Este falsificarea ARP încă o amenințare reală în 2026?

Pe rețele deschise (cafenea, hoteluri), da. Pe rețelele corporative cu snooping DAI și DHCP, în mare parte nu. Adoptarea pe scară largă a HTTPS reduce impactul în mod dramatic - un atacator aflat în mijlocul traficului dvs. încă are probleme în a-l decripta. Un VPN face ca atacurile ARP locale să fie practic impotente.

Nu pe Ethernet/Wi-Fi - IPv4 depinde fundamental de el. Puteți fixa intrări ARP statice pentru IP-uri de încredere (routerul, serverele dvs.), ceea ce face ca cache-ul să fie stabil. De asemenea, puteți utiliza IPv6, care utilizează NDP în loc de ARP.

De ce tabelul meu ARP arată dispozitive diferite de fiecare dată?

Intrările expiră după câteva minute de inactivitate. Re-arping-ul are loc atunci când comunicați din nou cu un dispozitiv. Lista crește în timpul utilizării active și se micșorează în perioadele de inactivitate. Acest lucru este normal.

Poate un atacator din afara rețelei mele să mă falsifice ARP?

Nu. ARP operează doar într-un singur segment local - transmisiile nu traversează routere. Pentru a vă falsifica ARP, atacatorul trebuie să fie în aceeași rețea fizică sau wireless ca și dvs. De aceea contează Wi-Fi-ul ostil și rețelele LAN partajate; Atacatorii de pe internet la distanță nu vă pot ARP.

Este nevoie de instrumente de vizionare ARP acasă?

Probabil că nu. Rețeaua dvs. de acasă are puține dispozitive și un comportament previzibil. Vizionarea ARP este mai relevantă în mediile de birou sau partajate în care apariția de noi adrese MAC este un semnal de securitate. Pentru majoritatea utilizatorilor casnici, un VPN pe rețele publice neîncrezătoare este apărarea mai practică.

ARP explicat: Cum se găsesc dispozitivele într-o rețea locală

Când laptopul dvs. trimite un pachet către router, IP-ul routerului nu este suficient - Ethernet are nevoie de o adresă MAC. Protocolul de rezoluție a adreselor umple acest gol, întrebând „cine are acest IP?” și obținerea înapoi a unui MAC. Este în IPv4 din 1982 și nu are autentificare, ceea ce îl face fundamentul a nenumărate atacuri de rețea locală.

Întregul articol al articolului este oferit în limba engleză mai jos.

ARP (Address Resolution Protocol), RFC 826, este protocolul care mapează adresele IPv4 la adresele MAC dintr-o rețea locală. De fiecare dată când dispozitivul dvs. trebuie să trimită un pachet către o IP cu care nu s-a mai vorbit niciodată, ARP rulează primul. Maparea este memorată în cache pentru scurt timp, apoi expiră și este solicitată din nou. difuzează „Cine are 192.168.1.1? Spune 192.168.1.10” tuturor dispozitivelor de pe LAN (MAC difuzează FF:FF:FF:FF:FF:FF).

ARP răspuns: Router-ul este direct la 1:6192. AA:BB:CC:DD:EE:FF."

Cache: Ambele părți stochează maparea IP-MAC în cache-ul lor ARP pentru câteva minute. MAC.

Pentru pachetele ulterioare către același IP, este utilizată intrarea în cache; nu este nevoie de schimb ARP repetat.

Ce este în memoria cache ARP

Pe Linux: ip neigh. Pe macOS: arp -a. Pe Windows: arp -a. Ieșirea arată fiecare IP cunoscut, MAC-ul său și starea cache-ului. Intrările expiră (de obicei după câteva minute de inactivitate) și sunt reîmprospătate atunci când este necesar. Intrările ARP statice pot fi adăugate și manual pentru cazuri speciale.

ARP spoofing

ARP nu are autentificare — orice răspuns este acceptat, chiar și cele nesolicitate. ARP spoofing (sau „otrăvirea ARP”) exploatează acest lucru:

