ARP protokol Informační technologie - praxe SPŠE V úžlabině Jan Klepal, Mgr. Radka Müllerová Verze 1

Obsah Formát MAC adres Boradcast ARP protokol ARP tabulky ve Windows a Linuxu ARP poisoning LAB

Formát MAC adres MAC adresa je fyzická adresa síťové karty, kterou při výrobě nastavuje výrobce MAC adresa je 6-ti bajtové číslo (přibližně 280 biliónů adres) Zapisuje se hexadecimálně Jako oddělovače jednotlivých bajtů se používá dvojtečka 00:80:48:12:AF:4F 00-80-48-12-AF-4F (formát Windows) 0080.4812.AF4F (formát Cisco) První 3 bajty MAC adresy je prefix alokovaný výrobci xx:xx:xx:aa:aa:aa část xx:xx:xx přiřazuje IEEE http://standards.ieee.org/regauth/oui/index.shtml část aa:aa:aa přiřazuje výrobce podle série zařízení

Broadcast Unicast – jeden zdroj, jeden cíl Broadcast – jeden zdroj, více cílů Broadcástová MAC adresa je FF:FF:FF:FF:FF V případě, že je cílová adresa rámce (frame) FF:FF:FF:FF:FF switche předávají rámec na všechny aktivní porty a všechny síťová zařízení přijímají takový rámec

ARP protokol ARP protokol zajišťuje spojení 2. a 3. síťové vrstvy (někdy se nazývá protokol 2,5 vrstvy) Zajišťuje „překlad“ IP adresy na MAC adresu, aby mohl být zabalen paket do rámce Funguje zcela automaticky za pomocí broadcastů na 2. vrstvě Síťová zařízení (switche a bridge) pracující na 2. vrstvě o ARP protokolu „nic neví“

ARP protokol A B 192.168.1.1 192.168.1.2 AA:AA:AA:AA:AA:AA BB:BB:BB:BB:BB:BB A B 192.168.1.1 192.168.1.2 DATA C

ARP protokol A B IP adresa MAC adresa IP adresa MAC adresa 192.168.1.1 192.168.1.2 DATA ARP protokol 192.168.1.1 192.168.1.2 AA:AA:AA:AA:AA:AA BB:BB:BB:BB:BB:BB A AA:AA:AA:AA:AA:AA FF:FF:FF:FF:FF:FF ARP: Who has 192.168.1.2, tell 192.168.1.1 AA:AA:AA:AA:AA:AA FF:FF:FF:FF:FF:FF ARP: Who has 192.168.1.2, tell 192.168.1.1 BB:BB:BB:BB:BB:BB AA:AA:AA:AA:AA:AA ARP reply 192.168.1.2 B C IP adresa MAC adresa IP adresa MAC adresa 192.168.1.2 BB:BB:BB:BB:BB:BB 192.168.1.1 AA:AA:AA:AA:AA:AA

ARP protokol A B IP adresa MAC adresa IP adresa MAC adresa 192.168.1.1 192.168.1.2 DATA ARP protokol 192.168.1.1 192.168.1.2 AA:AA:AA:AA:AA:AA BB:BB:BB:BB:BB:BB A AA:AA:AA:AA:AA:AA BB:BB:BB:BB:BB:BB 192.168.1.1 192.168.1.2 DATA B C IP adresa MAC adresa IP adresa MAC adresa 192.168.1.2 BB:BB:BB:BB:BB:BB 192.168.1.1 AA:AA:AA:AA:AA:AA

ARP tabulky ve Windows a Linuxu Ve Windows i Linuxu je ARP tabulka přístupná pomocí příkazu „arp“ Windows: arp –a Linux: arp Do ARP tabulky je možné přidat statické záznamy arp -s 192.168.1.1 AA:AA:AA:AA:AA:AA Vymazání záznamu z ARP tabulky: arp –d 192.168.1.1

ARP poisoning Jedná se o MITM (man in the middle) útok úpravou ARP tabulky Někdy se nazývá ARP spoofing Útočník podstrčí napadeným počítačům vlastní MAC adresu a tím zajistí nasměrování komunikace mezi napadenými počítači na sebe. Tím si umožní odposlech komunikace.

ARP poisoning A B IP adresa MAC adresa IP adresa MAC adresa 192.168.1.1 192.168.1.2 AA:AA:AA:AA:AA:AA BB:BB:BB:BB:BB:BB A B CC:CC:CC:CC:CC:CC AA:AA:AA:AA:AA:AA ARP reply 192.168.1.2 CC:CC:CC:CC:CC:CC BB:BB:BB:BB:BB:BB ARP reply 192.168.1.1 C IP adresa MAC adresa IP adresa MAC adresa 192.168.1.2 CC:CC:CC:CC:CC:CC BB:BB:BB:BB:BB:BB 192.168.1.1 CC:CC:CC:CC:CC:CC AA:AA:AA:AA:AA:AA

ARP poisoning A B IP adresa MAC adresa IP adresa MAC adresa 192.168.1.1 192.168.1.2 AA:AA:AA:AA:AA:AA BB:BB:BB:BB:BB:BB A AA:AA:AA:AA:AA:AA CC:CC:CC:CC:CC:CC 192.168.1.1 192.168.1.2 DATA B CC:CC:CC:CC:CC:CC BB:BB:BB:BB:BB:BB 192.168.1.1 192.168.1.2 DATA C IP adresa MAC adresa IP adresa MAC adresa 192.168.1.2 CC:CC:CC:CC:CC:CC 192.168.1.1 CC:CC:CC:CC:CC:CC 192.168.1.1 192.168.1.2 DATA

LAB Zobrazte si ARP tabulku Pomocí programu Ethereal odposlechněte ARP komunikaci (k vygenerování ARP požadavku použijte ping) Pomocí programu EtterCap vyzkošejte ARP poisoning