1. 1 История tcpIP
 Скачать 340.83 Kb.
|
4.1.1 Операции ARPДавайте рассмотрим, какие действия выполняются протоколом ARP в процессе разрешения адресов. Когда отправитель определил IP-адрес получателя, он обращается к своей ARP-таблице, чтобы узнать его MAC-адрес. Если отправитель находит в таблице запись, связывающую МАС- и IP-адрес получателя, то он получает информацию о МАС-адресе, формирует кадр и отправляет его в сеть. Если в таблице отсутствует запись, связывающая МАС- и IP-адрес получателя, отправитель формирует ARP-запрос. Поле Target MAC address запроса заполняется нулями, в поле Target IP address указывается IP-адрес устройства, чей МАС-адрес надо узнать. На канальном уровне этот запрос помещается в кадр и отправляется в сеть. В качестве адреса источника в кадре указывается уникальный МАС-адрес отправителя. В качестве адреса приемника — широковещательный МАС-адрес FF:FF:FF:FF:FF:FF. Поскольку кадр широковещательный, его принимают все устройства локальной сети. Далее они извлекают из него и анализируют ARP-запрос. Если IP-адрес устройства-получателя и IP-адрес, содержащийся в поле Target IP address ARP-запроса, не совпадают, запрос отбрасывается. В противном случае формируется ARP-ответ, в поле Sender MAC address которого указывается запрашиваемый MAC-адрес. ARP-ответ помещается в одноадресный кадр. В качестве адреса источника в нем указан МАС-адрес устройства-получателя, а в качестве адреса назначения — МАС-адрес отправителя ARP-запроса. После получения ARP-запроса устройство-получатель обновляет свою ARP-таблицу. В нее заносится запись о связке MAC- и IP-адресов его отправителя. Это позволяет оптимизировать процесс разрешения адресов и избавиться от отправки лишних запросов. Когда отправитель ARP-запроса получает ответ, он обновляет свою ARP-таблицу. Таким образом, ему становится известен МАС-адрес получателя и процесс разрешения адресов завершается. 4.2 Gratuitous ARPУзел может использовать протокол ARP для оповещения других устройств сети о своей привязке адресов MAC-IP. Такие оповещения получили название Gratuitous ARP (беспричинный ARP), то есть ответ на предполагаемый вопрос, которого на самом деле не было. Gratuitous ARP представляет собой или пакет ARP Request, или пакет ARP Reply, который широковещательно отправляется узлом, чтобы уведомить другие узлы о необходимости обновить записи в их ARP-таблицах. При использовании Gratuitous ARP Request в полях Sender IP Address и Target IP Address указывается IP-адрес отправителя, в поле Sender MAC Address указывается МАС-адрес отправителя, в поле Target MAC Address — широковещательный адрес FF:FF:FF:FF:FF:FF. Ответ на этот запрос не отправляется, т.к. узел отправляет запрос для разрешения своего собственного IP-адреса. Когда используется пакет Gratuitous ARP Reply в полях Sender IP Address и Target IP Address указывается IP-адрес отправителя, в полях Sender MAC Address и Target MAC Address указывается МАС-адрес отправителя. Пакет Gratuitous ARP Reply не отправляется в ответ на какой-либо запрос. В сети Gratuitous ARP может использоваться: Для определения дублирования IP-адресов. В правильно сконфигурированной сети на пакет Gratuitous ARP Request не будет ответа. Однако если другой узел в сети сконфигурирован с таким же IP-адресом как у отправителя, он получит пакет ARP Reply от этого узла. Оповещать, что IP-адрес привязан к новому МАС-адресу. Если на узле заменили сетевой адаптер, то привязка адресов IP-МАС также изменится. После перезагрузки системы, она отравит пакет ARP Request на свой собственный IP-адрес. Все остальные узлы сети получат и обработают этот пакет. Каждый узел обновит запись, относящуюся к этому IP-адресу в своей ARP-таблице, если она уже существовала в ней. При этом если в ARP-таблице устройства отсутствовала запись, связанная с IP-адресом из пакета Gratuitous ARP, новая запись создана не будет. Уведомлять коммутаторы, что узел был переключен с одного порта на другой. ARP spoofing Протокол ARP не реализует методов защиты и проверки подлинности пакетов. ARP spoofing является одним из методов инициирования атаки типа «man-in-the-middle». Атакующий перехватывает в сети ARP-запрос и отправляет ложный ARP-ответ, в котором объявляет себя искомым устройством локальной сети (указывает в нем МАC-адрес ложного устройства и IP-адрес реального). Коммутатор получит ложный ARP-ответ и обновит ARP-таблицу. Таким образом, вместо того, чтобы отправлять трафик правильному устройству, коммутатор начнет перенаправлять его на устройство злоумышленника. В итоге правильный пункт назначения не получит данные, а злоумышленник сможет перехватывать пароли, ключи и другую информацию. Одним из типов ARP spoofing является использование пакетов Gratuitous ARP, т. к. эти пакеты не требуют запросов или ответов. Злоумышленник «отравляет» ARP-таблицу коммутатора, отправляя Gratuitous ARP Request, в котором для определенного IP-адреса указан ложный МАС-адрес. После получения злонамеренного пакета Gratuitous ARP Request запись для этого IP-адреса в ARP-таблице коммутатора обновляется. Для защиты от подобных атак на коммутаторах поддерживается механизм Dynamic ARP Inspection (DAI). Когда функция DAI настроена на коммутаторе, он перехватывает входящие ARP-пакеты и проверяет их параметры IP-MAC на соответствия записям, связывающим все разрешенные IP- и МАС-адреса сети, которые созданы вручную администратором или динамически с помощью механизма DHCP snooping. Пакеты ARP, в которых не будет совпадать хотя бы один параметр, будут отбрасываться. |