Vad är ARP-protokollet och hur fungerar det i

Vad är ARP-protokollet och hur fungerar det i

Som i andra protokoll har vi med ARP också olika typer eller olika implementeringar.

Proxy ARP: Först och främst är denna typ av ARP en teknik som i princip används så att proxyservern kan svara på ARP-förfrågningar som ställs till den från IP-adresser som inte tillhör nätverket. Vad detta betyder är att från ett annat nätverk med denna typ av proxy kan ARP-frågor besvaras från olika IP-adresser.

Gratis ARP: Denna typ av ARP är en ARP-begäran som vanligtvis görs av en dators värd och används vanligtvis för identifiering av dubbletter av IP-adresser.

Med andra ord, vad gratis ARP gör är att uppdatera ARP-tabellen för andra nätverksenheter och samtidigt kontrollera om datorvärden använder din ursprungliga IP-adress eller om den använder en annan IP-adress. som är duplicerad. .

Omvänd ARP: Detta protokoll, eller typen av ARP-protokoll, används normalt av våra värddatorer. Det används regelbundet för att extrahera information om vårt eget internetprotokoll, oavsett om det är IPv4 eller IPv6 från nätverket.

Det är lätt att förstå, eftersom vad detta protokoll helt enkelt gör, med andra ord, är ett TCP/IP-nätverksprotokoll genom vilket vi som användare exakt kan få IP-adressinformationen för en nätverksserver.

Ett annat sätt som Inverse ARP eller InARP används är att hitta IP-adressen för enheter med hjälp av MAC-adressen. Detta fall används oftast, till exempel i ATM-nätverk.

På grund av detta behöver slutnoderna inte heller vara helt organiserade för att identifiera MAC-adresserna, utan istället kan de hittas när detta krävs.

Skapande av ARP-meddelanden

ARP-protokollet använder ett enkelt format för sina meddelanden, och du kan skicka förfrågningarna samtidigt som du svarar på dem. Det var i första hand tänkt att användas med IPv4- och MAC-adresser, men det kan också användas med andra nätverksprotokoll. Det är därför det finns andra fält för typ och storlek på hårdvaruadresser och protokoll. Detta får till följd att det kan finnas olika storlekar på ARP-paketen. I en habitual situation är allt detta baserat på användningen av ARP-protokollet i Ethernet och IPv4, som genererar paket med en längd på 224 bitar (28 byte).

ARP-huvudet börjar med information som är 16 bitar lång om typen av hårdvaruadress. I fallet med Ethernet-enheter skulle paketets värde vara 1. Därefter måste protokollet (16 bitar) anges, vilket måste tjäna som grund för upplösningen av ARP-adresser. I det här fallet särskiljs IPv4:erna av ett värde. Detta kommer också att användas i Ethernet-ramar som ett värde för hela IPv4-protokollet.

Sedan har vi två andra fält, där vi kommer att ha längdinformationen för båda adresserna i byte. Först MAC-adresserna, som har en storlek på 6 bitar och identifieras med värdet 6. Sedan IP-adresserna, med en längd på 4 byte och som särskiljs med värdet 4. De kommande 16 byten kommer att reserveras för specifikationen av ARP-meddelanden. Först har vi värdet 1, som används för en ARP-förfrågan. Följt av 2, vilket avslöjar att det är ett ARP-svar. Och slutligen kommer vi att ha paketen, som får de fyra adresser som är relevanta och som tidigare har fastställts. Dessa är:

  • Avsändarens MAC-adress.
  • Avsändarens IP-adress.
  • MAC-adress för mottagaren.
  • Mottagarens IP-adress.

Effektiviteten av ARP-attacker

Som du kan se är ARP-attacker en av de mest använda teknikerna av angripare för att fånga upp trafik. Detta beror på att de är mycket effektiva, på grund av deras smygande och okomplicerade natur. Andra typer av attacker kräver stora mängder resurser och mer avancerad teknisk kunskap, vilket inte är lika krävande med ARP-attacker. Praktiskt taget vem som helst med rätt programvara kan starta den här typen av attacker. Det är därför de har blivit en av de mest avancerade teknikerna för att utföra skadliga aktiviteter. Framför allt för nybörjare, där de knappast behöver denna kunskap.

Istället kan effektiviteten när attacken väl har lanserats bero på olika faktorer. En av dem är konfigurationen av nätverket och säkerhetsåtgärderna vid tidpunkten för attacken. Om nätverket är korrekt konfigurerat och bra säkerhetsåtgärder används kan ARP-attacken upptäckas mycket enkelt. Vilket gör att de kan förhindras, om en attack inträffar i framtiden. Vi kan ge exempel på nätverksbrandväggar eller intrångsdetekteringssystem, som kan upptäcka ARP:er och blockera skadliga paket.

