0
gx6060
Staff member
- Nov 10, 2019
- 259
- 313
Обзор ARP
Если в сети используется протокол связи IPv4, для сопоставления IPv4-адресов с MAC-адресами необходимо использовать протокол разрешения адресов или ARP. В этом разделе объясняется, как работает ARP.
Каждое IP-устройство в сети Ethernet имеет уникальный MAC-адрес Ethernet. Когда устройство отправляет кадр Ethernet, он содержит оба этих адреса.
- MAC-адрес назначения - MAC-адрес Ethernet устройства назначения в том же сегменте локальной сети . Если узел назначения находится в другой сети, то адресом назначения в кадре будет адрес шлюза по умолчанию (например, маршрутизатора).
- MAC-адрес источника - Это MAC-адрес сетевой платы Ethernet отправителя.
Чтобы отправить пакет другому узлу в той же локальной сети IPv4, узел должен знать адрес IPv4 и MAC-адрес устройства назначения. Адреса назначения устройства IPv4 либо известны, либо разрешаются по имени устройства. Однако MAC-адреса должны быть обнаружены.
Устройство использует протокол разрешения адресов (ARP) для определения MAC-адреса назначения локального устройства, если известен IPv4-адрес.
Протокол ARP выполняет две основные функции.
- Сопоставление IPv4-адресов и МАС-адресов
- Ведение таблицы соответствий IPv4-MAC-адресов
Когда пакет отправляется на канальный уровень для инкапсуляции в кадре Ethernet, устройство обращается к таблице в своей памяти, чтобы найти MAC-адрес, который сопоставлен с IPv4-адресом. Эта таблица хранитися в ОЗУ и называется ARP-таблицей или ARP-кешем.
Передающее устройство ищет в своей таблице ARP IPv4-адрес назначения и соответствующий MAC-адрес.
- Если IPv4-адрес назначения пакета находится в той же сети, что и IPv4-адрес источника, устройство ищет в таблице ARP IPv4-адрес назначения.
- Если IPv4-адрес назначения пакета находится не в той же сети, что IPv4-адрес источника, устройство ищет в таблице ARP IPv4-адрес шлюза по умолчанию.
Каждая запись или строка в таблице ARP связывает IPv4-адрес с MAC-адресом. Отношение между двумя значениями называется сопоставлением. Это просто означает, что адрес IPv4 можно найти в таблице и с его помощью определить соответствующий MAC-адрес. Таблица ARP временно сохраняет (кеширует) сопоставление устройств в локальной сети (LAN).
Если устройство находит IPv4-адрес, то в качестве MAC-адреса в кадре используется соответствующий MAC-адрес. Если запись не найдена, устройство отправляет ARP-запрос.
Принцип работы протокола ARP — ARP-запрос
ARP-запрос отправляется в том случае, когда устройству требуется MAC-адрес, связанный с IPv4-адресом, но в его таблице ARP нет данных о IPv4-адресе.
Сообщения ARP-запроса инкапсулируются непосредственно в кадре Ethernet. Заголовок IPv4 отсутствует. ARP-запрос инкапсулируется в кадре Ethernet со следующей информацией в заголовке.
- MAC-адрес назначения. Широковещательный адрес FF-FF-FF-FF-FF-FF, требующей принятия и обработки ARP-запроса всеми сетевыми интерфейсными платами Ethernet в локальной сети (LAN).
- MAC-адрес источника. Это отправитель MAC-адреса в ARP-запросе.
- Тип. В сообщении ARP-запроса есть поле «Тип» со значением 0x806. Оно информирует принимающую сетевую плату о том, что для части кадра, выделенной для данных, необходимо использовать процесс ARP.
Только у одного устройства в локальной сети (LAN) будет IPv4-адрес, совпадающий в целевым IPv4-адресом в ARP-запросе. Ответ от других устройств не поступает.
Принцип работы протокола ARP — ARP-ответ
Только устройство с IPv4-адресом, связанным с целевым IPv4-адресом в ARP-запросе, возвращает ARP-ответ. ARP-ответ инкапсулируется в кадре Ethernet со следующей информацией в заголовке.
