YOU.10RTR.1who has 192.168.1.1?AA:BB:CC:DD:EE:FFno authentication — spoofable

ARP

10 دقيقة قراءةالشبكات

عندما يرسل الكمبيوتر المحمول الخاص بك حزمة إلى جهاز التوجيه، فإن عنوان IP الخاص بجهاز التوجيه ليس كافيًا — تحتاج شبكة Ethernet إلى عنوان MAC. يملأ بروتوكول تحليل العنوان هذه الفجوة، ويسأل "من لديه عنوان IP هذا؟" واستعادة جهاز MAC. لقد كان موجودًا في IPv4 منذ عام 1982 وليس لديه مصادقة، مما يجعله أساسًا لعدد لا يحصى من هجمات الشبكة المحلية.

يتم توفير نص المقالة الكامل باللغة الإنجليزية أدناه.

ARP (بروتوكول تحليل العنوان) ، RFC 826، هو البروتوكول الذي يقوم بتعيين عناوين IPv4 إلى عناوين MAC على شبكة محلية. في كل مرة يحتاج جهازك إلى إرسال حزمة إلى عنوان IP لم يتم الاتصال به من قبل، يتم تشغيل ARP أولاً. يتم تخزين التعيين مؤقتًا لفترة وجيزة، ثم تنتهي صلاحيته ويتم طلبه مرة أخرى.

التبادل الأساسي

يحتوي الكمبيوتر المحمول الخاص بك على IP 192.168.1.10 ويريد الإرسال إلى 192.168.1.1 (جهاز التوجيه):

  1. ARP الطلب: يبث الكمبيوتر المحمول "من لديه 192.168.1.1؟ أخبر 192.168.1.10" لجميع الأجهزة الموجودة على الشبكة المحلية (بث MAC FF:FF:FF:FF:FF:FF). رد
  2. ARP: يرد جهاز التوجيه مباشرة على الكمبيوتر المحمول: "192.168.1.1 موجود في AA:BB:CC:DD:EE:FF."
  3. Cache: يقوم كلا الجانبين بتخزين تعيين IP-MAC في ذاكرة التخزين المؤقت ARP الخاصة بهم لبضع دقائق.
  4. Send: يرسل الكمبيوتر المحمول الآن حزمة IP مغلفة في إطار Ethernet موجه إلى جهاز التوجيه MAC.

بالنسبة للحزم اللاحقة إلى نفس IP، يتم استخدام الإدخال المخزن مؤقتًا؛ لا حاجة إلى تكرار تبادل ARP.

ما يوجد في ذاكرة التخزين المؤقت لـ ARP

على Linux: ip neigh. على نظام التشغيل ماك: arp -a. على نظام التشغيل Windows: arp -a. يُظهر الإخراج كل عنوان IP معروف وMAC الخاص به وحالة ذاكرة التخزين المؤقت. تنتهي صلاحية الإدخالات (عادةً بعد بضع دقائق من عدم النشاط) ويتم تحديثها عند الحاجة. يمكن أيضًا إضافة إدخالات ARP الثابتة يدويًا لحالات خاصة. لا يحتوي

ARP المخادع

ARP على مصادقة — يتم قبول أي رد، حتى غير المرغوب فيه. انتحال ARP يستغل (أو "تسميم ARP") هذا: يرسل

  1. المهاجم الموجود على نفس الشبكة المحلية "ARP غير المبرر" غير المرغوب فيه معلنًا أن "192.168.1.1 (جهاز التوجيه) موجود في جهاز MAC الخاص بي."
  2. يقوم كل جهاز آخر بتحديث ذاكرة التخزين المؤقت لـ ARP الخاصة به ويبدأ في الإرسال
  3. المهاجم الآن في منتصف كل تدفق يغادر الشبكة المحلية - وهو وضع كلاسيكي للرجل في المنتصف.
  4. يقوم المهاجم بإعادة توجيه حركة المرور إلى جهاز التوجيه الحقيقي حتى لا تلاحظ الضحية التعطيل.

كان هذا مدمرًا. اليوم، يحمي HTTPS محتويات معظم حركة المرور من المهاجم، ولكن البيانات الوصفية (المواقع التي تزورها ومتى)، بالإضافة إلى أي بروتوكولات نص عادي (DNS، HTTP العادي، بعض SMTP القديمة، واجهات برمجة تطبيقات جهاز IoT) لا تزال قابلة للقراءة.

كشف انتحال ARP

العلامات الكلاسيكية:

  • عناوين IP المتعددة في تعيين ذاكرة التخزين المؤقت ARP إلى نفس MAC
  • ، يتغير MAC الخاص بجهاز التوجيه فجأة
  • حركة مرور ARP غير العادية المرئية في عمليات التقاط الحزم

أدوات مثل arpwatch تراقب التغييرات والتنبيه. معظم الشبكات المنزلية لا تتمتع بالمراقبة؛ قد لا يتم اكتشاف انتحال ARP على شبكة Wi-Fi المنزلية إلى أجل غير مسمى.

