Vad är Adressupplösningsprotokoll (ARP)?
Address Resolution Protocol (ARP) är ett förfarande för att kartlägga en dynamisk IP-adress till en permanent fysisk maskinadress i ett lokalt nätverk (LAN). Den fysiska maskinadressen är också känd som en MAC-adress (media access control).
Arp: s jobb är i huvudsak att översätta 32-bitarsadresser till 48-bitarsadresser och vice versa. Detta är nödvändigt eftersom IP-adresser i IP version 4 (IPv4) är 32 bitar, men MAC-adresser är 48 bitar.
ARP fungerar mellan lager 2 och 3 i Open Systems Interconnection model (OSI-modellen). MAC-adressen finns på lager 2 i OSI-modellen, datalänkskiktet. IP-adressen finns på lager 3, nätverkslagret.
ARP kan också användas för IP över andra LAN-tekniker, såsom token ring, fiber distributed data interface (FDDI) och IP över ATM.
hur ARP fungerar
när en ny dator ansluter till ett LAN tilldelas den en unik IP-adress som ska användas för identifiering och kommunikation. När ett inkommande paket som är avsett för en värdmaskin på ett visst LAN anländer till en gateway, frågar gatewayen ARP-programmet att hitta en MAC-adress som matchar IP-adressen. En tabell som heter ARP-cachen upprätthåller en registrering av varje IP-adress och dess motsvarande MAC-adress.
alla operativsystem i ett IPv4 Ethernet-nätverk behåller en ARP-cache. Varje gång en värd begär en MAC-adress för att skicka ett paket till en annan värd i LAN, kontrollerar den sin ARP-cache för att se om IP till MAC-adressöversättningen redan finns. Om det gör det är en ny ARP-begäran onödig. Om översättningen inte redan finns skickas begäran om nätverksadresser och ARP utförs.
ARP sänder ett förfrågningspaket till alla maskiner på LAN och frågar om någon av maskinerna använder den specifika IP-adressen. När en maskin känner igen IP-adressen som sin egen skickar den ett svar så att ARP kan uppdatera cachen för framtida referens och fortsätta med kommunikationen.
värdmaskiner som inte känner till sin egen IP-adress kan använda protokollet Reverse ARP (RARP) för upptäckt.
Arp-cachestorleken är begränsad och rensas regelbundet av alla poster för att frigöra utrymme. Adresser tenderar att stanna i cachen i bara några minuter. Frekventa uppdateringar gör det möjligt för andra enheter i nätverket att se när en fysisk värd ändrar sina begärda IP-adresser. I rengöringsprocessen raderas oanvända poster tillsammans med misslyckade försök att kommunicera med datorer som för närvarande inte är påslagna.
Proxy ARP
Proxy ARP gör det möjligt för en nätverksproxy att svara på ARP-frågor för IP-adresser som ligger utanför nätverket. Detta gör att paket kan överföras framgångsrikt från ett undernätverk till ett annat.
när ett Arp-förfrågningspaket sänds undersöks routingtabellen för att hitta vilken enhet på LAN som kan nå destinationen snabbast. Denna enhet, som ofta är en router, fungerar som en gateway för vidarebefordran av paket utanför nätverket till sina avsedda destinationer.
ARP spoofing och ARP cache förgiftning
Lan som använder ARP är sårbara för ARP spoofing, även kallad ARP gift routing eller ARP cache förgiftning.
ARP spoofing är en enhetsattack där en hacker sänder falska ARP-meddelanden över ett LAN för att länka en angripares MAC-adress med IP-adressen till en legitim dator eller server i nätverket. När en länk har upprättats kan måldatorn skicka ramar avsedda för den ursprungliga destinationen till hackarens dator först och alla data som är avsedda för den legitima IP-adressen.
ARP spoofing kan allvarligt påverka företag. När de används i sin enklaste form kan ARP-spoofingattacker stjäla känslig information. Attackerna kan dock också underlätta andra skadliga attacker, inklusive följande:
- man-in-the-middle attacker
- denial-of-service attacker
- session kapning
historia och framtid för ARP
ARP föreslogs och diskuterades först i Begäran om kommentarer (RFC) 826, publicerad i November 1982 av David C. Plummer. Problemet med adressupplösning var omedelbart uppenbart i början av IP-sviten, eftersom Ethernet snabbt blev den föredragna LAN-tekniken, men Ethernet-kablar krävde 48-bitarsadresser.
IPv6-adresser, som är 128 bitar, använder Neighbor Discovery protocol förvärva konfigurationsinformation istället för ARP. Medan IPv4-adresser för närvarande är vanligare ökar användningen av IPv6. Denna ökning beror till stor del på tillströmningen av IoT-enheter som kräver IP-adresser. Neighbor Discovery fungerar i lager 2 i OSI-modellen och använder Internet Control Message Protocol (ICMP) version 6 för att upptäcka närliggande noder.