Последнее изменение файла: 2007.07.01
Скопировано с www.bog.pp.ru: 2024.04.24

Bog BOS: ARP (Address Resolution Protocol)

Когда датаграмма IP попадает на обработку программе доступа к физической сети (драйверу устройства), то ее необходимо обеспечить физическим адресом пункта назначения. ARP (Address Resolution Protocol) обеспечивает преобразование IP адресов в MAC адреса (48-битные Ethernet адреса).

Модуль ARP посылает широковещательный кадр Ethernet с запросом, содержащий IP адрес требуемого узла. В ответ ожидается ARP пакет, содержащий IP адрес и соответствующий ему MAC адрес. Ответ может быть получен непосредственно от узла, распознавшего свой IP адрес или от посредника (proxy, promiscuous ARP, ARP hack). В качестве посредника обычно выступает маршрутизатор, который указывает в ответе свой собственный MAC адрес в качестве соответствия запрашиваемому IP адресу (предполагается, что запрашиваемый IP адрес принадлежит узлу, присоединенному к одному из интерфейсов маршрутизатора).

Пакеты ARP используют отдельный тип протокола Ethernet (0x0806) наравне с датаграммами IP (0x0800), а не являются частью IP протокола. Пакет ARP содержит информацию о типе физической сети (1 для Ethernet), типе сетевого уровня (0x0800 для IP) и длине их адресов (6 и 4), физические и сетевые адреса отправителя и цели (могут быть незаполнены), тип операции (операции RARP не используются, т.к. были перенесены в отдельный протокол):

1. запрос ARP (broadcast)
2. ответ ARP (unicast)
3. запрос RARP
4. ответ RARP

Требуемое значение может быть извлечено из кеша вместо посылки запроса. Кеш заполняется не только при получении ответа на предыдущий запрос, но и "проходящими мимо" широковещательными запросами (они содержат физический и сетевой адрес отправителя). Обычно значение хранится в кеше 20 минут (запись о запросе без ответа обычно хранится 3 минуты). Механизм удаления устаревших записей (сборка мусора) в Linux 2.4 значительно сложнее и приводит к повторным запросам каждую минуту (см. /proc/sys/net/ipv4/neigh/).

Преобразование адресов является динамическим, т.е. не требует вмешательства администратора или приложений (скорее, наоборот, нужно пресекать "лишние" преобразования).

Физические связи типа "точка-точка" не требуют наличия ARP.

При загрузке хост выдает ARP запрос со своим собственным IP адресом в качестве сетевого адреса отправителя и цели. В нормальной ситуации ответа быть не должно, иначе мы имеем в сети 2 хоста с одинаковым IP адресом. Такой запрос также позволяет обновить кеш на остальных узлах сети в случае смены MAC адреса загружаемого узла.

Для управления кешем служит команда arp (пакет net-tools в Red Hat Linux). Ключи (-v: повысить болтливость):

• [-i имя-интерфейса] [-n] -a [имя-хоста] (показать содержимое кеша, BSD формат)
• [-i имя-интерфейса] [-n] -ea [имя-хоста] (показать содержимое кеша, Linux формат; флаги: C - строка заполнена, M - постоянное значение, P - см. ниже флаг pub; см. также /proc/net/arp)
• [-i имя-интерфейса] -d имя-хоста (удалить запись из кеша)
• [-i имя-интерфейса] -s имя-хоста MAC-адрес [temp] [pub] (добавить запись в кеш вручную; навсегда, если не использован ключ temp; если указан ключ pub, то данный хост будет выдавать ARP ответы на запрос с указанным IP-адресом; в частности, это позволяет организовать ARP прокси (/proc/sys/net/ipv4/conf/интерфейс/proxy_arp или /proc/sys/net/ipv4/conf/all/proxy_arp); вместе с ключом pub можно задавать сетевую маску: netmask IP-адрес)
• [-i имя-интерфейса] -f [имя-файла] (добавить записи из файла, по умолчанию /etc/ethers, в кеш; каждая строка содержит 2 поля: MAC адрес, IP адрес или доменное имя (или наоборот?); может содержать флаги temp, pub, netmask)

В ядре 2.4 и выше для управления кешем используется команда ip из пакета iproute:
ip [общие-опции] neighbour команда параметры.

Команды:

• add
• change
• replace
• delete (удаляется только после освобождения последним клиентом и сбора мусора)
• flush (сбросить часть таблицы; с ключом -statistics выводит число удалённых записей; двойное использование ключа -statistics выводит список удалённых записей)
• show (list)

Параметры команд add, change, replace:

• [to] IP-адрес-соседа
• dev имя-интерфейса
• lladdr MAC-адрес
• nud состояние
  • permanent (будет в кеше, пока администратор не удалит вручную)
  • noarp (система не будет проверять достоверность записи, но запись будет удалена по истечении обычного времени)
  • reachable (запись можно использовать, будет удалена по истечении времени хранения)
  • stale (запись можно использовать, но неплохо бы проверить по-возможности)

Параметры команды delete:

• [to] IP-адрес-соседа
• dev имя-интерфейса

Параметры команды show и flush:

• [to] префикс-сети
• dev имя-интерфейса
• unused
• nud состояние:
  • all
  • none (состояние неизвестно)
  • incomplete (запрос послан, ответ пока не получен)
  • reachable
  • stale (запись можно использовать, но неплохо бы проверить по-возможности)
  • delay (запрос для перепроверки послан, ответ пока не получен)
  • probe (время ожидания при перепроверки истекло, ядро пытается определить MAC-адрес занво)
  • fail (определить MAC-адрес не удалось)
  • noarp (ядро не будет пытаться проверить правильность записи)
  • permanent (только администратор может удалить запись из кеша)

Опция -statistics команды show позволяет узнать количество пользователей каждой записи (ref) и значения таймеров (used, в секундах): последнее использование, последняя перепроверка, время изменения.

