ARP — протокол преобразования адресов

Протокол ARP предназначен для определения адресов канального уровня (MAC-адресов) по известным IP-адресам. Это очень важный протокол, его работа напрямую влияет на работоспособность сети в целом.

Назначение протокола ARP

Для взаимодействия устройств друг с другом необходимо, чтобы у передающего устройства был IP- и MAC-адреса получателя. Когда одно из устройств пытается установить связь с другим, с известным IP-адресом, ему необходимо определить MAC-адрес получателя. Набор протоколов TCP/IP имеет в своем составе специальный протокол, называемый ARP (Address Resolution Protocol — протокол преобразования адресов), который позволяет автоматически получить MAC-адрес. На рис. ниже проиллюстрирован процесс, позволяющий определить MAC-адрес, связанный с известным IP-адресом.

Получение MAC-адреса по известному IP-адресу

Получение MAC-адреса по известному IP-адресу

Некоторые устройства хранят специальные ARP-таблицы, в которых содержится информация о MAC- и IP-адресах других устройств, подключенных к той же локальной сети. ARP-таблицы позволяют установить однозначное соответствие между IP- и MAC-адресами. Такие таблицы хранятся в определенных областях оперативной памяти и обслуживаются автоматически на каждом из сетевых устройств (см. таблицы ниже). В редких случаях приходится создавать ARP-таблицы вручную. Обратите внимание, что каждый компьютер в сети поддерживает свою собственную ARP-таблицу.

Запись в ARP таблице

Запись в ARP таблице

ARP-таблица для адреса 198.150.11.36

ARP-таблица для адреса 198.150.11.36

Куда бы не передавались сетевым устройством данные, для их пересылки всегда используется информация, хранящаяся в ARPтаблице (рис. ниже: одно из устройств хочет передать данные другому устройству).

ARP-таблицы

ARP-таблицы

Функционирование протокола ARP в подсетях

Для передачи данных от одного узла другому отправитель должен знать IP- и MAC-адрес получателя. Если он не может получить искомый физический адрес из собственной ARP-таблицы, инициируется процесс, называемый ARPзапросом, ко торый проиллюстрирован на рис. выше.

ARP-запрос позволяет узлу определить MAC-адрес получателя. Узел создает фрейм ARP-запроса и рассылает его всем сетевым устройствам. Фрейм ARP-запроса состоит из двух частей:

  • заголовка фрейма;
  • сообщения ARP-запроса.

Для того чтобы все устройства могли получить ARP-запрос, используется широковещательный MAC-адрес. В схеме MAC-адресации широковещательный адрес содержит во всех битах шестнадцатеричное число F и имеет, таким образом, вид FF-FF-FF-FF-FF-FF (Такая запись MAC-адреса называется канонической, в ней части адреса разделены дефисом (-); существует также альтернативная запись, в которой части адреса разделены двоеточием (:).). Поскольку пакеты ARP-запроса передаются в широковещательном режиме, все сетевые устройства, подключенные к локальной сети, могут получить такие пакеты и передать их протоколам более высоких уровней для последующей обработки. Если IP-адрес устройства совпадает с IP-адресом получателя в широковещательном ARP-запросе, это устройство отвечает отправителю, сообщая свой MAC-адрес. Такое сообщение называется ARP-ответом.

После получения ARP-ответа устройство-отправитель широковещательного ARP-запроса извлекает MAC-адрес из поля аппаратного адреса отправителя и обновляет свою ARP-таблицу. Теперь это устройство может надлежащим образом адресовать пакеты, используя как MAC-, так и IP-адрес. Полученная информация используется для инкапсуляции данных на втором и третьем уровнях перед их отправкой по сети. Когда данные достигают пункта назначения, на канальном уровне проводится проверка на соответствие адреса, отбрасывается канальный заголовок, который содержит MAC-адреса, и данные передаются на сетевой уровень. На сетевом уровне проверяется соответствие собственного IP-адреса и IP-адреса получателя, содержащегося в заголовке третьего уровня. На сетевом уровне отбрасывается IP-заголовок, и инкапсулированные данные передаются на следующий уровень модели OSI — транспортный (уровень 4). Подобный процесс повторяется до тех пор, пока оставшиеся, частично распакованные, данные не достигнут приложения (уровень 7), в котором будет прочитана пользовательская часть данных.

ARP кэш

На каждом хосте содержится ARP кэш (ARP cache). Записи в эше могут быть двух видов: статические и динамические. В современных сетевых ОС (Windows, Linux, BSD) можно просмотреть эти записи в консоли с помощью команды:

arp -a

Очистка ARP кэша

Иногда в Windows ARP кэш оказывается поврежденным (действие вирусов, например) и его нужно очистить. «Симптомы» этой проблемы могут быть распознаны в не возможности отображения веб-страниц (time out) и ping`а других компьютеров.

Чтобы очистить ARP кэш в Windows нужно в командной строке набрать:

C:>netsh interface ip delete arpcache
Ok.

Если не удалось очистить ARP кэш и появилось сообщение об ошибке вроде этого «Невозможно завершить исправление ошибки, так как не удается выполнить следующие действия: Выполнить очистку ARP-кэша». То нужно отключить службу «Маршрутизация и удаленный доступ» и попробовать снова. Процесс удаления ARP-кэша должен быть выполниться без ошибок.

Еще одна команда для очистки ARP-кэша:

arp -d

ARP-spoofing

ARP-spoofing (ARP-poisoning) — это вид сетевой атаки в Ethernet-сетях в котором используются особенности работы протокола ARP. Суть механизма данной атаки заключается в следующем: перехватив широковещательный ARP-запрос в домене широковещательных рассылок, отправителю высылается ложный ARP-ответ, в котором атакующая сторона выдает себя за получателя (например, за маршрутизатор), а затем начинает контролировать весь трафик предназначенный для настоящего объекта в сети.

Противодействовать атакам такого рода можно отслеживая работу ARP (с помощью arpwatch) или шифруя передаваемый трафик на сетевом уровне (IPSec) и другими способами.

ARP и IPv6

В IPv6 больше не используется ARP. На его замену пришел NDP (The Neighbor Discovery Protocol). Этот протокол описан в RFC 1122.

Типы компьютерных сетей (классификация компьютерных сетей)
Сетевая модель TCP/IP (Модель DoD)
ITandLife.ru