La falsificació d'ARP segueix sent una amenaça real el 2026?

A les xarxes obertes (cafeteries, hotels), sí. A les xarxes corporatives amb DAI i DHCP snooping, la majoria no. L'adopció generalitzada d'HTTPS redueix l'impacte dràsticament: un atacant al mig del vostre trànsit encara té problemes per desxifrar-lo. Una VPN fa que els atacs ARP locals siguin essencialment impotents.

No a Ethernet/Wi-Fi: IPv4 en depèn fonamentalment. Podeu fixar entrades ARP estàtiques per a IP de confiança (l'encaminador, els vostres servidors), cosa que fa que la memòria cau sigui estable. També podeu utilitzar IPv6, que utilitza NDP en lloc d'ARP.

Per què la meva taula ARP mostra diferents dispositius cada vegada?

Les entrades caduquen després d'uns minuts d'inactivitat. La reactivació es produeix quan us torneu a comunicar amb un dispositiu. La llista creix durant l'ús actiu i es redueix durant els períodes d'inactivitat. Això és normal.

Pot un atacant fora de la meva xarxa falsificar-me?

No. L'ARP només funciona dins d'un únic segment local: les emissions no creuen encaminadors. Per falsificar l'ARP, l'atacant ha d'estar a la mateixa xarxa física o sense fil que tu. És per això que la Wi-Fi hostil i les LAN compartides són importants; Els atacants remots d'Internet no us poden ARP.

Es necessiten eines per veure ARP a casa?

Probablement no. La vostra xarxa domèstica té pocs dispositius i un comportament previsible. La visualització d'ARP és més rellevant en entorns d'oficina o compartits on l'aparició de noves adreces MAC és un senyal de seguretat. Per a la majoria dels usuaris domèstics, una VPN en xarxes públiques no fiables és la defensa més pràctica.

ARP explicat: com es troben els dispositius en una xarxa local

Quan el vostre ordinador portàtil envia un paquet a l'encaminador, la IP de l'encaminador no és suficient: Ethernet necessita una adreça MAC. El Protocol de resolució d'adreces omple aquest buit, preguntant "qui té aquesta IP?" i recuperar un MAC. Està a IPv4 des de 1982 i no té autenticació, la qual cosa el converteix en la base d'innombrables atacs a la xarxa local.

El cos complet de l'article es proporciona en anglès a continuació.

ARP (Address Resolution Protocol) , RFC 826, és el protocol que mapeja adreces IPv4 amb adreces MAC en una xarxa local. Cada vegada que el vostre dispositiu necessita enviar un paquet a una IP amb la qual mai s'ha parlat abans, ARP s'executa primer. El mapatge s'emmagatzema breument, després caduca i es demana de nou.

L'intercanvi bàsic

El vostre ordinador portàtil té IP 192.168.1.10 i vol enviar-lo a 192.168.1.1 (l'encaminador):

XRP1 sol·licitud:Z10PLZ9XXRP1: emet "Qui té 192.168.1.1? Digueu-li 192.168.1.10" a tots els dispositius de la LAN (MAC emet FF:FF:FF:FF:FF:FF).
ARP resposta: L'encaminador respon directament a l'ordinador1: 8192. AA:BB:CC:DD:EE:FF."
Cache: Ambdues parts emmagatzemen el mapeig IP-MAC a la seva memòria cau ARP durant uns minuts.
Send: L'ordinador portàtil envia ara l'adreça d'un paquet d'enrutadors IP a les adreces del paquet d'Ethernet. MAC.

Per als paquets posteriors a la mateixa IP, s'utilitza l'entrada en memòria cau; no cal intercanviar ARP repetit.

Què hi ha a la memòria cau ARP

A Linux: ip neigh. A macOS: arp -a. A Windows: arp -a. La sortida mostra cada IP coneguda, la seva MAC i l'estat de la memòria cau. Les entrades caduquen (normalment després d'uns minuts d'inactivitat) i s'actualitzen quan cal. Les entrades ARP estàtiques també es poden afegir manualment per a casos especials.