Организация ARP прокси:
ip neighbour { add | del } proxy IP-адрес [dev имя-интерфейса]

Утилита arping позволяет проверять работу подсистемы ARP на удаленном узле, рассылая запросы ARP и заполняя кеш на основании полученных ответов:

• [-I имя-интерфейса]
• [-f] (завершить работу при получении первого пакета)
• [-c количество-пакетов]
• [-w секунд-ожидания]
• [-U] (послать ARP запрос с целью заполнить кеш соседа)
• [-A] (послать ARP ответ с целью заполнить кеш соседа)
• [-b] (не переключаться на индивидуальную адресацию при получении ответа)
• [-D] (режим поиска дубликатов)
• [-q]
• [-s исходящий-IP-адрес] (по умолчанию: для режима поиска дубликатов - 0.0.0.0, для режимов A/U - адрес получателя, иначе вычисляется из таблицы маршрутов)
• опрашиваемый-IP-адрес

Протокол не имеет встроенных средств защиты, поэтому злоумышленник может послать фальшивые ответы ARP (по локальной сети или через прокси), которые окажутся в кеше. В результате, исходящий траффик будет направлен по ложному пути и будет перехвачен злоумышленником. Чтобы избежать этого, фальшивые ARP пакеты должны быть отфильтрованы на входе в прокси и коммутатором локальной сети (надо фильтровать как по адресам отправителя, так и цели; не забывать, что это не IP пакеты!).

Пассивная защита (наблюдение) обеспечивается программами arpwatch (используется libpcap для инспекции пакетов) и arpsnmp (использует внешнюю программу для построения БД, например, скрипт arpfetch, который использует snmpwalk из пакета cmu-snmp/net-snmp). Обе программы входят в пакет arpwatch и используют общую БД адресов (/var/arpwatch/arp.dat). arpwatch просматривает все "пробегающие мимо" ARP пакеты, ведет БД соответствия MAC и IP адресов, посылает извещения (по email и syslog) обо всех изменениях. Ключи:

• [-d] (отладочный режим без ухода в фон)
• [-i имя-интерфейса] (прослушивать данный интерфейс)
• [-u uid] (сменить euid на указанный uid на время работы, в Red Hat создается специальный пользователь pcap)
• [-e email] (куда посылать сообщения; по умолчанию - root; чтобы подавить посылку писем надо указать адрес "-"; RH 8.0)
• [-s обратный-адрес-email] (RH 8.0)
• [-f имя-файла-хранилища] (/var/arpwatch/arp.dat)
• [-n сеть/число-бит] (объявить дополнительную локальную сеть на интерфейсе, чтобы избежать лишних сообщений bogon)
• [-N] (не сообщать bogon вообще)
• [-r имя-файла] (вместо прослушивания использовать результат tcpdump)

Типы почтовых извещений:

• new station (новый MAC адрес)
• changed ethernet address (MAC адрес хоста изменился)
• flip flop (MAC адрес хоста вернулся к предыдущему значению)
• new activity (хост проснулся после полугодовой спячки)

Сообщения на syslog (источник сообщения - DAEMON; уровни - ERR, INFO, NOTICE, DEBUG; легко отличить по слову arpwatch)

• ethernet broadcast (заявленный для хоста MAC адрес является широковещательным)
• ip broadcast (заявленный для хоста IP адрес является широковещательным)
• new station (новый MAC адрес)
• changed ethernet address (MAC адрес хоста изменился)
• flip flop (MAC адрес хоста вернулся к предыдущему значению)
• new activity (хост проснулся после полугодовой спячки)
• ethernet mismatch (исходный адрес MAC кадра не соответствует адресу внутри ARP пакета - возможно проделки хакеров)
• bogon (исходный IP адрес не является локальным - результат действия прокси ARP)
• reused old ethernet address (MAC адрес хоста вернулся к предпредыдущему значению)
• suppressed DECnet flip flop

Процедура запуска в Linux - /etc/rc.d/init.d/arpwatch (start, stop, restart, reload); параметры в Red Hat Linux хранятся в /etc/sysconfig/arpwatch. Для обеспечения запуска при загрузке надо выполнить

chkconfig --level 2 arpwatch on
chkconfig --level 3 arpwatch on
chkconfig --level 4 arpwatch on
chkconfig --level 5 arpwatch on

• RFC 826. Ethernet Address Resolution Protocol: Or converting network protocol addresses to 48.bit Ethernet address for transmission on Ethernet hardware. D.C. Plummer. Nov-01-1982.
• arpwatch
• ARP-spoofing и методы борьбы с ним