ARP protokol

1. ARP protokol Informační technologie - praxe SPŠE V úžlabině Jan Klepal, Mgr. Radka Müllerová Verze 1

2. Obsah • Formát MAC adres • Boradcast • ARP protokol • ARP tabulky ve Windows a Linuxu • ARP poisoning • LAB

3. Formát MAC adres • MAC adresa je fyzická adresa síťové karty, kterou při výrobě nastavuje výrobce • MAC adresa je 6-ti bajtové číslo (přibližně 280 biliónů adres) • Zapisuje se hexadecimálně • Jako oddělovače jednotlivých bajtů se používá dvojtečka • 00:80:48:12:AF:4F • 00-80-48-12-AF-4F (formát Windows) • 0080.4812.AF4F (formát Cisco) • První 3 bajty MAC adresy je prefix alokovaný výrobci • xx:xx:xx:aa:aa:aa • část xx:xx:xx přiřazuje IEEE http://standards.ieee.org/regauth/oui/index.shtml • část aa:aa:aa přiřazuje výrobce podle série zařízení

4. Broadcast • Unicast – jeden zdroj, jeden cíl • Broadcast – jeden zdroj, více cílů • Broadcástová MAC adresa je FF:FF:FF:FF:FF • V případě, že je cílová adresa rámce (frame) FF:FF:FF:FF:FF switche předávají rámec na všechny aktivní porty a všechny síťová zařízení přijímají takový rámec

5. ARP protokol • ARP protokol zajišťuje spojení 2. a 3. síťové vrstvy (někdy se nazývá protokol 2,5 vrstvy) • Zajišťuje „překlad“ IP adresy na MAC adresu, aby mohl být zabalen paket do rámce • Funguje zcela automaticky za pomocí broadcastů na 2. vrstvě • Síťová zařízení (switche a bridge) pracující na 2. vrstvě o ARP protokolu „nic neví“

6. 192.168.1.1 DATA 192.168.1.2 ARP protokol 192.168.1.1 192.168.1.2 AA:AA:AA:AA:AA:AA BB:BB:BB:BB:BB:BB A B C

7. BB:BB:BB:BB:BB:BB 192.168.1.1 AA:AA:AA:AA:AA:AA AA:AA:AA:AA:AA:AA ARP: Who has 192.168.1.2, tell 192.168.1.1 ARP: Who has 192.168.1.2, tell 192.168.1.1 ARP reply 192.168.1.2 DATA AA:AA:AA:AA:AA:AA 192.168.1.2 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF ARP protokol 192.168.1.1 192.168.1.2 AA:AA:AA:AA:AA:AA BB:BB:BB:BB:BB:BB A B C 192.168.1.2 BB:BB:BB:BB:BB:BB 192.168.1.1 AA:AA:AA:AA:AA:AA

8. 192.168.1.1 DATA 192.168.1.2 AA:AA:AA:AA:AA:AA 192.168.1.1 DATA BB:BB:BB:BB:BB:BB 192.168.1.2 ARP protokol 192.168.1.1 192.168.1.2 AA:AA:AA:AA:AA:AA BB:BB:BB:BB:BB:BB A B C 192.168.1.2 BB:BB:BB:BB:BB:BB 192.168.1.1 AA:AA:AA:AA:AA:AA

9. ARP tabulky ve Windows a Linuxu • Ve Windows i Linuxu je ARP tabulka přístupná pomocí příkazu „arp“ • Windows: arp –a • Linux: arp • Do ARP tabulky je možné přidat statické záznamy • arp -s 192.168.1.1 AA:AA:AA:AA:AA:AA • Vymazání záznamu z ARP tabulky: • arp –d 192.168.1.1

10. ARP poisoning • Jedná se o MITM (man in the middle) útok úpravou ARP tabulky • Někdy se nazývá ARP spoofing • Útočník podstrčí napadeným počítačům vlastní MAC adresu a tím zajistí nasměrování komunikace mezi napadenými počítači na sebe. Tím si umožní odposlech komunikace.

11. CC:CC:CC:CC:CC:CC CC:CC:CC:CC:CC:CC ARP reply 192.168.1.1 ARP reply 192.168.1.2 BB:BB:BB:BB:BB:BB AA:AA:AA:AA:AA:AA ARP poisoning 192.168.1.1 192.168.1.2 AA:AA:AA:AA:AA:AA BB:BB:BB:BB:BB:BB A B C 192.168.1.2 CC:CC:CC:CC:CC:CC BB:BB:BB:BB:BB:BB 192.168.1.1 CC:CC:CC:CC:CC:CC AA:AA:AA:AA:AA:AA

12. 192.168.1.1 192.168.1.1 192.168.1.1 DATA DATA DATA 192.168.1.2 192.168.1.2 192.168.1.2 CC:CC:CC:CC:CC:CC AA:AA:AA:AA:AA:AA BB:BB:BB:BB:BB:BB CC:CC:CC:CC:CC:CC ARP poisoning 192.168.1.1 192.168.1.2 AA:AA:AA:AA:AA:AA BB:BB:BB:BB:BB:BB A B C 192.168.1.2 CC:CC:CC:CC:CC:CC 192.168.1.1 CC:CC:CC:CC:CC:CC

13. LAB • Zobrazte si ARP tabulku • Pomocí programu Ethereal odposlechněte ARP komunikaci (k vygenerování ARP požadavku použijte ping) • Pomocí programu EtterCap vyzkošejte ARP poisoning