Moduł 6
IGMP, ARP
IGMP (ang. Internet Group Management Protocol) - jeden z rodziny protokołów TCP/IP. IGMP służy do zarządzania grupami multicastowymi w sieciach opartych na protokole IP. Komputery wykorzystują komunikaty IGMP do powiadamiania routerów w swojej sieci o chęci przyłączenia się do lub odejścia z określonej grupy multicastowej.
ARP (ang. Address Resolution Protocol) - w sieciach komputerowych jest to metoda znajdowania adresu sprzętowego hosta, gdy dany jest adres warstwy sieciowej. Zdefiniowany został w RFC 826.
Jest wykorzystywany przy różnych typach sieci, zarówno w znaczeniu warstwy sieciowej, jak i niższych warstw modelu OSI. Oznacza to, iż ARP nie ogranicza się jedynie do sieci typu Ethernet przy wykorzystaniu protokołu IPv4, gdzie na podstawie adresu IP odnajduje sprzętowy adres MAC. ARP jest wykorzystywane w takich technologiach LAN jak Token Ring, FDDI, 802.11 oraz w technologiach WAN, jak IP over ATM.
W przypadku sieci wykorzystujących adresację MAC oraz protokół IP w wersji 4 ARP przyporządkowuje 32-bitowe adresy IP fizycznym, 48-bitowym adresom MAC (przypisanym m.in. do kart sieciowych).
Standard ARP opisuje także zachowanie systemu operacyjnego, który zarządza tzw. tablicą ARP. Znajdują się w niej pary: adres warstwy sieciowej i przypisany do niego adres fizyczny. Zapobiega to tworzeniu zapytania ARP przy próbie wysłania każdego pakietu. Warto przy tym zauważyć, że hosty mogą się ze sobą komunikować za pośrednictwem adresu fizycznego tylko w obrębie danej sieci w znaczeniu warstwy drugiej modelu OSI. Jeśli jakieś informacje mają być przesłane do innej sieci (lub podsieci w sieci złożonej, sieci oddzielonej routerem, itp.), to protokół ARP jest wykorzystywany najwyżej do uzyskania informacji o adresie bramy sieciowej.
ARP jest protokołem komunikacyjnym pracującym na styku warstw drugiej i trzeciej modelu ISO/OSI, czyli warstwie sieciowej. Komunikaty ARP są enkapsulowane w ramkach warstwy drugiej, nie służą jednak do przenoszenia danych poza adresami w hostów i urządzeń.
Protokół ARP nie jest niezbędny do działania sieci komputerowych, może zostać zastąpiony przez statyczne wpisy w tablicy ARP, przyporządkowujące adresom warstwy sieciowej adresy fizyczne na stałe. Jest to jednak ekonomicznie nieopłacalne rozwiązanie.
Zasada działania
ARP działa w następujący sposób:
Utworzenie pakietu z szukanym adresem sieciowym.
Wysłanie pakietu w obrębie danej sieci.
Wysłany pakiet odbierają wszystkie hosty podłączone do sieci. Jako jedyny odpowiada host o szukanym adresie sieciowym - przesyła pakiet z odpowiedzią zawierającą adres sprzętowy.
Host szukający po odebraniu pakietu z szukanym adresem sprzętowym zapisuje go w tablicy ARP, dzięki czemu nie musi później szukać jeszcze raz tego samego adresu.
Często po podłączeniu do sieci host rozsyła zapytanie ARP o własny adres. Odpowiedzi nie będzie (gdyż nie mogą być w danej sieci dwa komputery o tym samym adresie warstwy sieciowej), ale każdy inny host może zapisać w pamięci podręcznej dane o nowym hoście przyłączonym do sieci.
Ataki z wykorzystaniem ARP
Zasugerowano, aby artykuł ARP Spoofing zintegrować z tym artykułem lub sekcją. (dyskusja)
Protokół ARP można wykorzystać do ataku na sieci Ethernet wykorzystujące przełączniki. Kiedy sieci lokalne oparte były na hubach, wystarczyło przestawić kartę sieciową w tryb odbioru wszystkich pakietów (tryb promiscuous), aby podsłuchać całą komunikację. Potrafiły to programy nazywane snifferami. Podsłuch był możliwy dzięki temu, że hub wysyłał wszystkie pakiety do każdego urządzenia sieciowego niezależnie od jego adresu MAC.
