o que é Address Resolution Protocol (ARP)?
Address Resolution Protocol (ARP)é um procedimento para mapear um endereço IP dinâmico para um endereço de máquina física permanente em uma rede local (LAN). O endereço físico da máquina também é conhecido como endereço de controle de acesso de mídia (MAC).
o trabalho do ARP é essencialmente traduzir endereços de 32 bits para endereços de 48 bits e vice-versa. Isso é necessário porque os endereços IP na versão IP 4 (IPv4) são de 32 bits, mas os endereços MAC são de 48 bits.
ARP funciona entre as camadas 2 e 3 do modelo de interconexão de sistemas abertos (modelo OSI). O endereço MAC existe na camada 2 do modelo OSI, a camada de Link de dados. O endereço IP existe na camada 3, a camada de rede.
o ARP também pode ser usado para IP sobre outras tecnologias LAN, como token ring, fiber distributed data interface (FDDI) e IP sobre ATM.
como o ARP funciona
quando um novo computador se junta a uma LAN, é atribuído um endereço IP exclusivo para uso para identificação e comunicação. Quando um pacote de entrada destinado a uma máquina host em uma LAN específica chega a um gateway, o gateway pede ao programa ARP para encontrar um endereço MAC que corresponda ao endereço IP. Uma tabela chamada ARP cache mantém um registro de cada endereço IP e seu endereço MAC correspondente.
todos os sistemas operacionais em uma rede Ethernet IPv4 mantêm um cache ARP. Toda vez que um host solicita um endereço MAC para enviar um pacote para outro host na LAN, ele verifica seu cache ARP para ver se a tradução de IP para endereço MAC já existe. Se isso acontecer, uma nova solicitação ARP será desnecessária. Se a tradução ainda não existir, a solicitação de endereços de rede será enviada e o ARP será executado.
ARP transmite um pacote de solicitação para todas as máquinas na LAN e pergunta se alguma das máquinas está usando esse endereço IP específico. Quando uma máquina reconhece o endereço IP como seu, ela envia uma resposta para que o ARP possa atualizar o cache para referência futura e prosseguir com a comunicação.
máquinas Host que não conhecem seu próprio endereço IP podem usar o protocolo Arp (RARP) reverso para descoberta.
o tamanho do cache ARP é limitado e é periodicamente limpo de todas as entradas para liberar espaço. Os endereços tendem a permanecer no cache por apenas alguns minutos. Atualizações frequentes permitem que outros dispositivos na rede vejam quando um host físico altera seus endereços IP solicitados. No processo de limpeza, as entradas não utilizadas são excluídas junto com quaisquer tentativas malsucedidas de se comunicar com computadores que não estão ligados no momento.
Proxy ARP
o Proxy ARP permite que um proxy de rede responda a consultas ARP para endereços IP que estão fora da rede. Isso permite que os pacotes sejam transferidos com sucesso de uma sub-rede para outra.
quando um pacote de consulta ARP é transmitido, a tabela de roteamento é examinada para descobrir qual dispositivo na LAN pode chegar ao destino mais rápido. Este dispositivo, que geralmente é um roteador, atua como um gateway para encaminhar pacotes fora da rede para seus destinos pretendidos.
ARP spoofing e ARP cache poisoning
LANs que usam ARP são vulneráveis a ARP spoofing, também chamado ARP poison routing ou ARP cache poisoning.
ARP spoofing é um ataque de dispositivo no qual um hacker transmite mensagens ARP falsas em uma LAN para vincular o endereço MAC de um invasor ao endereço IP de um computador ou servidor legítimo dentro da rede. Uma vez que um link foi estabelecido, o computador de destino pode enviar quadros destinados ao destino original para o computador do hacker primeiro, bem como quaisquer dados destinados ao endereço IP legítimo.
ARP spoofing pode afetar seriamente as empresas. Quando usados em sua forma mais simples, os ataques de spoofing ARP podem roubar informações confidenciais. No entanto, os ataques também podem facilitar a outros ataques maliciosos, incluindo o seguinte:
- man-in-the-middle ataques
- ataques de negação de serviço ataques
- seqüestro de sessão
História e o futuro da ARP
ARP foi proposto e discutido na Solicitação de Comentários (RFC) 826, publicado em novembro de 1982 por David C. Plummer. O problema da resolução de endereços ficou imediatamente evidente nos primeiros dias do pacote IP, porque a Ethernet rapidamente se tornou a tecnologia LAN preferida, mas os cabos Ethernet exigiam endereços de 48 bits.
endereços IPv6, que são 128 bits, usar o protocolo de descoberta vizinho adquirir informações de configuração em vez de ARP. Embora os endereços IPv4 sejam atualmente mais comuns, o uso do IPv6 está aumentando. Esse aumento se deve em grande parte ao influxo de dispositivos IoT que requerem endereços IP. O Neighbor Discovery opera na camada 2 do modelo OSI e usa o protocolo de mensagens de controle da Internet (ICMP) versão 6 para descobrir nós vizinhos.