El papel de ARP
La función del protocolo arp:
Cuando un host envía información, transmite una solicitud ARP que contiene la dirección IP de destino a todos los hosts de la red y recibe un mensaje de respuesta. determine la dirección física del objetivo Después de recibir el mensaje de respuesta, la dirección IP y la dirección física se almacenan en la caché ARP local y se guardan durante un cierto período de tiempo. La caché ARP se consulta directamente en la siguiente solicitud para ahorrar recursos.
El Protocolo de Resolución de Direcciones se basa en la confianza mutua de los hosts de la red. Los hosts de la red pueden enviar mensajes de respuesta ARP de forma independiente y otros hosts registrarán los mensajes de respuesta en su propia caché ARP sin verificar la autenticidad.
Por lo tanto, un atacante puede enviar un mensaje de respuesta ARP falso al host de modo que la información enviada no pueda llegar al host esperado o al host equivocado, lo que constituye una suplantación de ARP.
El comando ARP se puede utilizar para consultar la correspondencia entre direcciones IP y direcciones MAC en la caché ARP local, y para agregar o eliminar correspondencias estáticas. Los protocolos relacionados incluyen RARP y proxy ARP. NDP se utiliza para reemplazar el protocolo de resolución de direcciones en IPv6.
Medidas extendidas de defensa contra la suplantación de datos de ARP:
1. No establezca relaciones de confianza de seguridad de red en IP o MAC (RARP también tiene problemas de trampa). La relación ideal debería basarse en IP+MAC.
2. Configure una tabla de mapeo MAC->IP estática y no permita que el host actualice la tabla de traducción establecida.
3. Deje de usar ARP a menos que sea necesario y guarde ARP como una entrada permanente en la tabla correspondiente.
4. Utilice el servidor ARP. Encuentre su propia tabla de traducción ARP a través de este servidor para responder a las transmisiones ARP de otras máquinas. Asegúrese de que este servidor ARP no haya sido pirateado.
5. Utilice "proxy" para la transmisión de IP.
6. Utilice hardware para proteger el host. Configure el enrutamiento para garantizar que las direcciones IP puedan alcanzar rutas legales (configure estáticamente las entradas ARP de enrutamiento). Tenga en cuenta que el uso de concentradores y puentes de conmutación no evita la suplantación de ARP.
7. El administrador obtiene periódicamente solicitudes RARP de los paquetes IP de respuesta y luego verifica la autenticidad de las respuestas ARP.
8. El administrador sondea periódicamente para comprobar el caché ARP en el host.
9. Utilice un firewall para monitorear continuamente su red. Tenga en cuenta que cuando se utiliza SNMP, la suplantación de ARP puede provocar la pérdida de paquetes de captura.
10. Si está infectado con el virus ARP, puede solucionarlo borrando la caché de ARP, especificando la correspondencia ARP, agregando información de enrutamiento y usando software antivirus.
La diferencia entre NDP y ARP:
El Protocolo de resolución de direcciones en IPv4 es un protocolo independiente responsable de la conversión de direcciones IP a direcciones MAC. Deben definirse diferentes protocolos de resolución de direcciones para diferentes protocolos de capa de enlace de datos. NDP en IPv6 incluye la función de ARP y se ejecuta en el protocolo de mensajes de control de Internet ICMPv6. Es más versátil, contiene más contenido y es adecuado para varios protocolos de capa de enlace de datos.
Los mensajes de protocolo de resolución de direcciones, descubrimiento de enrutador ICMPv4 y redireccionamiento ICMPv4 se basan en transmisión, mientras que los mensajes de descubrimiento de vecinos NDP se basan en multidifusión y unidifusión eficientes.
Materiales de referencia:
Enciclopedia Baidu-ARP (Protocolo de resolución de direcciones)