Kiedy pojawiły się inteligentne switche, możliwość ta została zablokowana. Switch wysyła pakiet Ethernetowy tylko do właściwej karty sieciowej, a nie do wszystkich, oczywiście jeśli zna adres MAC docelowego hosta. Aby podsłuchiwać sieć opartą na tej technologii, można wykorzystać dynamiczne tablice ARP (ang. ARP cache).
Gdy użytkownik chce przesłać dane do komputera o adresie IP 192.168.1.34, to:
Karta sieciowa w komputerze źródłowym wysyła zapytanie ARP: kto ma adres IP 192.168.1.34?
Karta sieciowa w komputerze docelowym o adresie MAC 00:07:95:03:1A:7E wysyła odpowiedź: Hej to ja!
W komputerze nadawcy zostaje do dynamicznej tablicy ARP dodany wpis: IP 192.168.1.34 -> MAC 00:07:95:03:1A:7E.
Wszystkie pakiety z docelowym adresem IP 192.168.1.34 są przez warstwę łącza danych tłumaczone na pakiety z docelowym adresem MAC 00:07:95:03:1A:7E.
W każdym komputerze powstaje w ten sposób dynamiczna tablica ARP, w której przechowywane są pary adresów MAC oraz IP.
Jednakże na jednym z urządzeń podstępny cracker może uruchomić program, który oszukuje karty sieciowe. Sniffer tego typu działa w następujący sposób:
Karta sieciowa w komputerze źródłowym wysyła zapytanie ARP: Kto ma adres IP 192.168.1.34?
Karta sieciowa w komputerze crackera o adresie MAC 00:C0:DF:01:AE:43 wysyła odpowiedź: Hej to ja!
W komputerze nadawcy do dynamicznej tablicy ARP trafia wpis: IP 192.168.1.34 -> MAC 00:C0:DF:01:AE:43.
Wszystkie pakiety z docelowym adresem IP 192.168.1.34 są przez warstwę łącza danych tłumaczone na pakiety z docelowym adresem MAC 00:C0:DF:01:AE:43 i trafiają do komputera crackera.
Karta sieciowa w komputerze crackera wysyła pytanie: Kto ma adres IP 192.168.1.34, żeby wiedzieć kto naprawdę powinien dostać przechwycone pakiety.
Karta sieciowa w komputerze docelowym o adresie MAC 00:07:95:03:1A:7E wysyła odpowiedź: Hej to ja!
Wszystkie pakiety z docelowym adresem IP 192.168.1.34 cracker wysyła do ich prawdziwego odbiorcy z adresem MAC 00:07:95:03:1A:7E.
W sytuacji, gdy atakowana maszyna posiada już poprawny adres warstwy łącza danych dla celu, atakujący może podmienić go, wysyłająć odpowiednio spreparowaną "odpowiedź", mimo iż atakowana maszyna nie wysłała zapytania. Spreparowana odpowiedź zostanie zaakceptowana, a wpis w tablicy ARP atakowanej maszyny - zmieniony.
Tego typu technika sniffingu określana jest jako zatruwanie tablicy ARP przez człowieka w środku (ang. the ARP poisoning man in the middle attack). Dzięki jej wykorzystaniu można podsłuchiwać ruch w sieciach ze switchami. Nieszyfrowana komunikacja bez podpisów cyfrowych w sieci Ethernet zawsze narażona jest na atak i nigdy nie powinno się wykorzystywać jej do przesyłania tajnych informacji.
W systemach rodziny GNU/Linux przed podobnymi atakami uchronić może ładowanie adresów ze statycznej listy, jednak wówczas konieczna jest zmiana wspomnianej listy przy każdej zmianie adresów warstwy łącza danych. Można także wykorzystać arptables do większej kontroli nad ruchem wchodzącym i wychodzącym generowanym przez protokół ARP.