Address Resolution Protocol
L’Address Resolution Protocol (ARP, protocole de résolution d’adresse) est un protocole utilisé pour associer l'adresse de protocole de couche réseau (typiquement une adresse IPv4) d'un hôte distant, à son adresse de protocole de couche de liaison (typiquement une adresse MAC). Il se situe à l’interface entre la couche réseau (couche 3 du modèle OSI) et la couche de liaison (couche 2 du modèle OSI).
Il a été défini en 1982 dans la Request for comments RFC 826[1] : An Ethernet Address Resolution Protocol.
Le protocole ARP est nécessaire au fonctionnement d’IPv4 utilisé au-dessus d’un réseau de type Ethernet. En IPv6, les fonctions de ARP sont reprises par le Neighbor Discovery Protocol (NDP).
Dans la suite de l’article, le terme d'adresse IP est utilisé pour parler d’adresse IPv4.
Fonctionnement
modifierUn ordinateur connecté à un réseau informatique souhaite émettre une trame Ethernet à destination d’un autre ordinateur dont il connaît l’adresse IP et placé dans le même sous-réseau. Dans ce cas, cet ordinateur va placer son émission en attente et effectuer une requête ARP en broadcast de niveau 2. Cette requête est de type « quelle est l’adresse MAC correspondant à l’adresse IP adresseIP ? Répondez à monAdresseIP ».
Puisqu’il s’agit d’un broadcast, tous les ordinateurs du segment vont recevoir la requête. En observant son contenu, ils pourront déterminer quelle est l’adresse IP sur laquelle porte la recherche. La machine qui possède cette adresse IP sera la seule à répondre en envoyant à la machine émettrice une réponse ARP du type « je suis adresseIP, mon adresse MAC est adresseMAC ». Pour émettre cette réponse au bon ordinateur, il crée une entrée dans son cache ARP à partir des données contenues dans la requête ARP qu’il vient de recevoir.
La machine à l’origine de la requête ARP reçoit la réponse, met à jour son cache ARP et peut donc envoyer à l’ordinateur concerné le message qu’elle avait mis en attente.
Il suffit donc d’un broadcast et d’un unicast pour créer une entrée dans le cache ARP de deux ordinateurs.
Commande ARP
modifierLa commande arp
permet la consultation et parfois la modification de la table ARP dans certains systèmes d’exploitation. Cette commande est utile pour détecter de potentielles vulnérabilités.
arp -a
: affiche toutes les entrées dans le cache ARP.arp -a @ip
: dans le cas où il y a plusieurs cartes réseau, on peut faire l’affichage du cache associé à une seule @ip.arp -s @ip @MAC
: ajout manuel d’une entrée statique permanente dans le cache (ce besoin se manifeste si on appelle régulièrement des hôtes, pour réduire le trafic réseau).
Sécurité du protocole ARP
modifierLe protocole ARP a été conçu sans souci particulier de sécurité. Il est vulnérable à des attaques locales sur le segment reposant principalement sur l’envoi de messages ARP erronés à un ou plusieurs ordinateurs. Elles sont regroupées sous l’appellation ARP poisoning (pollution de cache ARP). La vulnérabilité d’un ordinateur à la pollution de cache ARP dépend de la mise en œuvre du protocole ARP par son système d’exploitation.
Soit une machine Charlie qui souhaite intercepter les messages d’Alice vers Bob, toutes appartenant au même sous-réseau.
L’attaque consiste pour Charlie à envoyer un paquet « arp who-has
» à la machine d’Alice. Ce paquet spécialement construit contiendra comme IP source, l’adresse IP de la machine de Bob dont nous voulons usurper l’identité (ARP spoofing) et l’adresse MAC de la carte réseau de Charlie. La machine d’Alice va ainsi créer une entrée associant notre adresse MAC à l’adresse IP de la machine de Bob. Alice, destinataire de l’« arp who-has
», utilise le paquet pour créer une entrée dans sa table MAC. Si Alice veut communiquer avec Bob au niveau IP, c’est Charlie qui recevra les trames d’Alice puisque notre adresse MAC est enregistrée dans le cache empoisonné de Alice comme équivalence pour l’IP du poste Bob. Ceci est une faiblesse connue de la mise en œuvre d’ARP et permet de corrompre facilement un cache ARP distant.
Ces attaques peuvent permettre une écoute des communications entre deux machines (attaque de l’homme du milieu), le vol de connexion, une surcharge des commutateurs servant de structure au réseau informatique ou un déni de service (en effectuant une attaque de l’homme du milieu puis en refusant les paquets).