Därför, trots att det är en relativt enkel teknik på teknisk nivå, beror dess effektivitet inte så mycket på angriparens skicklighet. Nätverket som attackeras spelar en mycket viktig roll och definierar hur ARP kan agera. Detta tydliggör vikten av att ha adekvata säkerhetsåtgärder, oavsett om det är ett professionellt nätverk från ett företag eller det vi har installerat i våra hem. Samt att ha alla uppdateringar från routern, till alla enheter som är anslutna till den.

ARP tabeller

ARP-tabeller är en av de grundläggande resurserna för dagens nätverk. Dessa har funktionen att lösa IP-adresser till MAC-adresser. Vad detta tillåter är att det finns kommunikation mellan enheter som finns inom ett lokalt nätverk. När en av dem ger signalen att den behöver skicka data till en annan dator görs en förfrågan i ARP-adresstabellerna så att MAC-adressen som motsvarar en specifik IP-adress kan erhållas. Dessa tabeller kommer att förbli lagrade i minnet för var och en av enheterna som är anslutna till nätverket, och kommer att ges ut igen när nya enheter läggs till.

Eftersom när du vill skicka görs en fråga till ARP-tabellen, det är nödvändigt att skicka frågan till den för att bestämma destinationens IP-adress. Om den hittas i tabellen får enheten MAC-adressen som är associerad med den IP-adressen. Sedan skickar den paketet till den adress som krävs. Å andra sidan, om adressen inte visas i ARP-tabellen kommer en sändningsförfrågan att skickas till hela nätverket som utgör enheterna. Detta kommer att be dem alla att svara med sin MAC-adress, och IP-adresserna matchas. När adresserna väl har tagits emot kommer avsändaren att uppdatera ARP-tabellen med den nya informationen den har erhållit. Då kan paket skickas till den nya enheten som vanligt.

Vikten med ARP-tabeller är att de hjälper mycket till att effektivisera kommunikationen i lokala nätverk. Genom att hålla sig uppdaterade kan enheter skicka repetitiva ARP-förfrågningar. Detta minskar nätverkslatensen och förbättrar det övergripande nätverksunderhållet. I vilket fall som helst är det viktigt att notera att ARP-tabeller kan bli föremål för identitetsstöldattacker. Detta möjliggör avlyssning av trafiken som cirkulerar genom den, och den hanteras på ett negativt sätt. För detta måste lämpliga säkerhetsåtgärder vidtas för varje särskilt fall.

Hur fungerar ARP

Så exakt hur fungerar ARP-protokollet? Vilka steg är nödvändiga? Låt oss säga att vi har anslutit en ny dator eller någon enhet till nätverket. Den utrustningen kommer, för att kunna länka till routern, få en unik IP-adress. Detta är viktigt för att kommunicera och kunna identifiera. De datapaket de kommer att dirigeras till en viss värd. Nätverkets gateway eller hårdvara kommer att tillåta data att flöda och det kommer att be ARP-protokollet att hitta en MAC-adress som matchar den IP-adressen.

Observera att denna information är cachad, så detta steg görs första gången. Därifrån ARP-cache den upprätthåller en lista med de olika IP-adresserna och motsvarande MAC-adresser, det vill säga det finns en ARP-tabell som redan har all nödvändig information lagrad så att denna process inte behöver utföras kontinuerligt.

Som information att lägga till kan användaren själv skapa en statisk ARP-tabell var dessa IP- och MAC-adresser ska lagras. Men dynamiskt, den där ARP-cachen den lagras i operativsystem på ett IPv4 Ethernet-nätverk. Så snart en enhet kommer att begära MAC-adressen för att skicka data till annan utrustning som är ansluten till det nätverket, kommer ARP-cachen att verifieras. Om det finns är det inte nödvändigt att göra en ny begäran.

Det bör också nämnas att ARP-cachen inte är oändlig, snarare tvärtom. Den är begränsad i storlek och adresser cachelagras bara så länge. Detta för att frigöra utrymme och även för att förhindra cyberattacker som kan stjäla eller förfalska adresser. Om vi ​​vet att en viss enhet alltid kommer att ha samma IP-MAC-adress, kan vi lägga till denna articulo i ARP-tabellen som statisk, men om den här enheten av någon anledning ändrar sin IP-adress kommer vi inte att kunna kommunicera med det, eftersom vår ARP-tabell är inaktuell.

En mycket viktig detalj är att ARP-protokollet inte bara finns lokalt inom ett lokalt nätverk, om vi vill kommunicera med utsidan måste vi veta genom ARP vilken MAC-adress routern använder, den routern kommer att använda ARP för att veta var den ska gå. skicka paketet baserat på dess routingtabell. På detta sätt, även om ARP-tabellen finns inom en viss broadcast-domän (VLAN), måste en enrutador som sammankopplar två nätverk känna till den fullständiga ARP-tabellen för båda nätverken för att korrekt vidarebefordra all information, annars skulle den inte kunna ha kommunikation. .

