Address Resolution Protocol
Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs de cet article est disponible ici.
Pile de protocoles
Application
Présentation
Session
Transport
Réseau
Liaison de données (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction d'affaire, d'un événement, etc.)
Physique (La physique (du grec φυσις, la nature) est étymologiquement la « science de la nature ». Dans un sens général et ancien, la physique...)
Modèle OSI

L'Address resolution protocol (L'Address resolution protocol (ARP, protocole de résolution d'adresse) est un protocole effectuant la traduction d'une adresse de protocole de couche réseau...) (ARP, protocole de résolution d'adresse) est un protocole effectuant la traduction d'une adresse (Les adresses forment une notion importante en communication, elles permettent à une entité de s'adresser à une autre parmi un ensemble d'entités. Pour qu'il n'y ait...) de protocole de couche réseau (Un réseau informatique est un ensemble d'équipements reliés entre eux pour échanger des informations. Par analogie avec un filet (un réseau est un « petit rets », c'est-à-dire un...) (typiquement une adresse IPv4) en une adresse ethernet (Ethernet est un protocole de réseau local à commutation de paquets. Bien qu'il implémente la couche physique (PHY) et la sous-couche...) (typiquement une adresse MAC), ou même de tout (Le tout compris comme ensemble de ce qui existe est souvent interprété comme le monde ou l'univers.) matériel de couche de liaison.

Il a été défini dans la RFC 826 : An Ethernet Address Resolution Protocol.

Il est nécessaire au fonctionnement d'IPv4 (L'Internet Protocol version 4 ou IPv4 est la première version d'IP à avoir été largement déployée, et forme encore la base (en 2007) de l'Internet. Elle est décrite dans la RFC numéro 791 (RFC 791).), mais semble inutile au fonctionnement d'IPv6 (IPv6 (Internet Protocol version 6) est un protocole réseau sans connexion de la couche 3 du modèle OSI.). En IPv6, ARP devient obsolète et est remplacé par Internet Control Message Protocol (Internet Control Message Protocol est l'un des protocoles fondamentaux constituant la suite de protocoles Internet. Il est utilisé pour véhiculer des messages de contrôle et...) V6.

Dans la suite de l'article, le terme adresse IP (Une adresse IP (avec IP pour Internet Protocol) est le numéro qui identifie chaque ordinateur connecté à Internet, ou plus généralement et précisément, l'interface avec le réseau de tout matériel...) est utilisé pour parler d' adresse IPv4.

Scénario typique de l'utilisation d'ARP

Un ordinateur (Un ordinateur est une machine dotée d'une unité de traitement lui permettant d'exécuter des programmes enregistrés. C'est un ensemble de circuits électroniques...) connecté à un réseau informatique (Un réseau informatique est un ensemble d'équipements reliés entre eux pour échanger des informations. Par analogie avec un filet (un réseau est un « petit rets », c'est-à-dire...) souhaite émettre une trame (Le mot trame peut désigner :) ethernet à destination d'un autre ordinateur dont il connaît l'adresse IP.

Il interroge son cache ARP (Le Cache ARP est un ensemble de couples adresse IP-adresse MAC contenu dans la mémoire d'un ordinateur qui utilise le protocole ARP (ce qui est le cas de tous les...) à la recherche (La recherche scientifique désigne en premier lieu l’ensemble des actions entreprises en vue de produire et de développer les connaissances scientifiques. Par extension métonymique, la recherche scientifique désigne également le cadre...) d'une entrée correspondant à l'adresse IP de la machine cible. Deux cas peuvent se présenter :

  1. L'adresse IP est présente dans le cache de l'émetteur, il suffit de lire l'adresse MAC (En réseau informatique une adresse MAC (Media Access Control address) est un identifiant physique stocké dans une carte réseau ou une interface réseau...) correspondante pour envoyer la trame ethernet. L'utilisation d'ARP s'arrête ici dans ce cas ;
  2. L'adresse IP est absente du cache de l'émetteur. Dans ce cas, cet ordinateur va placer son émission en attente et effectuer une requête (Le mot requête, synonyme de demande, est employé dans les domaines suivants :) ARP en broadcast ( Dans le domaine des télécommunications en général, le Broadcasting désigne une méthode de diffusion de données à partir d'une source unique...). Cette requête est de type " quelle est l'adresse MAC correspondant à l'adresse IP adresseIP ? Répondez à adresseMAC ".