ARP spoofing

ARP no té autenticació; s'accepta qualsevol resposta, fins i tot les no sol·licitades. ARP spoofing (o "enverinament ARP") aprofita això:

Attacker a la mateixa LAN envia un "ARP gratuït" no sol·licitat que anuncia "192.168.1.1 (l'encaminador) està al meu dispositiu d'actualització MACXXPL47PLZ46. memòria cau i comença a enviar trànsit destinat a l'encaminador a l'atacant.
L'atacant es troba ara al mig de tots els fluxos que surten de la LAN: una posició clàssica d'home al mig.
L'atacant reenvia el trànsit a l'encaminador real perquè la víctima no noti la interrupció que s'utilitza a la LAN. devastador. Avui dia, HTTPS protegeix el contingut de la majoria del trànsit de l'atacant, però encara es poden llegir les metadades (quins llocs visiteu i quan), a més de qualsevol protocol de text pla (DNS, HTTP normal, alguns SMTP heretats, API de dispositius IoT). signes:
- Múltiples IP a la vostra memòria cau ARP que s'assignen al mateix MAC
- El MAC de l'encaminador canvia de sobte
- Trànsit ARP gratuït inusual visible en captures de paquets com ara
ToXXPLZ68 arpwatch monitor per a canvis i alerta. La majoria de xarxes domèstiques no tenen monitorització; La falsificació d'ARP a la Wi-Fi domèstica podria passar desapercebuda indefinidament.
Defensa dels atacs ARP
- Inspecció d'ARP dinàmica (DAI) en commutadors gestionats: deixa caure els paquets ARP que no coincideixen amb un IPMAC de confiança. base de dades snooping).
- Entrades ARP estàtiques per a IP crítiques (l'encaminador, servidors de claus): bloqueja el mapatge de manera que les respostes falsificades s'ignoren. Operacionalment maldestre; s'utilitza principalment en configuracions crítiques per a la seguretat.
- Segmentació de la xarxa: mantenir els usuaris a diferents VLAN limita el radi d'explosió dels atacs ARP a una única VLAN.
- VPN per escapar de la LAN, una vegada que es pot xifrar dins d'un túnel de LAN. ARP falsifica la teva manera de sortir-ne. Útil en xarxes hostils (Wi-Fi d'hotels, conferències).
ARP i IPv6: Neighbor Discovery
IPv6 no utilitza ARP. L'equivalent és Neighbor Discovery Protocol (NDP), definit a RFC 4861. Utilitza missatges ICMPv6 en lloc d'un protocol separat i proporciona la mateixa funció: "qui té aquesta adreça IPv6?" amb resposta MAC.
NDP té el mateix problema d'autenticació que ARP: s'accepta qualsevol resposta. Les mitigacions inclouen SEND (Secure Neighbor Discovery, RFC 3971, rarament desplegat) i RA Guard / DHCPv6 Guard als commutadors. En una xarxa corporativa, això inclou impressores, servidors de fitxers, la passarel·la, possiblement alguns ordinadors portàtils de companys de feina. A la Wi-Fi de casa, els vostres dispositius i l'encaminador. La informació és local, mai visible més enllà de la LAN, però útil per entendre el que hi ha al teu voltant.

Preguntes freqüents

La falsificació d'ARP segueix sent una amenaça real el 2026?: A les xarxes obertes (cafeteries, hotels), sí. A les xarxes corporatives amb DAI i DHCP snooping, la majoria no. L'adopció generalitzada d'HTTPS redueix l'impacte dràsticament: un atacant al mig del vostre trànsit encara té problemes per desxifrar-lo. Una VPN fa que els atacs ARP locals siguin essencialment impotents.
Puc desactivar ARP?: No a Ethernet/Wi-Fi: IPv4 en depèn fonamentalment. Podeu fixar entrades ARP estàtiques per a IP de confiança (l'encaminador, els vostres servidors), cosa que fa que la memòria cau sigui estable. També podeu utilitzar IPv6, que utilitza NDP en lloc d'ARP.
Per què la meva taula ARP mostra diferents dispositius cada vegada?: Les entrades caduquen després d'uns minuts d'inactivitat. La reactivació es produeix quan us torneu a comunicar amb un dispositiu. La llista creix durant l'ús actiu i es redueix durant els períodes d'inactivitat. Això és normal.
Pot un atacant fora de la meva xarxa falsificar-me?: No. L'ARP només funciona dins d'un únic segment local: les emissions no creuen encaminadors. Per falsificar l'ARP, l'atacant ha d'estar a la mateixa xarxa física o sense fil que tu. És per això que la Wi-Fi hostil i les LAN compartides són importants; Els atacants remots d'Internet no us poden ARP.
Es necessiten eines per veure ARP a casa?: Probablement no. La vostra xarxa domèstica té pocs dispositius i un comportament previsible. La visualització d'ARP és més rellevant en entorns d'oficina o compartits on l'aparició de noves adreces MAC és un senyal de seguretat. Per a la majoria dels usuaris domèstics, una VPN en xarxes públiques no fiables és la defensa més pràctica.

L'intercanvi bàsic

Què hi ha a la memòria cau ARP

ARP spoofing

Defensa dels atacs ARP

ARP i IPv6: Neighbor Discovery

Preguntes freqüents