAC. ARP هو بروتوكول لإدارة ترجمات IP إلى MAC وإيصال ذلك عبر الشبكة.
ARP تعني بروتوكول تحليل العنوان. إنه بروتوكول عديم الحالة يحتوي على مكونات البث والاستجابة للطلب. يستخدم ARP بشكل أساسي في شبكات IPv4 ، على الرغم من أن أنظمة الشبكات الأخرى تستخدمه أيضًا. تنفذ شبكات IPv6 وظائف ARP وبعض الوظائف الإضافية مع NDP. أو بروتوكول اكتشاف الجوار.
يتم تخزين عناوين MAC التي تم تحديدها في جدول ARP على كل جهاز. تنتهي صلاحية كل إدخال في جدول ARP بانتظام. ولكن يمكن تحديثها بشكل سلبي حيث يتم بث حركة مرور ARP إلى الشبكة ، مما يقلل من إجمالي كمية حركة مرور ARP المطلوبة.
مسبار ARP والاستجابة
إذا احتاج الكمبيوتر إلى إرسال حزمة شبكة ، فإنه يبحث في عنوان IP الوجهة. إنه يعرف أنه يحتاج إلى إرساله إلى جهاز التوجيه للأجهزة الموجودة في شبكة مختلفة. يمكن لهذا بعد ذلك توجيه الحزمة إلى الشبكة الصحيحة. إذا كانت الحزمة مخصصة لجهاز موجود على الشبكة المحلية ، يحتاج الكمبيوتر إلى معرفة عنوان MAC الصحيح لإرسالها إليه.
كأول منفذ للاتصال ، سيتحقق الكمبيوتر من جدول ARP الخاص به. يجب أن يحتوي هذا على قائمة بجميع الأجهزة المعروفة على الشبكة المحلية. إذا كان عنوان IP و MAC الهدف موجودان ، فسيستخدم جدول ARP لإكمال الحزمة وإرسالها. إذا لم يكن لعنوان IP إدخال في جدول ARP ، فيجب أن يكتشفه الكمبيوتر عبر مسبار ARP.
يبث الكمبيوتر مسبار ARP إلى الشبكة يسأل "من لديه
ملحوظة: استجابة مسبار ARP هي أيضًا بث. يسمح هذا لجميع أجهزة الشبكة الأخرى بتحديث جداول ARP الخاصة بهم دون مطالبتهم بعمل تحقيقات ARP متطابقة. هذا يساعد على تقليل حركة مرور ARP.
مسبار ARP عند الاتصال
عندما يتصل جهاز كمبيوتر بشبكة ، يجب أن يحصل على عنوان IP. يمكن تحديد ذلك يدويًا ولكن عادةً ما يتم تخصيصه ديناميكيًا بواسطة DHCP (بروتوكول التحكم الديناميكي للمضيف) الخادم. يعد خادم DHCP بشكل عام إحدى وظائف جهاز توجيه الشبكة ولكن يمكن تشغيله بواسطة جهاز منفصل. بمجرد حصول الجهاز الجديد على عنوان IP ، إما من خلال التكوين اليدوي أو DHCP. يجب أن يتحقق الجهاز بسرعة من عدم وجود جهاز آخر يستخدم عنوان IP هذا بالفعل.
للقيام بذلك ، يبث الجهاز حزمة مسبار ARP ، ويطلب أي جهاز يستخدم عنوان IP المعين حديثًا للرد عليه. الاستجابة المتوقعة هي الصمت. يجب ألا يتفاعل أي جهاز آخر ، خاصة في شبكة DHCP. بعد تأخيرات قصيرة ، سيبث الجهاز نفس الرسالة مرة أخرى عدة مرات. يساعد هذا التكرار في الحالات التي قد يتم فيها إسقاط حزمة واحدة في الطريق إلى أو من جهاز بعنوان IP متعارض. بمجرد عدم وجود ردود على بعض تحقيقات ARP ، يمكن للجهاز البدء في استخدام عنوان IP الجديد الخاص به. للقيام بذلك ، تحتاج إلى إرسال ARP غير مبرر.
