Ίσως να είστε εξοικειωμένοι με την έννοια των διευθύνσεων IP. Κάθε υπολογιστής σε ένα δίκτυο έχει τουλάχιστον έναν. Κατά την επικοινωνία μεταξύ δικτύων, αυτές οι διευθύνσεις IP προσδιορίζουν μοναδικά την πηγή και τον προορισμό της κίνησης του δικτύου, ώστε να μπορεί να παραδοθεί και να ανταποκριθεί αξιόπιστα. Κατά την επικοινωνία με μια συσκευή στο ίδιο δίκτυο, ένας υπολογιστής δεν χρησιμοποιεί απευθείας τη διεύθυνση IP. Αντίθετα, μεταφράζει αυτή τη διεύθυνση IP σε διεύθυνση MAC. Το ARP είναι το πρωτόκολλο για τη διαχείριση των μεταφράσεων IP σε MAC και την επικοινωνία τους στο δίκτυο.
Το ARP σημαίνει Address Resolution Protocol. Είναι ένα πρωτόκολλο χωρίς κατάσταση που έχει στοιχεία εκπομπής και αιτήματος-απόκρισης. Το ARP χρησιμοποιείται κυρίως σε δίκτυα IPv4, αν και το χρησιμοποιούν και άλλα συστήματα δικτύωσης. Τα δίκτυα IPv6 υλοποιούν λειτουργίες ARP και ορισμένες πρόσθετες λειτουργίες με το NDP. Ή Πρωτόκολλο Ανακάλυψης Γείτονα.
Οι διευθύνσεις MAC που έχουν εντοπιστεί αποθηκεύονται σε έναν πίνακα ARP σε κάθε συσκευή. Κάθε καταχώρηση στον πίνακα ARP λήγει τακτικά. Αλλά μπορεί να ενημερωθεί παθητικά καθώς η κυκλοφορία ARP μεταδίδεται στο δίκτυο, ελαχιστοποιώντας τη συνολική ποσότητα της κίνησης ARP που απαιτείται.
ARP Probe and Response
Εάν ένας υπολογιστής χρειάζεται να μεταδώσει ένα πακέτο δικτύου, κοιτάζει τη διεύθυνση IP προορισμού. Γνωρίζει ότι πρέπει να το στείλει στο δρομολογητή για συσκευές σε διαφορετικό δίκτυο. Αυτό μπορεί στη συνέχεια να κατευθύνει το πακέτο στο σωστό δίκτυο. Εάν το πακέτο προορίζεται για μια συσκευή στο τοπικό δίκτυο, ο υπολογιστής πρέπει να γνωρίζει τη σωστή διεύθυνση MAC για να το στείλει.
Ως πρώτη θύρα κλήσης, ο υπολογιστής θα ελέγξει τον πίνακα ARP του. Αυτό θα πρέπει να έχει μια λίστα με όλες τις γνωστές συσκευές στο τοπικό δίκτυο. Εάν υπάρχουν η διεύθυνση IP και η διεύθυνση MAC προορισμού, θα χρησιμοποιήσει τον πίνακα ARP για να συμπληρώσει και να στείλει το πακέτο. Εάν η διεύθυνση IP δεν έχει καταχώριση στον πίνακα ARP, ο υπολογιστής πρέπει να το μάθει μέσω ενός αισθητήρα ARP.
Ο υπολογιστής εκπέμπει έναν αισθητήρα ARP στο δίκτυο ρωτώντας «ποιος έχει
Σημείωση: Η απόκριση του αισθητήρα ARP είναι επίσης μια εκπομπή. Αυτό επιτρέπει σε όλες τις άλλες συσκευές δικτύου να ενημερώνουν τους πίνακες ARP τους χωρίς να απαιτείται από αυτές να κάνουν πανομοιότυπους ανιχνευτές ARP. Αυτό βοηθά στην ελαχιστοποίηση της κυκλοφορίας ARP.
ARP Probe κατά τη σύνδεση
Όταν ένας υπολογιστής συνδέεται σε ένα δίκτυο, πρέπει να λάβει μια διεύθυνση IP. Αυτό μπορεί να καθοριστεί με μη αυτόματο τρόπο, αλλά συνήθως εκχωρείται δυναμικά από ένα DHCP (Πρωτόκολλο Dynamic Host Control) διακομιστή. Ο διακομιστής DHCP είναι γενικά μια λειτουργία του δρομολογητή δικτύου, αλλά μπορεί να εκτελεστεί από μια ξεχωριστή συσκευή. Μόλις μια νέα συσκευή έχει μια διεύθυνση IP, είτε μέσω μη αυτόματης διαμόρφωσης είτε μέσω DHCP. Η συσκευή πρέπει γρήγορα να επαληθεύσει ότι καμία άλλη συσκευή δεν χρησιμοποιεί ήδη αυτήν τη διεύθυνση IP.
Για να γίνει αυτό, η συσκευή εκπέμπει ένα πακέτο ανιχνευτή ARP, ζητώντας να ανταποκριθεί σε οποιαδήποτε συσκευή που χρησιμοποιεί τη διεύθυνση IP που της έχει εκχωρηθεί πρόσφατα. Η αναμενόμενη απάντηση είναι η σιωπή. Καμία άλλη συσκευή δεν πρέπει να αντιδρά, ειδικά σε ένα δίκτυο DHCP. Μετά από μικρές καθυστερήσεις, η συσκευή θα μεταδώσει ξανά το ίδιο μήνυμα μερικές φορές. Αυτή η επανάληψη βοηθά σε περιπτώσεις όπου ένα πακέτο μπορεί να έχει πέσει καθ' οδόν προς ή από μια συσκευή με διένεξη διεύθυνση IP. Μόλις δεν υπάρξουν απαντήσεις σε μερικούς ανιχνευτές ARP, η συσκευή μπορεί να αρχίσει να χρησιμοποιεί τη νέα της διεύθυνση IP. Για να γίνει αυτό, πρέπει να στείλει ένα δωρεάν ARP.
