Talán ismeri az IP-címek fogalmát. A hálózat minden számítógépén van legalább egy. A hálózatok közötti kommunikáció során ezek az IP-címek egyedileg azonosítják a hálózati forgalom forrását és célját, így az megbízhatóan kézbesíthető és válaszolható. Amikor ugyanazon a hálózaton lévő eszközzel kommunikál, a számítógép nem használja közvetlenül az IP-címet. Ehelyett ezt az IP-címet MAC-címre fordítja. Az ARP az IP-MAC fordítások kezelésének és a hálózaton belüli kommunikációjának protokollja.
Az ARP az Address Resolution Protocol rövidítése. Ez egy állapot nélküli protokoll, amely üzenetszórási és kérés-válasz összetevőket tartalmaz. Az ARP-t elsősorban IPv4-hálózatokban használják, bár más hálózati rendszerek is használják. Az IPv6-hálózatok ARP-funkciókat és néhány további funkciót valósítanak meg az NDP-vel. Vagy a Neighbor Discovery Protocol.
Az azonosított MAC-címek minden eszközön ARP-táblázatban vannak tárolva. Az ARP tábla minden bejegyzése rendszeresen lejár. De passzívan frissíthető, mivel az ARP-forgalom a hálózatra kerül, minimalizálva a szükséges ARP-forgalom teljes mennyiségét.
ARP szonda és válasz
Ha egy számítógépnek hálózati csomagot kell továbbítania, akkor megnézi a cél IP-címét. Tudja, hogy el kell küldenie az útválasztónak egy másik hálózaton lévő eszközök esetén. Ez aztán a megfelelő hálózatra irányíthatja a csomagot. Ha a csomagot a helyi hálózaton lévő eszközhöz szánják, a számítógépnek ismernie kell a helyes MAC-címet, amelyre elküldheti.
Első hívási portként a számítógép ellenőrzi az ARP-táblázatát. Ennek tartalmaznia kell egy listát a helyi hálózat összes ismert eszközéről. Ha a cél IP és MAC cím ott van, akkor az ARP táblát fogja használni a csomag befejezéséhez és elküldéséhez. Ha az IP-cím nem tartalmaz bejegyzést az ARP-táblázatban, akkor a számítógépnek egy ARP-szondán keresztül kell kiderítenie.
A számítógép egy ARP-szondát sugároz a hálózatnak, amely megkérdezi: „Kinek van
Jegyzet: Az ARP szonda válasza is egy broadcast. Ez lehetővé teszi az összes többi hálózati eszköz számára, hogy frissítse ARP-tábláit anélkül, hogy azonos ARP-próbákat kellene készítenie. Ez segít minimalizálni az ARP forgalmat.
ARP Probe on Connection
Amikor egy számítógép csatlakozik a hálózathoz, meg kell kapnia egy IP-címet. Ez manuálisan megadható, de jellemzően dinamikusan egy DHCP (Dynamic Host Control Protocol) szerver. A DHCP-szerver általában a hálózati útválasztó funkciója, de külön eszközön is futtatható. Ha egy új eszköz rendelkezik IP-címmel, akár kézi konfigurációval, akár DHCP-vel. Az eszköznek gyorsan ellenőriznie kell, hogy más eszköz már nem használja-e ezt az IP-címet.
Ennek érdekében az eszköz egy ARP-próbacsomagot sugároz, és megkérdezi, hogy az újonnan hozzárendelt IP-címét használó bármely eszköz válaszoljon rá. A várt válasz a csend. Más eszköz nem reagálhat, különösen DHCP-hálózatban. Rövid késleltetés után a készülék néhányszor ismét kisugározza ugyanazt az üzenetet. Ez az ismétlés segít azokban az esetekben, amikor egy csomag leeshetett az ütköző IP-című eszköz felé vagy onnan indulva. Miután néhány ARP-próbára nem érkezett válasz, az eszköz elkezdheti használni az új IP-címét. Ehhez ingyenes ARP-t kell küldenie.
Ingyenes ARP
Ha egy eszköz megállapította, hogy a használni kívánt IP-cím nincs használatban, akkor ingyenes ARP-t küld. Ez egyszerűen a hálózatra történő sugárzást foglalja magában.
Az ingyenes ARP-kéréseket is rendszeresen küldik a hálózatnak, emlékeztetőül az összes többi eszköznek, hogy a számítógép továbbra is csatlakoztatva van, online, és megvan az IP-címe.
ARP hamisítás
Az ARP állapot nélküli protokoll, nincs kapcsolat, és az összes üzenetet a hálózat sugározza. Minden eszköz figyeli és gyorsítótárazza az ARP-válaszokat az ARP-táblázatában. Ez azonban a rendszer sérüléséhez vezet. Feltételezve, hogy a támadó fizikailag csatlakozni tud a hálózathoz, olyan szoftvert futtathat, amely rosszindulatúan hibás, ingyenes ARP-válaszcsomagokat sugároz. A hálózat minden eszköze látni fogja a rosszindulatú ARP-csomagokat, hallgatólagosan megbízik bennük, és frissíti az útválasztási táblákat. Ezeket a ma már helytelen ARP-táblákat „mérgezettnek” nevezik.
Ez csak hálózati problémák okozására használható, mivel a forgalmat rossz irányba irányítja. Van azonban ennél rosszabb forgatókönyv is. Ha a támadó meghamisítja az ARP-csomagokat az útválasztó IP-címéhez, és a saját eszközére irányítja azokat, akkor megkapja és láthatja az összes hálózati forgalmat. Feltételezve, hogy az eszköznek van egy másik hálózati kapcsolata a forgalom továbbítására, eltarthat egy Man in the Middle (MitM) pozíció. Ez lehetővé teszi a támadó számára, hogy csúnya támadásokat hajtson végre, például HTTPS-levonást, ami potenciálisan lehetővé teszi számukra, hogy lássák és módosítsák az összes hálózati forgalmat.
Jegyzet: Van néhány védelem a MitM támadások ellen. A támadó nem tudja lemásolni egy webhely HTTPS-tanúsítványát. Minden olyan felhasználónak, akinek a forgalmat elfogták, böngészőtanúsítvány-hibákat kell kapnia.
Számos alapvető és titkosítatlan kommunikáció létezik azonban, különösen a belső hálózaton. Otthoni hálózaton ez nem annyira. Ennek ellenére a Windowsra épített vállalati hálózatok különösen érzékenyek az ARP-hamisítási támadásokra.
Következtetés
Az ARP az Address Resolution Protocol rövidítése. IPv4-hálózatokban használják az IP-címek MAC-címekké történő fordítására, a helyi hálózatokban szükségesnek megfelelően. Állam nélküli kérés- és válaszadásokból áll. A válaszok vagy azok hiánya lehetővé teszi az eszköz számára, hogy megállapítsa, melyik MAC-cím van társítva egy IP-címhez, vagy ha egy IP-cím nincs használatban. Az eszközök gyorsítótárazzák az ARP-válaszokat az ARP-táblázatuk frissítéséhez.
Az eszközök rendszeresen sugározhatnak ingyenes bejelentéseket arról, hogy MAC-címük az IP-címükhöz van társítva. A hitelesítési mechanizmus hiánya lehetővé teszi a rosszindulatú felhasználók számára, hogy hamis ARP-csomagokat sugározzanak, hogy megmérgezzék az ARP-táblákat, és magukhoz irányítsák a forgalmat, hogy forgalomelemzést vagy MitM-támadásokat hajtsanak végre.