Wat is Address Resolution Protocol (ARP)?
Address Resolution Protocol (Arp) is een procedure voor het toewijzen van een dynamisch IP-adres aan een permanent fysiek machineadres in een LAN. Het fysieke machine adres is ook bekend als een media access control (MAC) adres.
de taak van ARP is in wezen 32-bits adressen te vertalen naar 48-bits adressen en vice versa. Dit is nodig omdat IP-adressen in IP versie 4 (IPv4) 32 bits zijn, maar MAC-adressen 48 bits.
ARP werkt tussen lagen 2 en 3 van het Open Systems Interconnection model (OSI-model). Het MAC-adres bestaat op laag 2 van het OSI-model, de datalinklaag. Het IP-adres bestaat op laag 3, de netwerklaag.
ARP kan ook worden gebruikt voor IP over andere LAN-technologieën, zoals token ring, fiber distributed data interface (FDDI) en IP over ATM.
Hoe werkt ARP
wanneer een nieuwe computer zich aansluit bij een LAN, krijgt deze een uniek IP-adres toegewezen om te gebruiken voor identificatie en communicatie. Wanneer een inkomend pakket bestemd voor een host machine op een bepaald LAN bij een gateway aankomt, vraagt de gateway het ARP-programma om een MAC-adres te vinden dat overeenkomt met het IP-adres. Een tabel genaamd de ARP cache houdt een record van elk IP-adres en het bijbehorende MAC-adres.
alle besturingssystemen in een IPv4 Ethernet-netwerk behouden een ARP-cache. Elke keer dat een host een MAC-adres aanvraagt om een pakket naar een andere host in het LAN te sturen, controleert het zijn ARP-cache om te zien of de vertaling van het IP-naar-MAC-adres al bestaat. Als dat zo is, dan is een nieuw ARP-verzoek overbodig. Als de vertaling nog niet bestaat, wordt de aanvraag voor netwerkadressen verzonden en wordt ARP uitgevoerd.
ARP zendt een request packet uit naar alle machines op het LAN en vraagt of een van de machines dat specifieke IP-adres gebruikt. Wanneer een machine het IP-adres als zijn eigen herkent, stuurt het een antwoord zodat ARP de cache kan updaten voor toekomstige referentie en verder kan gaan met de communicatie.
hostmachines die hun eigen IP-adres niet kennen, kunnen het Reverse ARP (RARP) – protocol gebruiken voor ontdekking.
de grootte van de ARP-cache is beperkt en wordt periodiek gereinigd van alle ingangen om ruimte vrij te maken. Adressen blijven meestal maar een paar minuten in de cache. Door frequente updates kunnen andere apparaten in het netwerk zien wanneer een fysieke host hun gevraagde IP-adressen wijzigt. Tijdens het reinigingsproces worden ongebruikte items verwijderd, samen met mislukte pogingen om te communiceren met computers die momenteel niet zijn ingeschakeld.
Proxy ARP
Proxy ARP stelt een netwerkproxy in staat om ARP-query ‘ s te beantwoorden voor IP-adressen die buiten het netwerk liggen. Hiermee kunnen pakketten succesvol worden overgedragen van het ene subnetwerk naar het andere.
wanneer een ARP-pakket wordt uitgezonden, wordt de routeringstabel onderzocht om uit te vinden welk apparaat op het LAN het snelst de bestemming kan bereiken. Dit apparaat, dat vaak een router is, fungeert als een gateway voor het doorsturen van pakketten buiten het netwerk naar hun beoogde bestemmingen.ARP spoofing en ARP cache poisoning
LAN ‘ s die ARP gebruiken zijn kwetsbaar voor ARP spoofing, ook wel ARP poison routing of ARP cache poisoning genoemd.
ARP spoofing is een apparaataanval waarbij een hacker valse ARP-berichten via een LAN uitzendt om het MAC-adres van een aanvaller te koppelen aan het IP-adres van een legitieme computer of server binnen het netwerk. Zodra een link is vastgesteld, de doelcomputer kan frames bedoeld voor de oorspronkelijke bestemming te sturen naar de computer van de hacker eerste evenals alle gegevens bedoeld voor de legitieme IP-adres.
ARP spoofing kan ernstige gevolgen hebben voor ondernemingen. Wanneer gebruikt in hun eenvoudigste vorm, ARP spoofing aanvallen kunnen gevoelige informatie te stelen. Echter, de aanvallen kunnen ook andere kwaadaardige aanvallen te vergemakkelijken, met inbegrip van de volgende:
- man-in-the-middle aanvallen
- denial-of-service aanvallen
- session hijacking
geschiedenis en toekomst van ARP
ARP werd voor het eerst voorgesteld en besproken in Request for Comments (RFC) 826, gepubliceerd in November 1982 door David C. Plummer. Het probleem van de adresresolutie was meteen duidelijk in de begindagen van de IP-suite, omdat Ethernet al snel de voorkeur LAN-technologie, maar Ethernet-kabels vereist 48-bit adressen.
IPv6-adressen, 128 bits, gebruiken het Neighbor Discovery protocol acquire configuratiegegevens in plaats van ARP. Hoewel IPv4-adressen momenteel vaker voorkomen, neemt het gebruik van IPv6 toe. Deze toename is grotendeels te wijten aan de instroom van IoT-apparaten die IP-adressen vereisen. Neighbor Discovery werkt in Laag 2 van het OSI-model en maakt gebruik van Internet Control Message Protocol (ICMP) versie 6 om naburige knooppunten te ontdekken.