YOU.10RTR.1who has 192.168.1.1?AA:BB:CC:DD:EE:FFno authentication — spoofable

ARP

10 min olvasniHálózatépítés

Amikor a laptop csomagot küld az útválasztónak, az útválasztó IP-címe nem elegendő – az Ethernetnek MAC-címre van szüksége. Az Address Resolution Protocol kitölti ezt a hiányt, és megkérdezi: "Kinek van ez az IP-címe?" és visszaszerez egy MAC-ot. 1982 óta IPv4 alatt van, és nincs hitelesítés, ami számtalan helyi hálózati támadás alapjává teszi.

A cikk teljes szövege alább olvasható angol nyelven.

ARP (Address Resolution Protocol) Az , RFC 826 az a protokoll, amely az IPv4-címeket MAC-címekre képezi le a helyi hálózaton. Minden alkalommal, amikor az eszköznek csomagot kell küldenie egy olyan IP-címre, amellyel korábban még nem beszélt, az ARP fut először. A leképezés rövid időre gyorsítótárba kerül, majd lejár, és újra kérésre kerül.

Az alapcsere

A laptop IP-címe 192.168.1.10, és a 192.168.1.1 címre (az útválasztóra) szeretne küldeni:

  1. X1. a 192.168.1.1? AA:BB:CC:DD:EE:FF."
  2. Cache: Mindkét oldal néhány percig tárolja az IP-MAC-leképezést az ARP-gyorsítótárában.
  3. Send: A laptop immár Ethernet-csomagban küldi az IP-csomag címét. MAC.

Az ugyanarra az IP-címre továbbított csomagokhoz a gyorsítótárazott bejegyzés kerül felhasználásra; nincs szükség ismételt ARP-cserére.

Mi van az ARP-gyorsítótárban?

Linuxon: ip neigh. MacOS rendszeren: arp -a. Windows rendszeren: arp -a. A kimenet minden ismert IP-címet, MAC-címét és a gyorsítótár állapotát mutatja. A bejegyzések lejárnak (általában néhány percnyi inaktivitás után), és szükség esetén frissülnek. A statikus ARP bejegyzések manuálisan is hozzáadhatók speciális esetekben.

ARP hamisítás

ARP nem rendelkezik hitelesítéssel – minden választ elfogad, még a kéretleneket is. Az ARP spoofing (vagy "ARP-mérgezés") ezt használja ki:

  1. A támadó ugyanazon a LAN-on kéretlen "ingyenes ARP-t" küld a "192.168.1.1" üzenettel (az MACXXE másik helyen a ZPLZMYXX) az eszköz frissíti az ARP-gyorsítótárát, és elkezdi az útválasztó által célzott forgalmat küldeni a támadónak.
  2. A támadó most minden, a LAN-t elhagyó folyamat közepén van – ez egy klasszikus középső pozíció.
  3. A támadó továbbítja a forgalmat a valódi útválasztónak, így az áldozat nem veszi észre a zavart3PLZPLZXXPL. pusztító legyen. Ma a HTTPS védi a legtöbb forgalom tartalmát a támadótól, de a metaadatok (mely webhelyeket látogat meg, mikor), valamint az egyszerű szöveges protokollok (DNS, egyszerű HTTP, néhány örökölt SMTP, IoT-eszköz API-k) továbbra is olvashatók.

    ARP-hamisítás észleléseXPLZ5PLZ57XX jelek:

    • Több IP-cím az ARP-gyorsítótárban, ugyanahhoz a MAC
    • Az útválasztó MAC-je hirtelen megváltozik.
    • Szokatlanul ingyenes ARP-forgalom látható a csomagrögzítésekbenXPLZ66PLZZ6PLZ67TXX. arpwatch monitor a változásokhoz és a figyelmeztetéshez. A legtöbb otthoni hálózat nem rendelkezik felügyelettel; Az otthoni Wi-Fi-n történő ARP-hamisítás a végtelenségig észrevétlen maradhat.