Puisqu'il s'agit d'un broadcast, tous les ordinateurs connectés au support physique vont recevoir la requête. En observant son contenu, ils pourront déterminer quelle est l'adresse IP sur laquelle porte la recherche. La machine qui possède cette adresse IP, sera la seule (du moins si elle est la seule, ce qui est censé être le cas dans tout réseau, mais...) à répondre en envoyant à la machine émettrice une réponse ARP du type " je suis adresseIP, mon adresse MAC est adresseMAC ". Pour émettre cette réponse au bon ordinateur, il crée une entrée dans son cache ARP à partir des données contenues dans la requête ARP qu'il vient de recevoir.

La machine à l'origine de la requête ARP reçoit la réponse, met à jour (Le jour ou la journée est l'intervalle qui sépare le lever du coucher du Soleil ; c'est la période entre deux nuits, pendant laquelle les rayons du...) son cache ARP et peut donc envoyer le message qu'elle avait mis en attente jusqu'à l'ordinateur concerné.

Il suffit donc d'un broadcast et d'un unicast (Le terme unicast définit une connexion réseau point à point.) pour créer une entrée dans le cache ARP de deux ordinateurs.

Sécurité du protocole ARP

Le protocole ARP est vulnérable à des attaques locales reposant principalement sur l'envoi de messages ARP erronés à un ou plusieurs ordinateurs. Elles sont regroupées sous l'appellation " pollution de cache ARP " (" ARP cache poisoning " en anglais). La vulnérabilité (En gestion des risques, la vulnérabilité d'une organisation ou d'une zone géographique est le point faible de cette organisation pouvant être défini par :) d'un ordinateur à la pollution (La pollution est définie comme ce qui rend un milieu malsain. La définition varie selon le contexte, selon le milieu considéré et selon ce que l'on peut entendre par malsain [1].) de cache ARP dépend de la mise en œuvre du protocole ARP par son système d'exploitation.

Typiquement une attaque de ce genre consiste à envoyer un paquet " arp who-has " à la machine d'Alice. Ce paquet spécialement forgé contiendra, en adresse IP source, l'adresse IP de la machine de Bob dont nous voulons usurper l'identité (Usurpation d'adresse IP) et l'adresse MAC de la carte réseau de notre machine Mallory. La machine d'Alice va ainsi créer une entrée associant notre adresse MAC à l'adresse IP de la machine de Bob. Alice, destinataire de l'" arp who-has ", utilise notre paquet pour créer une entrée dans sa table MAC. Si Alice veut communiquer avec Bob au niveau IP, c'est notre poste qui recevra les trames de Alice puisque notre adresse MAC est enregistré dans le cache empoisonné de Alice comme équivalence pour l'IP du poste Bob. Ceci est une faiblesse connue de la mise en œuvre d'ARP et permet de corrompre facilement un cache ARP distant.

Ces attaques peuvent provoquer une écoute (Sur un voilier, une écoute est un cordage servant à régler l'angle de la voile par rapport à l'axe longitudinal du voilier et en conséquence l'angle d'incidence du vent sur la voile. Il y a une écoute dédiée à chaque voile hissée...) des communications entre deux machines (MIM ou Man in the Middle), le vol de connexion, une surcharge des commutateurs servant de structure au réseau informatique (L´informatique - contraction d´information et automatique - est le domaine d'activité scientifique, technique et industriel en rapport avec le traitement automatique de...) ou un déni de service (il suffit de faire une attaque de type MIM puis de refuser les paquets).