- MAC-адрес получателя. MAC-адрес отправителя запроса ARP.
- MAC-адрес источника. MAC-адрес отправителя ответа ARP.
- Тип. В сообщении ARP-запроса есть поле «Тип» со значением 0x806. Оно информирует принимающую сетевую плату о том, что для части кадра, выделенной для данных, необходимо использовать процесс ARP.
Если на ARP-запрос не отвечает ни одно устройство, пакет отбрасывается, поскольку сформировать кадр невозможно.
Записи в таблице ARP получают метку времени. Если к моменту истечения метки времени устройство не получит кадр от какого-либо устройства, запись для этого устройства будет удалена из таблицы ARP.
Кроме того, в таблицу ARP можно добавлять статические записи сопоставления, но это делается нечасто. Срок действия статических записей в таблице ARP не истекает со временем, поэтому их необходимо удалять вручную.
Примечание: Для IPv6 используется протокол, аналогичный протоколу разрешения адресов (ARP) для IPv4, который называется «протокол обнаружения соседей» ICMPv6 (ND). Для IPv6 используются сообщения опроса и объявления соседей, которые схожи по своему назначению с ARP-запросами и ответами в IPv4.
Роль ARP в обмене данными с удаленными сетями
Если IPv4-адрес назначения находится не в той же сети, что IPv4-адрес источника, устройству-отправителю необходимо отправить кадр на свой шлюз по умолчанию. Это интерфейс локального маршрутизатора Когда в устройстве источника есть пакет с IPv4-адресом в другой сети, оно инкапсулирует этот пакет в кадре, используя MAC-адрес назначения маршрутизатора.
IPv4-адрес шлюза по умолчанию хранится в конфигурации IPv4 узлов. Когда узел создает пакет для адресата, он сравнивает IPv4-адрес назначения и свой собственный IPv4-адрес, чтобы определить, находятся ли эти два IPv4-адреса в одной и той же сети уровня 3. Если конечный хост находится в другой сети, источник ищет в своей таблице ARP запись с IPv4-адресом шлюза по умолчанию.
Если запись отсутствует, то для определения MAC-адреса шлюза по умолчанию используется процесс ARP.
Удаление записей из таблицы ARP
В каждом устройстве есть таймер кэша ARP, который удаляет записи из таблицы ARP, не используемые в течение указанного периода времени. Этот период может быть разным в зависимости от операционной системы устройства. Например, новые операционные системы Windows хранят записи таблицы ARP от 15 до 45 секунд.
Таблицы ARP на сетевых устройствах
На маршрутизаторе Cisco для просмотра таблицы ARP используется команда show ip arp.
На компьютерах под управлением Windows 10 для отображения таблицы ARP используется команда arp –a
Проблемы ARP широковещательная рассылка ARP и ARP-спуфинг
Поскольку ARP-запрос является кадром широковещательной рассылки, его получают и обрабатывают все устройства в локальной сети. В стандартной бизнес-сети такие широковещательные рассылки, скорее всего, не окажут серьезного влияния на производительность сети.
Но если в сети много устройств и все они одновременно попытаются получить доступ к сетевым службам, это может на короткий период времени негативно повлиять на работу сети, как показано на рисунке. После того как устройства разошлют начальные запросы широковещательной рассылки ARP и получат необходимые MAC-адреса, любое влияние на сеть будет сведено к минимуму.
В некоторых случаях использование протокола разрешения адресов (ARP) может представлять определенный риск для безопасности. Злоумышленник может использовать ARP spoofing для выполнения атаки «отравление» ARP-кеша. В ходе таких атак хакер отправляет ответ на ARP-запрос IPv4-адреса с адресом другого устройства, например шлюза по умолчанию, как показано на рисунке.
Хакер отправляет ARP-ответ со своим MAC-адресом. Получатель ARP-ответа добавит фальсифицированный MAC-адрес в свою таблицу ARP, что позволит хакеру получать отправляемые пакеты.
Коммутаторы корпоративного уровня оснащены функцией защиты от такого рода атак, которая называется Dynamic ARP Inspection (DAI).