      Védelem az ARP-támadásokkal szemben

      • Dynamic ARP Inspection (DAI) a felügyelt kapcsolókon – eldobja azokat az ARP-csomagokat, amelyek nem egyeznek meg IPCP-vel lesnivaló adatbázis).
      • Statikus ARP bejegyzések kritikus IP-címekhez (útválasztó, kulcsszerverek) – zárolja a leképezést, így a hamis válaszokat figyelmen kívül hagyja. Működésileg ügyetlen; többnyire biztonsági szempontból kritikus beállításokban használatos.
      • Hálózati szegmentáció – a felhasználók különböző VLAN-okon való tartása egyetlen VLAN-ra korlátozza az ARP-támadások sugárzási sugarát.
      • VPN, hogy elkerülje a LAN alagút belsejében lévő LAN titkosítást. Az ARP meghamisítja a kiutat. Hasznos ellenséges hálózatokon (szállodai Wi-Fi, konferenciák).

      ARP és IPv6: A Neighbor Discovery

      IPv6 nem használ ARP-t. Ennek megfelelője az Neighbor Discovery Protocol (NDP), amely az RFC 4861-ben van definiálva. Külön protokoll helyett ICMPv6 üzeneteket használ, és ugyanazt a funkciót biztosítja: "kinek ez az IPv6-címe?" MAC-válaszolással.

      NDP-vel ugyanaz a hitelesítési probléma van, mint az ARP-vel – minden választ elfogad. Az enyhítő intézkedések közé tartozik a SEND (Secure Neighbor Discovery, RFC 3971, ritkán telepítve) és az RA Guard / DHCPv6 Guard a kapcsolókon.

      Mit mond az ARP a hálózatról?

      Az Ön ARP-gyorsítótára a hálózat használata után a közelmúltban kommunikált eszközök listája lényegében a helyi szegmensek listája. Vállalati hálózaton ez magában foglalja a nyomtatókat, a fájlszervereket, az átjárót, esetleg néhány munkatársi laptopot. Otthoni Wi-Fi-n, az eszközökön és az útválasztón. Az információ helyi – a LAN-on kívül soha nem látható –, de hasznos a körülötted lévő dolgok megértéséhez.

Gyakran ismételt kérdések

2026-ban is valós fenyegetést jelent az ARP-hamisítás?
Nyílt hálózatokon (kávézók, szállodák) igen. Vállalati hálózatokon DAI és DHCP leskelődéssel többnyire nem. A HTTPS széles körben elterjedt alkalmazása drasztikusan csökkenti a hatást – a forgalom közepén tartózkodó támadónak továbbra is nehézségei vannak a titkosítás visszafejtésével. A VPN lényegében tehetetlenné teszi a helyi ARP-támadásokat.
Letilthatom az ARP-t?
Ethernet/Wi-Fi hálózaton nem – az IPv4 alapvetően attól függ. Statikus ARP-bejegyzéseket rögzíthet a megbízható IP-címekhez (útválasztó, kiszolgálók), ami stabillá teszi a gyorsítótárat. Használhatja az IPv6-ot is, amely az ARP helyett NDP-t használ.
Miért mutat minden alkalommal más eszközöket az ARP-táblám?
A bejegyzések néhány percnyi inaktivitás után lejárnak. Az újraélesztés akkor történik, amikor ismét kommunikál egy eszközzel. A lista aktív használat során növekszik, üresjáratok alatt pedig csökken. Ez normális.
Hamisíthat-e engem egy támadó a hálózatomon kívüli ARP-n?
Nem. Az ARP csak egyetlen helyi szegmensen belül működik – az adások nem keresztezik az útválasztókat. Az ARP-hamisításhoz a támadónak ugyanazon a fizikai vagy vezeték nélküli hálózaton kell lennie, mint Ön. Ezért számítanak az ellenséges Wi-Fi és a megosztott LAN-ok; a távoli internetes támadók nem tudják Önt védeni.
Szükségesek-e otthon ARP-megfigyelő eszközök?
Valószínűleg nem. Otthoni hálózata kevés eszközzel és kiszámítható viselkedéssel rendelkezik. Az ARP-figyelés relevánsabb irodai vagy megosztott környezetekben, ahol az új MAC-címek megjelenése biztonsági jelzés. A legtöbb otthoni felhasználó számára a nem megbízható nyilvános hálózatokon működő VPN a praktikusabb védelem.
Az ARP magyarázata: Hogyan találják meg egymást az eszközök a helyi hálózaton