Možda ste upoznati s konceptom IP adresa. Svako računalo na mreži ima barem jedno. Kada komunicirate između mreža, ove IP adrese jedinstveno identificiraju izvor i odredište mrežnog prometa tako da se može pouzdano isporučiti i na njega odgovoriti. Kada komunicira s uređajem na istoj mreži, računalo ne koristi izravno IP adresu. Umjesto toga, tu IP adresu prevodi u MAC adresu. ARP je protokol za upravljanje prijevodima IP-a na MAC i komunikaciju toga po mreži.
ARP je kratica za Address Resolution Protocol. To je protokol bez stanja koji ima komponente za emitiranje i zahtjev-odgovor. ARP se prvenstveno koristi u IPv4 mrežama, iako ga koriste i drugi mrežni sustavi. IPv6 mreže implementiraju ARP funkcionalnost i neke dodatne funkcije s NDP-om. Ili Neighbor Discovery Protocol.
MAC adrese koje su identificirane pohranjuju se u ARP tablici na svakom uređaju. Svaki unos u ARP tablici redovito ističe. Ali može se pasivno ažurirati kako se ARP promet emitira na mrežu, smanjujući ukupnu količinu potrebnog ARP prometa.
ARP sonda i odgovor
Ako računalo treba poslati mrežni paket, ono gleda odredišnu IP adresu. Zna da ga treba poslati usmjerivaču za uređaje u drugoj mreži. To zatim može usmjeriti paket na pravu mrežu. Ako je paket namijenjen uređaju na lokalnoj mreži, računalo mora znati točnu MAC adresu na koju će ga poslati.
Kao prvi port poziva, računalo će provjeriti svoju ARP tablicu. Ovo bi trebalo sadržavati popis svih poznatih uređaja na lokalnoj mreži. Ako postoje ciljna IP i MAC adresa, koristit će se ARP tablicom za dovršetak i slanje paketa. Ako IP adresa nema unos u ARP tablici, računalo to mora saznati putem ARP sonde.
Računalo šalje ARP probu mreži s pitanjem “tko ima
Bilješka: Odgovor ARP sonde također je emitiranje. To omogućuje svim drugim mrežnim uređajima da ažuriraju svoje ARP tablice bez potrebe da naprave identične ARP sonde. Ovo pomaže smanjiti ARP promet.
ARP sonda pri povezivanju
Kada se računalo spoji na mrežu, mora dobiti IP adresu. To se može ručno odrediti, ali se obično dinamički dodjeljuje DHCP-om (Protokol dinamičke kontrole glavnog računala) poslužitelj. DHCP poslužitelj općenito je funkcija mrežnog usmjerivača, ali ga može pokrenuti zasebni uređaj. Nakon što novi uređaj ima IP adresu, bilo putem ručne konfiguracije ili DHCP-a. Uređaj mora brzo provjeriti da nijedan drugi uređaj već ne koristi tu IP adresu.
Da bi to učinio, uređaj emitira ARP probni paket, tražeći da bilo koji uređaj koji koristi njegovu novododijeljenu IP adresu odgovori na njega. Očekivani odgovor je šutnja. Nijedan drugi uređaj ne bi trebao reagirati, osobito u DHCP mreži. Nakon kratkih odgoda, uređaj će ponovno emitirati istu poruku nekoliko puta. Ovo ponavljanje pomaže u slučajevima kada je jedan paket možda ispušten na putu do ili s uređaja s proturječnom IP adresom. Nakon što nema odgovora na nekoliko ARP sondi, uređaj može početi koristiti svoju novu IP adresu. Da bi to učinio, mora poslati besplatni ARP.
Besplatan ARP
Nakon što uređaj utvrdi da se IP adresa koju želi koristiti ne koristi, šalje besplatni ARP. Ovo jednostavno uključuje emitiranje na mrežu "
Besplatni ARP zahtjevi također se redovito šalju mreži kao podsjetnici svim drugim uređajima da je računalo još uvijek povezano, na mreži i ima svoju IP adresu.
ARP lažiranje
ARP je protokol bez stanja, nema veze i sve se poruke emitiraju u mrežu u cjelini. Svi uređaji slušaju i spremaju ARP odgovore u svoje ARP tablice. To, međutim, dovodi do ranjivosti sustava. Pod pretpostavkom da se napadač može fizički spojiti na mrežu, može pokrenuti softver koji zlonamjerno emitira netočne besplatne ARP pakete odgovora. Svaki uređaj na mreži vidjet će zlonamjerne ARP pakete, implicitno im vjerovati i ažurirati svoje tablice usmjeravanja. Ove sada neispravne ARP tablice nazivaju se "zatrovane".
To se može koristiti samo za izazivanje problema s mrežom usmjeravanjem prometa u krivom smjeru. Međutim, postoji i gori scenarij. Ako napadač lažira ARP pakete za IP adresu usmjerivača i usmjeri ih na vlastiti uređaj, primit će i moći će vidjeti sav mrežni promet. Pod pretpostavkom da uređaj ima drugu mrežnu vezu za prosljeđivanje prometa, može uzeti Čovjeka u sredini (MitM) položaj. To napadaču omogućuje izvođenje gadnih napada kao što je skidanje HTTPS-a, potencijalno dopuštajući mu da vidi i mijenja sav mrežni promet.
Bilješka: Postoje neke zaštite od MitM napada. Napadač ne bi mogao duplicirati HTTPS certifikat web stranice. Svaki korisnik čiji je promet presretnut trebao bi dobiti pogreške certifikata preglednika.
Međutim, postoji mnogo bitnih i nešifriranih komunikacija, osobito na internoj mreži. To nije toliko slučaj na kućnoj mreži. Ipak, korporativne mreže izgrađene na sustavu Windows posebno su osjetljive na ARP spoofing napade.
Zaključak
ARP je kratica za Address Resolution Protocol. Koristi se u IPv4 mrežama za prevođenje IP adresa u MAC adrese prema potrebi u lokalnim mrežama. Sastoji se od emitiranja zahtjeva i odgovora bez stanja. Odgovori, ili nedostatak istih, omogućuju uređaju da odredi koja je MAC adresa povezana s IP adresom ili je li IP adresa neiskorištena. Uređaji predmemoriraju ARP odgovore kako bi ažurirali svoje ARP tablice.
Uređaji također mogu redovito emitirati besplatne obavijesti da je njihova MAC adresa povezana s njihovom IP adresom. Nedostatak mehanizma provjere autentičnosti omogućuje zlonamjernom korisniku da emitira lažne ARP pakete kako bi otrovao ARP tablice i usmjerio promet na sebe kako bi izvršio analizu prometa ili MitM napade.