hvad er Address Resolution Protocol (ARP)?
Address Resolution Protocol (ARP) er en procedure til kortlægning af en dynamisk IP-adresse til en permanent fysisk maskinadresse i et lokalnetværk (LAN). Den fysiske maskinadresse er også kendt som en MAC-adresse (media access control).
ARP ‘ s opgave er i det væsentlige at oversætte 32-bit adresser til 48-bit adresser og omvendt. Dette er nødvendigt, fordi IP-adresser i IP version 4 (IPv4) er 32 bit, men MAC-adresser er 48 bit.
ARP arbejder mellem lag 2 og 3 i Open Systems Interconnection model (OSI model). MAC-adressen findes på Lag 2 i OSI-modellen, datalinklaget. IP-adressen findes på Lag 3, netværkslaget.
ARP kan også bruges til IP over andre LAN-teknologier, såsom token ring, fiber distribueret data interface (FDDI) og IP over ATM.
Sådan fungerer ARP
når en ny computer slutter sig til et LAN, tildeles den en unik IP-adresse, der skal bruges til identifikation og kommunikation. Når en indgående pakke, der er bestemt til en værtsmaskine på et bestemt LAN, ankommer til en port, beder porten ARP-programmet om at finde en MAC-adresse, der matcher IP-adressen. En tabel kaldet ARP-cachen opretholder en registrering af hver IP-adresse og dens tilsvarende MAC-adresse.
alle operativsystemer i et IPv4 Ethernet-netværk holder en ARP-cache. Hver gang en vært anmoder om en MAC-adresse for at sende en pakke til en anden vært i LAN, kontrollerer den sin ARP-cache for at se, om oversættelsen af IP til MAC-adresse allerede findes. Hvis det gør det, er en ny ARP-anmodning unødvendig. Hvis oversættelsen ikke allerede findes, sendes anmodningen om netværksadresser, og ARP udføres.
ARP sender en anmodningspakke til alle maskinerne på LAN og spørger, om nogen af maskinerne bruger den pågældende IP-adresse. Når en maskine genkender IP-adressen som sin egen, sender den et svar, så ARP kan opdatere cachen til fremtidig reference og fortsætte med kommunikationen.
værtsmaskiner, der ikke kender deres egen IP-adresse, kan bruge Reverse ARP (RARP) – protokollen til opdagelse.
ARP cache størrelse er begrænset og er periodisk renset for alle poster for at frigøre plads. Adresser har tendens til at forblive i cachen i kun et par minutter. Hyppige opdateringer gør det muligt for andre enheder i netværket at se, hvornår en fysisk vært ændrer deres ønskede IP-adresser. I rengøringsprocessen slettes ubrugte poster sammen med mislykkede forsøg på at kommunikere med computere, der ikke er tændt i øjeblikket.
fuldmægtig ARP
fuldmægtig ARP gør det muligt for en netværksmægler at besvare ARP-forespørgsler til IP-adresser, der er uden for netværket. Dette gør det muligt at overføre pakker med succes fra et undernetværk til et andet.
når en ARP-forespørgselspakke udsendes, undersøges rutetabellen for at finde ud af, hvilken enhed på LAN ‘ et der kan nå destinationen hurtigst. Denne enhed, som ofte er en router, fungerer som en port til videresendelse af pakker uden for netværket til deres tilsigtede destinationer.
ARP spoofing og ARP cache forgiftning
Lan ‘ er, der bruger ARP, er sårbare over for ARP spoofing, også kaldet ARP poison routing eller ARP cache forgiftning.
ARP-spoofing er et enhedsangreb, hvor en hacker sender falske ARP-meddelelser over et LAN for at forbinde en angribers MAC-adresse med IP-adressen på en legitim computer eller server i netværket. Når et link er oprettet, kan målcomputeren sende rammer beregnet til den oprindelige destination til hackerens computer først samt alle data beregnet til den legitime IP-adresse.
ARP spoofing kan alvorligt påvirke virksomheder. Når de bruges i deres enkleste form, kan ARP-spoofingangreb stjæle følsomme oplysninger. Angrebene kan dog også lette andre ondsindede angreb, herunder følgende:
- man-in-the-middle angreb
- denial-of-service angreb
- session kapring
historie og fremtid ARP
ARP blev først foreslået og drøftet i Anmodning om Kommentarer (RFC) 826, offentliggjort i November 1982 af David C. Plummer. Problemet med adresseopløsning var umiddelbart tydeligt i de tidlige dage af IP suite, fordi Ethernet hurtigt blev den foretrukne LAN-teknologi, men Ethernet-kabler krævede 48-bit adresser.
IPv6-adresser, som er 128 bit, bruger Naboopdagelsesprotokollen til at erhverve konfigurationsoplysninger i stedet for ARP. Mens IPv4-adresser i øjeblikket er mere almindelige, øges brugen af IPv6. Denne stigning skyldes stort set tilstrømningen af IoT-enheder, der kræver IP-adresser. Nabo Discovery opererer i lag 2 i OSI-modellen og bruger Internet Control Message Protocol (ICMP) version 6 til at opdage naboknuder.