Pour lutter contre ce type d'attaque, il est possible :

  • De mettre en place des entrées statiques dans le cache ARP de chaque machine du réseau (commande arp -s). Ceci n'est applicable qu'à un faible nombre (La notion de nombre en linguistique est traitée à l’article « Nombre grammatical ».) de machines (privilégier les plus critiques, comme les serveurs et les passerelles) à moins de souhaiter y passer (Le genre Passer a été créé par le zoologiste français Mathurin Jacques Brisson (1723-1806) en 1760.) ses jours et ses nuits (attention cependant au fait que sur les systèmes d'exploitation Microsoft Windows (Windows (littéralement « Fenêtres » en anglais) est une gamme de systèmes d’exploitation produite par Microsoft, principalement destinés aux ordinateurs...) antérieurs à la version XP, une entrée statique (Le mot statique peut désigner ou qualifier ce qui est relatif à l'absence de mouvement. Il peut être employé comme :) peut être mise à jour (Une mise à jour, souvent abrégé en MAJ ou MàJ, est l'action qui consiste à mettre « à jour », ou bien « à niveau », un outil informatique, un...), la seule différence est qu'elle n'expire pas;)
  • De limiter les adresses MAC sur chaque port (renseignement statique) des commutateurs s'ils le permettent (fonction Port Security). Les commutateurs de niveau 3 par exemple offrent la possibilité de paramétrer des associations port/MAC/IP statiques. Mais cela rend évidemment plus difficile la maintenance du parc (Un Parc est un terrain naturel enclos,[1] formé de bois ou de prairies, dans lequel ont été tracées des allées et chemins destinés à la chasse, à la promenade ou à l’agrément. Il se distingue du...).
  • De surveiller les messages ARP circulant sur réseau informatique, à l'aide d'outils de surveillance tels qu'ARPwatch (outil du Network Research Group (NRG), the Information and Computing Sciences Division (La division est une loi de composition qui à deux nombres associe le produit du premier par l'inverse du second. Si un nombre est non nul, la fonction "division par ce nombre" est la réciproque de la...) (ICSD), Lawrence Berkeley National Laboratory (Le Laboratoire national Lawrence Berkeley (Ernest Orlando Lawrence National Laboratory, anciennement Berkeley Radiation Laboratory et plus connu sous le nom de Berkeley Lab ou LBNL), est un laboratoire national américain, dépendant...) (LBNL) : http://www-nrg.ee.lbl.gov/ ), d'arpalert : http://www.arpalert.net/, ou, d'IDS (Systèmes de Détection d'Intrusion)
  • Il faut savoir que chaque entrée a une durée de vie (La vie est le nom donné :) (cela oblige d'ailleurs l'attaquant à corrompre régulièrement le cache de la victime) . Certains Systèmes d'exploitation comme Solaris permettent de modifier la valeur de ce temps (Le temps est un concept développé par l'être humain pour appréhender le changement dans le monde.) d'expiration (commande ndd) - Une valeur courte rendra la corruption plus facilement visible.

En-tête ARP

+ Bits 0 - 7 8 - 15 16 - 31
0 Hardware type Protocol type
32 Hardware Address Length Protocol Address Length Operation
64 Sender Hardware Address
 ? Sender Protocol Address
 ? Target Hardware Address
 ? Target Protocol Address

avec :