Pratar vi direkt om paketen har de en egen struktur, där vi kan se mycket information om den kommunikation vi genomför. ARP kommer att använda ett enkelt meddelandeformat, som medför en begäran om upplösning eller svar. Storleken på detta kommer att bero på det första lagret, det övre. Paketnyttolasten består av flera adresser. Hårdvaran, protokolladressen för avsändaren och mottagarvärden.

  • Hårdvarutyp (HTYPE): Detta är fältet som anger typen av handslag.
  • Protokolltyp (PTYPE): Det indikerar nätverkssammankopplingsprotokollet för vilket ARP-förfrågningarna är avsedda.
  • hårdvarulängd (HLEN): Här kommer vi att mäta längden på en hårdvaruadress. Den ska representeras i oktetter.
  • Protokolllängd: Detta är längden på adresserna som används av det övre lagrets protokoll. Även i oktetter.
  • Operation: Anger de operationer som emittenten utför.
  • Avsändarens hårdvaruadress (SHA): Där vi kommer att se adressen till det sändande mediet.
  • protokolladress avsändare (SPA): Vilket skulle vara avsändarens sammankopplingsadress.
  • destinations hårdvaruadress (THA): Det här fältet ignoreras vanligtvis i förfrågningar, men det är adressen till mottagarens media.
  • protokolladress mål (TPA): Detta är sammankopplingen av den avsedda mottagaren.

Hur de kan attackera ARP

Efter tråden av det vi nämnde bör det noteras att det är möjligt att det finns datasäkerhetsattacker mot ARP-protokollet. Den grundläggande typen av attack är vad som kallas ARP Spoofing, men genom detta kommer de att kunna utföra överbelastningsattacker och orsaka problem.

ARP-spoofing

Också känd som ARP-spoofing. Det består i princip av att skicka falsk ARP. Du kan associera en angripares MAC-adress med en IP-adress. På så sätt kan den samla in information som skickas vía en IP-adress och styra trafiken.

Denna typ av attack tillåter en hackare att stjäla viktig data från en enskild användare eller företag i händelse av en framgångsrik attack. De kan utföra det genom en enhet som de tidigare har attackerat och kontrollerat eller till och med sin egen om den är ansluten till det lokala nätverket.

Detta hot skulle kunna förhindras genom statiska ARP-tabeller. Detta förhindrar dynamisk cachelagring, även om det inte är genomförbart i de flesta fall. I dessa fall skulle vi behöva upprätthålla en ständig inspektion för att undvika identitetsstöld. För att den här typen av attacker ska inträffa är det nödvändigt för cyberbrottslingen att använda vissa verktyg som Arpspoof eller Driftnet.

Vi kan också relatera detta till Man i mitten attackerar. Vad angriparen gör är att fånga upp allt som skickas, som lösenord eller data. Om nätverket är oskyddat kan det imitera identiteten och få känslig information. Vad angriparen bokstavligen gör är att vara mitt i kommunikationen, lyssna på allt som skickas och tas emot.

DoS-attacker

En annan typ av attack som kan påverka ARP-protokollet är det som kallas förnekande av tjänsten eller DoS. I det här fallet kommer en angripare att försöka skicka ett stort antal förfrågningar så att systemen, servrarna eller nätverken inte kan svara normalt.

Det här problemet gör att användare inte kan ansluta till nätverket. För att detta ska hända måste de utnyttja en viss sårbarhet som finns i nätverksprotokollet. De kan orsaka att de ett tag inte kan ansluta korrekt. Det liknar attacker av den här typen som vi kan se mot till exempel en webbserver som inte längre är tillgänglig för besökare.

När en angripare har lyckats utnyttja ARP-protokollet kan de utföra DDoS-attacker eller nekande av distribuerade tjänster. Det kan sluta med att du bombarderar en server med ett stort antal förfrågningar och inte kan hantera dem ordentligt.

Kort sagt, ARP-protokollet används för att lösa IPv4-adresser till MAC. För att göra detta använder den ARP-tabeller för att hitta motsvarande adresser och länka dem. Detta gör att adresser kan översättas och enheter kan hittas. Det är viktigt att till exempel koppla en dator till routern. För att undvika allt detta som vi nämnde är det viktigt att vi alltid upprätthåller säkerheten, att vi har skyddade nätverk och att vi alltid är uppmärksamma på att upptäcka eventuella intrångsförsök så snart som möjligt.

Vi hoppas att du gillade vår artikel Vad är ARP-protokollet och hur fungerar det i
och allt som har med saker att göra inom teknikvärlden, mobiltelefoner och den tekniska världen.

 Vad är ARP-protokollet och hur fungerar det i
  Vad är ARP-protokollet och hur fungerar det i
  Vad är ARP-protokollet och hur fungerar det i

Intressanta saker att veta innebörden: APP

Här lämnar vi också ämnen relaterade till:Teknologi