Χαριστικό ARP
Μόλις μια συσκευή διαπιστώσει ότι η διεύθυνση IP που θέλει να χρησιμοποιήσει δεν χρησιμοποιείται, στέλνει ένα δωρεάν ARP. Αυτό περιλαμβάνει απλώς μετάδοση στο δίκτυο "
Τα δωρεάν αιτήματα ARP αποστέλλονται επίσης τακτικά στο δίκτυο ως υπενθυμίσεις σε όλες τις άλλες συσκευές ότι ο υπολογιστής είναι ακόμα συνδεδεμένος, συνδεδεμένος και έχει τη διεύθυνση IP του.
ARP Spoofing
Το ARP είναι πρωτόκολλο χωρίς κατάσταση, δεν υπάρχει σύνδεση και όλα τα μηνύματα μεταδίδονται στο δίκτυο γενικά. Όλες οι συσκευές ακούν και αποθηκεύουν τις αποκρίσεις ARP στους πίνακες ARP τους. Αυτό, ωστόσο, οδηγεί σε μια ευπάθεια στο σύστημα. Υποθέτοντας ότι ένας εισβολέας μπορεί να συνδεθεί φυσικά στο δίκτυο, μπορεί να εκτελέσει λογισμικό που εκπέμπει κακόβουλα λανθασμένα άδικα πακέτα απόκρισης ARP. Κάθε συσκευή στο δίκτυο θα βλέπει τα κακόβουλα πακέτα ARP, θα τα εμπιστεύεται σιωπηρά και θα ενημερώνει τους πίνακες δρομολόγησης τους. Αυτοί οι τώρα εσφαλμένοι πίνακες ARP αναφέρονται ως "δηλητηριασμένοι".
Αυτό θα μπορούσε απλώς να χρησιμοποιηθεί για να προκαλέσει προβλήματα δικτύου στρέφοντας την κυκλοφορία προς τη λάθος κατεύθυνση. Υπάρχει όμως και χειρότερο σενάριο. Εάν ο εισβολέας παραπλανήσει πακέτα ARP για τη διεύθυνση IP του δρομολογητή και τα υποδείξει στη δική του συσκευή, θα λάβει και θα μπορεί να δει όλη την κίνηση του δικτύου. Υποθέτοντας ότι η συσκευή έχει άλλη σύνδεση δικτύου για την προώθηση της κυκλοφορίας, μπορεί να χρειαστεί ένας άνθρωπος στη μέση (MitM) θέση. Αυτό επιτρέπει στον εισβολέα να εκτελεί δυσάρεστες επιθέσεις, όπως απογύμνωση HTTPS, επιτρέποντάς του ενδεχομένως να δει και να τροποποιήσει όλη την κίνηση του δικτύου.
Σημείωση: Υπάρχουν ορισμένες προστασίες έναντι επιθέσεων MitM. Ο εισβολέας δεν θα μπορούσε να αντιγράψει το πιστοποιητικό HTTPS ενός ιστότοπου. Οποιοσδήποτε χρήστης που έχει υποκλαπεί την κυκλοφορία θα πρέπει να λαμβάνει σφάλματα πιστοποιητικού προγράμματος περιήγησης.
Υπάρχουν, ωστόσο, πολλές βασικές και μη κρυπτογραφημένες επικοινωνίες, ειδικά σε ένα εσωτερικό δίκτυο. Αυτό δεν συμβαίνει τόσο σε ένα οικιακό δίκτυο. Ωστόσο, τα εταιρικά δίκτυα που είναι χτισμένα σε Windows είναι ιδιαίτερα ευάλωτα σε επιθέσεις πλαστογράφησης ARP.
συμπέρασμα
Το ARP σημαίνει Address Resolution Protocol. Χρησιμοποιείται σε δίκτυα IPv4 για τη μετάφραση διευθύνσεων IP σε διευθύνσεις MAC όπως απαιτείται στα τοπικά δίκτυα. Αποτελείται από εκπομπές αιτημάτων και απαντήσεων ανιθαγενών. Οι αποκρίσεις ή η έλλειψή τους επιτρέπουν σε μια συσκευή να προσδιορίσει ποια διεύθυνση MAC σχετίζεται με μια διεύθυνση IP ή εάν μια διεύθυνση IP δεν χρησιμοποιείται. Οι συσκευές αποθηκεύουν προσωρινά τις απαντήσεις ARP για να ενημερώσουν τους πίνακες ARP τους.
Οι συσκευές μπορούν επίσης να μεταδίδουν τακτικά άσκοπες ανακοινώσεις ότι η διεύθυνση MAC τους σχετίζεται με τη διεύθυνση IP τους. Η έλλειψη μηχανισμού ελέγχου ταυτότητας επιτρέπει σε έναν κακόβουλο χρήστη να εκπέμπει ψεύτικα πακέτα ARP για να δηλητηριάσει πίνακες ARP και να κατευθύνει την κυκλοφορία στον εαυτό του για να εκτελέσει ανάλυση κυκλοφορίας ή επιθέσεις MitM.