Pour lutter contre ce type d’attaque, il est possible :
- de mettre en place des entrées statiques dans le cache ARP de chaque machine du réseau (commande
arp -s
). Ceci n’est applicable qu’à un faible nombre de machines (on privilégie les plus critiques, comme les serveurs et les passerelles). Sur les systèmes d’exploitation Microsoft Windows antérieurs à la version XP, une entrée statique peut être mise à jour, la seule différence est qu’elle n’expire pas ; - de limiter les adresses MAC sur chaque port (renseignement statique) des commutateurs s’ils le permettent (fonction Port Security). Les commutateurs de niveau 3 par exemple offrent la possibilité de paramétrer des associations port/MAC/IP statiques. Mais cela rend évidemment plus difficile la maintenance du parc ;
- de surveiller les messages ARP circulant sur le réseau, à l’aide d’outils de surveillance tels qu’ARPwatch[2] ou arpalert[3] ou de systèmes de détection d’intrusion (IDS).
Chaque entrée dans la table ARP a une durée de vie, ce qui oblige l’attaquant à corrompre régulièrement le cache de la victime. Certains systèmes d’exploitation comme Solaris permettent de modifier la valeur de ce temps d’expiration (commande ndd
). Une valeur courte rendra la corruption plus facilement visible.
Paquets ARP
modifierLes paquets ARP sont transportés sur la couche liaison de données. Dans le cas d'un transport Ethernet, on utilise l'EtherType 0x0806. Le détail du paquet ARP est donné ci-dessous :
|
avec :
- Hardware type (Type de matériel)[4]
Ce champ spécifie le protocole de couche 2 utilisé. Par exemple, Ethernet (10Mb) a la valeur 1, Experimental Ethernet (3Mb) a la valeur 2.
- Protocol type (Type de protocole)
Ce champ spécifie le protocole de couche 3 utilisé. Par exemple IPv4 a la valeur 0x0800. Ce champ prend les mêmes valeurs que les EtherTypes.
- Hardware Address Length (Longueur de l’adresse physique)
Ce champ correspond à la longueur de l’adresse physique. La longueur doit être prise en octets. Par exemple, une adresse Ethernet a la valeur 6 ; une adresse Token Ring a la valeur 1.
- Protocol Address Length (Longueur de l’adresse logique)
Ce champ correspond à la longueur de l’adresse réseau. La longueur doit être prise en octets. Par exemple, une adresse IP a la valeur 4.
- Operation (Opération)
Ce champ permet de connaître la fonction du message et donc son objectif. Il vaut soit 1 pour une requête (Request), soit 2 pour une réponse (Reply).
- Sender Hardware Address (Adresse physique de l'émetteur)
Adresse MAC du nœud émetteur. Cette adresse n'est pas forcément identique à l'adresse source de la trame Ethernet transportant le paquet ARP, cela arrive quand un nœud répond à la place d'un autre.
- Sender Prococol Address (Adresse logique de l'émetteur)
Adresse IP de l'interface du nœud émetteur, associé à l'adresse physique.
- Target Hardware Address (Adresse physique cible)
Adresse MAC de l'interface du nœud destinataire. Dans le cadre d'un paquet ARP de type requête, ce champ est mis à zéro car c'est justement celle-ci que l'émetteur cherche à connaître.
- Target Protocol Address (Adresse logique cible)
Adresse IP de l'interface du nœud destinataire, associé à l'adresse physique.
|
Requêtes ARP spontanées
modifierDes requêtes ARP spontanées (gratuitous ARP) sont envoyées au démarrage de certains systèmes d'exploitation, par exemple, certains modems-routeurs. Elles permettent à cet équipement, nouvel arrivant sur le réseau, de vérifier que son adresse IP n'existe pas déjà, ce qui évite des conflits par doublon d'adresse IP[5]. L'interface expéditrice de la requête n'attend aucune réponse. La mise à jour de la mémoire tampon des systèmes connectés au réseau est alors assurée. Les commutateurs sont informés de l'existence de l'adresse MAC de la machine en question. L'ensemble de ces actions assure une plus grande rapidité ultérieure de connexion au réseau. Une multitude d'émission de ces types de requêtes peut être un indicateur de câble défectueux entraînant des reconnexions fréquentes[6].
Voir aussi
modifierArticles connexes
modifier- ARP poisoning
- Filtrage par adresse MAC
- Reverse address resolution protocol
- Usurpation d’adresse IP
- Mandataire ARP
Liens externes
modifier- (en) RFC 826[1] An Ethernet Address Resolution Protocol
- (en) RFC 2390[7] Inverse Address Resolution Protocol
- (en) RFC 5494[8] IANA Allocation Guidelines for the Address Resolution Protocol (ARP)
- (en) ARP Parameters (IANA)
- (fr) Jouer avec le protocole ARP
- (fr) ARP sur FrameIP
- (fr) « Outil gratuit permettant de générer des datagrammes ARP » (version du sur Internet Archive) Code source en C fourni
Notes et références
modifier- (en) Request for comments no 826
- Outil du Network Research Group (NRG), the Information and Computing Sciences Division (ICSD), Lawrence Berkeley National Laboratory (LBNL) LBNL’s Network Research Group.
- arpalaert.
- Hardware Types, sur le site de l’IANA.
- Notons que la RFC 3927 déconseille des envois périodiques de requêtes ARP gratuites.
- Gratuitous ARP selon WireShark
- (en) Request for comments no 2390
- (en) Request for comments no 5494