Mikä on ARP (Address Resolution Protocol)?

Saatat olla perehtynyt IP-osoitteiden käsitteeseen. Jokaisessa verkon tietokoneessa on vähintään yksi. Kun kommunikoidaan verkkojen välillä, nämä IP-osoitteet yksilöivät verkkoliikenteen lähteen ja määränpään, jotta se voidaan toimittaa ja vastata luotettavasti. Kun tietokone on yhteydessä samassa verkossa olevaan laitteeseen, se ei käytä suoraan IP-osoitetta. Sen sijaan se muuttaa IP-osoitteen MAC-osoitteeksi. ARP on protokolla, jolla hallinnoidaan IP-MAC-käännöksiä ja viestitään tästä verkon ympäri.

ARP tulee sanoista Address Resolution Protocol. Se on tilaton protokolla, jossa on lähetys- ja pyyntö-vastauskomponentit. ARP: tä käytetään ensisijaisesti IPv4-verkoissa, mutta myös muut verkkojärjestelmät käyttävät sitä. IPv6-verkot toteuttavat ARP-toiminnallisuuden ja joitain lisätoimintoja NDP: n avulla. Tai Neighbor Discovery Protocol.

Tunnistetut MAC-osoitteet tallennetaan kunkin laitteen ARP-taulukkoon. Jokainen ARP-taulukon merkintä vanhenee säännöllisesti. Mutta se voidaan päivittää passiivisesti, kun ARP-liikennettä lähetetään verkkoon, mikä minimoi tarvittavan ARP-liikenteen kokonaismäärän.

ARP-anturi ja vastaus

Jos tietokoneen on lähetettävä verkkopaketti, se tarkastelee kohde-IP-osoitetta. Se tietää, että sen on lähetettävä se reitittimeen eri verkossa oleville laitteille. Tämä voi sitten ohjata paketin oikeaan verkkoon. Jos paketti on tarkoitettu lähiverkon laitteelle, tietokoneen on tiedettävä oikea MAC-osoite lähettääkseen sen.

Ensimmäisenä puheluporttina tietokone tarkistaa ARP-taulukkonsa. Tässä pitäisi olla luettelo kaikista paikallisen verkon tunnetuista laitteista. Jos kohde-IP- ja MAC-osoite ovat olemassa, se käyttää ARP-taulukkoa paketin täydentämiseen ja lähettämiseen. Jos IP-osoitteessa ei ole merkintää ARP-taulukossa, tietokoneen tulee selvittää se ARP-anturin kautta.

Tietokone lähettää ARP-anturin verkkoon kysyen "kulla on " kanssa korvasi asiaankuuluvan IP-osoitteen. Jokainen verkon laite näkee tämän viestin lähetyksenä. Useimmat jättävät sen huomiotta, koska se ei ole suunnattu heille. Mutta laite, jolla on tämä IP-osoite, vastaa toisella lähetysviestillä, jossa sanotaan " kuuluu ”taas kanssa ja korvataan vastaavilla arvoilla. Alkuperäinen tietokone päivittää sitten ARP-taulukkonsa ja lähettää paketin aiotulle vastaanottajalle.

merkintä: ARP-anturin vastaus on myös lähetys. Tämä sallii kaikkien muiden verkkolaitteiden päivittää ARP-taulukkonsa ilman, että niiden on tehtävä identtisiä ARP-antureita. Tämä auttaa minimoimaan ARP-liikenteen.

ARP Probe on Connection

Kun tietokone muodostaa yhteyden verkkoon, sen on saatava IP-osoite. Tämä voidaan määrittää manuaalisesti, mutta tyypillisesti sen varaa dynaamisesti DHCP (Dynamic Host Control Protocol) palvelin. DHCP-palvelin on yleensä verkkoreitittimen toiminto, mutta sitä voidaan käyttää erillisellä laitteella. Kun uudella laitteella on IP-osoite joko manuaalisen konfiguroinnin tai DHCP: n kautta. Laitteen on nopeasti varmistettava, ettei mikään muu laite jo käytä kyseistä IP-osoitetta.