  • Hardware type (type de matériel)
    • 01 - Ethernet (10Mb) [JBP]
    • 02 - Experimental Ethernet (3Mb) [JBP]
    • 03 - Amateur Radio AX.25 [PXK]
    • 04 - Proteon ProNET Token Ring [Doria]
    • 05 - Chaos [GXP]
    • 06 - IEEE 802 (IEEE 802 est un comité de l'IEEE qui décrit une famille de normes relatives aux réseaux locaux (LAN) et métropolitains (MAN) basés sur la transmission de données numériques...) Networks [JBP]
    • 07 - ARCNET [JBP]
    • 08 - Hyperchannel [JBP]
    • 09 - Lanstar [TU]
    • 10 - Autonet Short Address [MXB1]
    • 11 - LocalTalk (Réseau local d'Apple, basé sur des paire torsadées de 300 mètres de long maximum, et transmettant 230 kbps en utilisant le protocole AppleTalk.) [JKR1]
    • 12 - LocalNet (IBM PCNet or SYTEK LocalNET) [JXM]
    • 13 - Ultra (ULTra (pour (en)« Urban Light Transport ») est un système de transport individuel de type Personal Rapid Transit (PRT), autrement dit un moyen de transport automatique collectif léger...) link [RXD2]
    • 14 - SMDS [GXC1]
    • 15 - Frame Relay [AGM]
    • 16 - Asynchronous Transmission Mode (ATM) [JXB2]
    • 17 - HDLC [JBP]
    • 18 - Fibre Channel (Fibre Channel est un protocole défini par la norme ANSI X3T11 permettant une connexion haut débit entre un ordinateur et son système de stockage. Il a été conçu à l'origine pour les superordinateurs, mais il est...) [Yakov Rekhter]
    • 19 - Asynchronous Transmission Mode (ATM) [RFC2225]
    • 20 - Serial Line [JBP]
    • 21 - Asynchronous Transmission Mode (ATM) [MXB1]
    • 22 - MIL-STD-188-220 [Jensen]
    • 23 - Metricom [Stone]
    • 24 - IEEE 1394.1995 [Hattig]
    • 25 - MAPOS [Maruyama]
    • 26 - Twinaxial [Pitts]
    • 27 - EUI-64 [Fujisawa]
    • 28 - HIPARP [JMP]
    • 29 - IP and ARP over ISO 7816-3 [Guthery]
    • 30 - ARPSec [Etienne]
    • 31 - IPsec (IPSec (Internet Protocol Security) est un ensemble de protocoles (couche 3 modèle OSI) utilisant des algorithmes permettant le transport de données sécurisées sur un réseau IP.) tunnel (Un tunnel est une galerie souterraine livrant passage à une voie de communication (chemin de fer, canal, route, chemin piétonnier). Sont apparentés aux tunnels par leur...) [RFC3456]
    • 32 - InfiniBand (TM) [Kashyap]
    • 33 - TIA-102 Project 25 Common Air (L'air est le mélange de gaz constituant l'atmosphère de la Terre. Il est inodore et incolore. Du fait de la diminution de la pression de l'air avec...) Interface (Une interface est une zone, réelle ou virtuelle qui sépare deux éléments. L’interface désigne ainsi ce que chaque élément a besoin de connaître de l’autre pour pouvoir fonctionner correctement.) (CAI) [Anderson]
  • Protocol type (Type de protocole)
    • 0x0800 - IP

Ce champ (Un champ correspond à une notion d'espace défini:) indique quel est le type de protocole couche 3 (OSI) qui utilise Arp.

  • Hardware Address Length (longueur des adresses physiques)
    • 01 - Token Ring
    • 06 - Ethernet

Ce champ correspond à la longueur de l’adresse physique. La longueur doit être prise en octets.

  • Protocol Address Length (longueur des adresses logiques)
    • 04 - IP v4
    • 06 - IP v6

Ce champ correspond à la longueur de l’adresse réseau. La longueur doit être prise en octets.

  • Operation

Ce champ permet de connaître la fonction du message et donc son objectif.

  • Sender Hardware Address (adresse physique de l’émetteur)

Adresse Mac source dans le cadre d'Ethernet.

  • Sender Internet (Internet est le réseau informatique mondial qui rend accessibles au public des services variés comme le courrier électronique, la messagerie instantanée et le World Wide Web, en...) Address (adresse réseau de l’émetteur)

Adresse Ip de source dans le cadre de TCP/IP

  • Target Hardware Address (adresse physique du destinataire)

Adresse Mac destination dans le cadre d'Ethernet . Si c’est une demande Arp, alors, ne connaissant justement pas cette adresse, le champ sera mis à 1 (c'est un broadcast de niveau 2)

  • Target Internet Address (adresse réseau du destinataire)

Adresse Ip de destination dans le cadre de TCP/IP

Page générée en 0.273 seconde(s) - site hébergé chez Amen
Ce site fait l'objet d'une déclaration à la CNIL sous le numéro de dossier 1037632
Ce site est édité par Techno-Science.net - A propos - Informations légales
Partenaire: HD-Numérique