Attacker pe aceeași rețea LAN trimite un „ARP gratuit” nesolicitat care anunță „192.168.1.1 (routerul) este la actualizarea dispozitivului MY XXPLZPLZ46. cache și începe să trimită traficului destinat ruterului către atacator.
Atacatorul se află acum în mijlocul fiecărui flux care părăsește LAN – o poziție clasică de om în mijloc.
Atacatorul redirecționează traficul către routerul real, astfel încât victima să nu observe întreruperea folosită pentru a fi folosită. devastatoare. Astăzi, HTTPS protejează conținutul majorității traficului de atacator, dar metadatele (ce site-uri vizitați, când), plus orice protocoale de text simplu (DNS, HTTP simplu, unele SMTP vechi, API-uri pentru dispozitive IoT) sunt încă lizibile.
Detectarea falsificării ARP
Clasicul semne:
- Mai multe IP-uri din cache-ul ARP, mapare la același MAC
- Mac-ul routerului se schimbă brusc
- Trafic ARP gratuit neobișnuit vizibil în capturile de pachete
ToXXPLZ68 arpwatch monitor pentru modificări și alertă. Majoritatea rețelelor de acasă nu au monitorizare; Falsificarea ARP pe rețeaua Wi-Fi de acasă ar putea rămâne nedetectată pe termen nelimitat.
Apărarea împotriva atacurilor ARP
- Inspecție dinamică ARP (DAI) pe comutatoarele gestionate — elimină pachetele ARP care nu se potrivesc în mod corespunzator cu un IP-CPD. baza de date snooping).
- Intrarile ARP statice pentru IP-uri critice (routerul, serverele de chei) — blocheaza maparea astfel incat raspunsurile falsificate sa fie ignorate. Operațional greoi; utilizat mai ales în configurații critice pentru securitate.
- Segmentarea rețelei — menținerea utilizatorilor pe diferite VLAN-uri limitează raza de explozie a atacurilor ARP la un singur VLAN.
- VPN pentru a scăpa de LAN — odată ce puteți cripta tunelul LAN, ARP-i falsifică calea de a ieși din ea. Util pe rețele ostile (hotel Wi-Fi, conferințe).
ARP și IPv6: Neighbor Discovery
IPv6 nu folosește ARP. Echivalentul este Neighbor Discovery Protocol (NDP), definit în RFC 4861. Folosește mesaje ICMPv6 în loc de un protocol separat și oferă aceeași funcție: „cine are această adresă IPv6?” cu răspuns MAC.
NDP are aceeași problemă de autentificare ca ARP — orice răspuns este acceptat. Atenuările includ SEND (Secure Neighbor Discovery, RFC 3971, implementat rar) și RA Guard / DHCPv6 Guard pe switch-uri.
Ce vă spune ARP despre o rețea
Cache-ul dvs. ARP după ce utilizați o rețea este, în esență, o listă a fiecărui segment local cu care ați comunicat recent. Într-o rețea corporativă, aceasta include imprimante, servere de fișiere, poarta de acces, eventual câteva laptop-uri pentru colegi. Pe Wi-Fi de acasă, dispozitivele și routerul. Informațiile sunt locale – nu sunt niciodată vizibile dincolo de LAN – dar sunt utile pentru înțelegerea a ceea ce este în jurul tău.

Întrebări frecvente

Este falsificarea ARP încă o amenințare reală în 2026?: Pe rețele deschise (cafenea, hoteluri), da. Pe rețelele corporative cu snooping DAI și DHCP, în mare parte nu. Adoptarea pe scară largă a HTTPS reduce impactul în mod dramatic - un atacator aflat în mijlocul traficului dvs. încă are probleme în a-l decripta. Un VPN face ca atacurile ARP locale să fie practic impotente.
Pot dezactiva ARP?: Nu pe Ethernet/Wi-Fi - IPv4 depinde fundamental de el. Puteți fixa intrări ARP statice pentru IP-uri de încredere (routerul, serverele dvs.), ceea ce face ca cache-ul să fie stabil. De asemenea, puteți utiliza IPv6, care utilizează NDP în loc de ARP.
De ce tabelul meu ARP arată dispozitive diferite de fiecare dată?: Intrările expiră după câteva minute de inactivitate. Re-arping-ul are loc atunci când comunicați din nou cu un dispozitiv. Lista crește în timpul utilizării active și se micșorează în perioadele de inactivitate. Acest lucru este normal.
Poate un atacator din afara rețelei mele să mă falsifice ARP?: Nu. ARP operează doar într-un singur segment local - transmisiile nu traversează routere. Pentru a vă falsifica ARP, atacatorul trebuie să fie în aceeași rețea fizică sau wireless ca și dvs. De aceea contează Wi-Fi-ul ostil și rețelele LAN partajate; Atacatorii de pe internet la distanță nu vă pot ARP.
Este nevoie de instrumente de vizionare ARP acasă?: Probabil că nu. Rețeaua dvs. de acasă are puține dispozitive și un comportament previzibil. Vizionarea ARP este mai relevantă în mediile de birou sau partajate în care apariția de noi adrese MAC este un semnal de securitate. Pentru majoritatea utilizatorilor casnici, un VPN pe rețele publice neîncrezătoare este apărarea mai practică.

Ce este în memoria cache ARP

ARP spoofing

Detectarea falsificării ARP

Apărarea împotriva atacurilor ARP

ARP și IPv6: Neighbor Discovery

Ce vă spune ARP despre o rețea

Întrebări frecvente