Глава 22 конфигурация защиты от подмены arp/nd, 1 обзор, 1 arp (address resolution protocol) – Инструкция по эксплуатации QTECH QSW-3500

+7(495) 797-3311 www.qtech.ru

Москва, Новозаводская ул., 18, стр. 1

204

Глава 22 Конфигурация защиты от

подмены ARP/ND

22.1

Обзор

22.1.1 ARP (Address Resolution Protocol)

В общем, протокол ARP (RFC-826), в основном, отвечает за соотношение IP адреса
соответствующему 48-битному физическому адресу, то есть MAC адресу, например, IP
адрес 192.168.0.1, MAC адрес сетевой карты 00-1F-CE-FD-1D-2B.
Весь процесс соотношения состоит в том, что хост отправляет широковещательный

(broadcast

) пакет данных, включающий в себя информацию об IP адресе хоста

назначения (ARP запрос), затем хост назначения отправляет исходному хосту пакет
данных, включающий в себя информацию об IP адресе и MAC адресе. Таким образом,
два хоста могут обмениваться информацией по MAC адресу.

22.1.2

Подмена ARP

С точки зрения протокола ARP, чтобы уменьшить ARP трафик в сети, если хост получит

ARP

ответ, который он не запрашивал, он так же добавит запись в свой ARP кэш, что

делает возможным подмену ARP (ARP spoofing). Если хакер хочет прослушать обмен
данными между двумя хостами в одной сети (даже если они подключены через
коммутаторы), он отправляет пакет ARP ответа двум хостам по отдельности, это
приводит к тому, что каждый из хостов считает MAC адрес хакера адресом другого хоста.
Таким образом, вместо прямого обмена, хосты обмениваются трафиком через хост
хакера. Хакеры не только получают необходимую им информацию. Им для успешной
передачи необходимо всего лишь изменить некоторую информацию в пакете. В этом
случае на компьютере хакера не нужно настраивать смешанный режим сетевой карты,
т.к. пакеты данных поступают на компьютер хакера на физическом уровне, компьютер
работает как ретранслятор.

22.1.3

Как предотвратить подмену ARP/ND

Есть много видов атак, основанных на протоколе ARP,. Большинство атак основаны на
подмене ARP, так что очень важно предотвратить подмену ARP.
Механизм подмены ARP проникает в сеть, в первую очередь, путем подделки легального

IP

адреса, затем посылая много поддельных ARP пакетов коммутаторам, после чего

коммутаторы заменяют правильные связки IP-MAC соответствующими связками из
атакующих пакетов. Таким образом, коммутатор ошибочно отправляет пакеты
атакующему хосту, и это действует на всей сети.