Tätä varten laite lähettää ARP-koetinpaketin, joka pyytää mitä tahansa laitetta, joka käyttää sen äskettäin määritettyä IP-osoitetta, vastaamaan siihen. Odotettu vastaus on hiljaisuus. Mikään muu laite ei saa reagoida, etenkään DHCP-verkossa. Lyhyen viiveen jälkeen laite lähettää saman viestin uudelleen muutaman kerran. Tämä toisto auttaa tapauksissa, joissa yksi paketti on saatettu pudota matkalla laitteelle, jolla on ristiriitainen IP-osoite. Kun muutamaan ARP-anturiin ei ole vastattu, laite voi alkaa käyttää uutta IP-osoitettaan. Tätä varten sen on lähetettävä maksuton ARP.

Ilmainen ARP

Kun laite on todennut, että IP-osoitetta, jota se haluaa käyttää, ei käytetä, se lähettää maksuttoman ARP: n. Tämä tarkoittaa yksinkertaisesti lähettämistä verkkoon " on .” Tämä on tyypillisesti muotoiltu ikään kuin se olisi vastaus tavalliseen ARP-anturiin, ilman että ARP-anturi koskaan pyytäisi sitä, mistä johtuu nimi "ilmainen ARP".

Maksuttomia ARP-pyyntöjä lähetetään myös säännöllisesti verkkoon muistutuksina kaikille muille laitteille, että tietokone on edelleen yhteydessä, online-tilassa ja sillä on IP-osoite.

ARP huijaus

ARP on tilaton protokolla, yhteyttä ei ole, ja kaikki viestit lähetetään verkkoon yleisesti. Kaikki laitteet kuuntelevat ja tallentavat ARP-vastauksia ARP-taulukoihinsa. Tämä kuitenkin johtaa järjestelmän haavoittuvuuteen. Olettaen, että hyökkääjä voi muodostaa fyysisen yhteyden verkkoon, hän voi käyttää ohjelmistoja, jotka lähettävät haitallisesti vääriä vastineita ARP-vastauspaketteja. Jokainen verkon laite näkee haitalliset ARP-paketit, luottaa niihin implisiittisesti ja päivittää reititystaulukkonsa. Näitä nyt vääriä ARP-taulukoita kutsutaan "myrkytyiksi".

Tätä voidaan käyttää vain aiheuttamaan verkkoongelmia ohjaamalla liikennettä väärään suuntaan. On kuitenkin olemassa pahempi skenaario. Jos hyökkääjä huijaa ARP-paketteja reitittimen IP-osoitteelle ja osoittaa ne omalle laitteelleen, hän vastaanottaa ja näkee kaiken verkkoliikenteen. Olettaen, että laitteessa on toinen verkkoyhteys liikenteen välittämiseen, se voi kestää Man in the Middle (MitM) asema. Tämän ansiosta hyökkääjä voi suorittaa ikäviä hyökkäyksiä, kuten HTTPS-strippausta, jolloin he voivat nähdä ja muokata kaikkea verkkoliikennettä.

merkintä: MitM-hyökkäyksiä vastaan ​​on joitain suojauksia. Hyökkääjä ei pystyisi kopioimaan verkkosivuston HTTPS-varmennetta. Kaikkien liikennettä siepattujen käyttäjien tulee saada selaimen varmennevirheitä.

On kuitenkin olemassa monia olennaista ja salaamatonta viestintää, erityisesti sisäisessä verkossa. Tämä ei niinkään päde kotiverkossa. Silti Windowsiin rakennetut yritysverkot ovat erityisen herkkiä ARP-huijaushyökkäyksille.

ARP-myrkytys mahdollistaa MitM-hyökkäykset – Lähde: Wikipedia

Johtopäätös

ARP tulee sanoista Address Resolution Protocol. Sitä käytetään IPv4-verkoissa IP-osoitteiden muuntamiseen MAC-osoitteiksi paikallisten verkkojen tarpeen mukaan. Se koostuu tilattomista pyyntö- ja vastauslähetyksistä. Vastaukset tai niiden puuttuminen antavat laitteen määrittää, mikä MAC-osoite liittyy IP-osoitteeseen tai onko IP-osoite käyttämätön. Laitteet tallentavat ARP-vastaukset välimuistiin päivittääkseen ARP-taulukkonsa.

Laitteet voivat myös säännöllisesti lähettää ilmaisia ​​ilmoituksia siitä, että niiden MAC-osoite on liitetty niiden IP-osoitteeseen. Todennusmekanismin puuttuminen sallii ilkeäkäyttäjän lähettää vääriä ARP-paketteja myrkyttääkseen ARP-taulukoita ja ohjata liikennettä itselleen suorittaakseen liikenneanalyysin tai MitM-hyökkäyksiä.