ARP غير المبرر
بمجرد أن يقرر الجهاز أن عنوان IP الذي يريد استخدامه لا يتم استخدامه ، فإنه يرسل ARP غير مبرر. يتضمن هذا ببساطة البث إلى الشبكة "
يتم إرسال طلبات ARP غير المبررة أيضًا إلى الشبكة بشكل منتظم كتذكير لجميع الأجهزة الأخرى بأن الكمبيوتر لا يزال متصلاً بالإنترنت وله عنوان IP الخاص به.
انتحال ARP
ARP هو بروتوكول عديم الحالة ، ولا يوجد اتصال ، ويتم بث جميع الرسائل إلى الشبكة بشكل عام. تستمع جميع الأجهزة إلى استجابات ARP وتخزنها مؤقتًا في جداول ARP الخاصة بها. هذا ، ومع ذلك ، يؤدي إلى وجود ثغرة في النظام. بافتراض أن المهاجم يمكنه الاتصال فعليًا بالشبكة ، فيمكنه تشغيل البرامج التي تبث بشكل ضار حزم استجابة ARP غير مبررة. سيرى كل جهاز على الشبكة حزم ARP الضارة ، ويثق بها ضمنيًا ، ويحدّث جداول التوجيه الخاصة بها. يشار إلى جداول ARP غير الصحيحة هذه الآن باسم "المسمومة".
يمكن استخدام هذا فقط لإحداث مشكلات في الشبكة من خلال توجيه حركة المرور في الاتجاه الخاطئ. ومع ذلك ، هناك سيناريو أسوأ. إذا قام المهاجم بسخرية حزم ARP لعنوان IP الخاص بالموجه ووجهها إلى أجهزتهم الخاصة ، فسيستقبلون ويكونون قادرين على رؤية كل حركة مرور الشبكة. بافتراض أن الجهاز لديه اتصال شبكة آخر لإعادة توجيه حركة المرور ، فقد يستغرق الأمر رجلًا في المنتصف (MitM) موقع. يسمح هذا للمهاجم بتنفيذ هجمات سيئة مثل تجريد HTTPS ، مما قد يسمح له برؤية وتعديل كل حركة مرور الشبكة.
ملحوظة: هناك بعض الحماية ضد هجمات MitM. لن يتمكن المهاجم من نسخ شهادة HTTPS لموقع ويب. يجب أن يحصل أي مستخدم لديه حركة مرور تم اعتراضه على أخطاء في شهادة المتصفح.
ومع ذلك ، هناك العديد من الاتصالات الأساسية وغير المشفرة ، خاصة على الشبكة الداخلية. هذا ليس هو الحال كثيرًا على شبكة منزلية. ومع ذلك ، فإن شبكات الشركات المبنية على Windows معرضة بشكل خاص لهجمات انتحال ARP.
استنتاج
ARP تعني بروتوكول تحليل العنوان. يتم استخدامه في شبكات IPv4 لترجمة عناوين IP إلى عناوين MAC كما هو مطلوب في الشبكات المحلية. وهو يتألف من عمليات البث للطلب والاستجابة عديمي الجنسية. الاستجابات ، أو عدم وجودها ، تسمح للجهاز بتحديد عنوان MAC المرتبط بعنوان IP أو إذا كان عنوان IP غير مستخدم. أجهزة التخزين المؤقت لاستجابات ARP لتحديث جداول ARP الخاصة بهم.
قد تبث الأجهزة بانتظام إعلانات مجانية تفيد بأن عنوان MAC الخاص بها مرتبط بعنوان IP الخاص بها. يسمح عدم وجود آلية مصادقة للمستخدم الضار ببث حزم ARP الزائفة لتسميم جداول ARP وتوجيه حركة المرور لأنفسهم لإجراء تحليل حركة المرور أو هجمات MitM.