الدفاع ضد هجمات ARP

  • فحص ARP الديناميكي (DAI) على المحولات المُدارة - يسقط حزم ARP التي لا تتطابق مع ربط IP-MAC الموثوق به (عادةً من تطفل DHCP) قاعدة البيانات).
  • إدخالات ARP الثابتة لعناوين IP المهمة (جهاز التوجيه والخوادم الرئيسية) - يقوم بتأمين التعيين بحيث يتم تجاهل الردود المخادعة. عالي الكعب من الناحية التشغيلية. يستخدم غالبًا في الإعدادات الأمنية الحرجة.
  • تقسيم الشبكة - إن إبقاء المستخدمين على شبكات VLAN مختلفة يحد من نطاق انفجار هجمات ARP إلى شبكة VLAN واحدة.
  • VPN للهروب من LAN - بمجرد أن تكون داخل نفق مشفر، لا تستطيع الشبكة المحلية (LAN) انتحال ARP في طريقك للخروج من ذلك. مفيد على الشبكات العدائية (شبكة Wi-Fi في الفندق، المؤتمرات).

ARP وIPv6: Neighbor Discovery

IPv6 لا يستخدم ARP. المكافئ هو Neighbor Discovery Protocol (NDP)، المحدد في RFC 4861. ويستخدم رسائل ICMPv6 بدلاً من بروتوكول منفصل ويوفر نفس الوظيفة: "من لديه عنوان IPv6 هذا؟" مع رد MAC.

NDP لديه نفس مشكلة المصادقة مثل ARP - يتم قبول أي رد. تتضمن عمليات التخفيف إرسال (Secure Neighbor Discovery، RFC 3971، نادرًا ما يتم نشرها) وRA Guard / DHCPv6 Guard على المحولات.

ما يخبرك به ARP عن الشبكة

إن ذاكرة التخزين المؤقت ARP الخاصة بك بعد استخدام الشبكة هي في الأساس قائمة بكل جهاز قمت بالاتصال به مؤخرًا على الجزء المحلي. في شبكة الشركة، يتضمن ذلك الطابعات وخوادم الملفات والبوابة وربما عددًا قليلًا من أجهزة الكمبيوتر المحمولة الخاصة بزملاء العمل. على شبكة Wi-Fi المنزلية وأجهزتك وجهاز التوجيه. المعلومات محلية — لا يمكن رؤيتها أبدًا خارج الشبكة المحلية — ولكنها مفيدة لفهم ما يدور حولك.

الأسئلة المتداولة

هل لا يزال انتحال ARP يمثل تهديدًا حقيقيًا في عام 2026؟
على الشبكات المفتوحة (المقاهي، الفنادق)، نعم. على شبكات الشركات مع التطفل DAI وDHCP، في الغالب لا. يؤدي الاعتماد الواسع النطاق لـ HTTPS إلى تقليل التأثير بشكل كبير - لا يزال المهاجم الموجود في منتصف حركة المرور الخاصة بك يواجه مشكلة في فك تشفيرها. تجعل شبكة VPN هجمات ARP المحلية عاجزة بشكل أساسي.
هل يمكنني تعطيل ARP؟
ليس على Ethernet/Wi-Fi — يعتمد IPv4 بشكل أساسي عليه. يمكنك تثبيت إدخالات ARP الثابتة لعناوين IP الموثوقة (جهاز التوجيه والخوادم الخاصة بك) مما يجعل ذاكرة التخزين المؤقت مستقرة. يمكنك أيضًا استخدام IPv6، الذي يستخدم NDP بدلاً من ARP.
لماذا يعرض جدول ARP الخاص بي أجهزة مختلفة في كل مرة؟
تنتهي صلاحية الإدخالات بعد بضع دقائق من عدم النشاط. تحدث إعادة التشغيل عند الاتصال بجهاز مرة أخرى. تنمو القائمة أثناء الاستخدام النشط وتتقلص خلال فترات الخمول. هذا أمر طبيعي.
هل يمكن لمهاجم خارج شبكتي أن ينتحل شخصية ARP؟
لا، يعمل ARP فقط ضمن مقطع محلي واحد، ولا تتقاطع عمليات البث مع أجهزة التوجيه. لتزييفك بتقنية ARP، يجب أن يكون المهاجم على نفس الشبكة الفعلية أو اللاسلكية التي تستخدمها. ولهذا السبب فإن شبكات Wi-Fi المعادية والشبكات المحلية المشتركة مهمة؛ لا يستطيع مهاجمو الإنترنت عن بعد استخدام ARP لك.
هل أدوات مراقبة ARP مطلوبة في المنزل؟
ربما لا. تحتوي شبكتك المنزلية على عدد قليل من الأجهزة والسلوك الذي يمكن التنبؤ به. تعد مراقبة ARP أكثر أهمية في البيئات المكتبية أو المشتركة حيث تكون عناوين MAC الجديدة التي تظهر بمثابة إشارة أمان. بالنسبة لمعظم المستخدمين المنزليين، تعد شبكة VPN على الشبكات العامة غير الموثوقة هي وسيلة الدفاع الأكثر عملية.
شرح ARP: كيف تجد الأجهزة بعضها البعض على شبكة محلية