9.2.5 Видео. Роль arp в обмене данными с удаленными сетями
Если IPv4-адрес назначения находится не в той же сети, что IPv4-адрес источника, устройству-отправителю необходимо отправить кадр на свой шлюз по умолчанию. Это интерфейс локального маршрутизатора Когда в устройстве источника есть пакет с IPv4-адресом в другой сети, оно инкапсулирует этот пакет в кадре, используя MAC-адрес назначения маршрутизатора.
IPv4-адрес шлюза по умолчанию хранится в конфигурации IPv4 узлов. Когда узел создает пакет для адресата, он сравнивает IPv4-адрес назначения и свой собственный IPv4-адрес, чтобы определить, находятся ли эти два IPv4-адреса в одной и той же сети уровня 3. Если конечный хост находится в другой сети, источник ищет в своей таблице ARP запись с IPv4-адресом шлюза по умолчанию. Если запись отсутствует, то для определения MAC-адреса шлюза по умолчанию используется процесс ARP.
Нажмите кнопку Play (Воспроизведение), чтобы просмотреть видеоролик об ARP-запросе и ответе, связанных со шлюзом по умолчанию.
(здесь видео)
9.2.6 Удаление записей из таблицы arp
В каждом устройстве есть таймер кэша ARP, который удаляет записи из таблицы ARP, не используемые в течение указанного периода времени. Этот период может быть разным в зависимости от операционной системы устройства. Например, новые операционные системы Windows хранят записи таблицы ARP от 15 до 45 секунд, как показано на рисунке.
Примечание.
Для удобства в этом примере MAC-адреса
представлены в сокращенном виде.
Кроме того, можно использовать некоторые команды, чтобы вручную удалить все или некоторые записи из таблицы ARP. После удаления записи процесс отправки ARP-запроса и получения ARP-ответа необходимо задействовать повторно, чтобы зарегистрировать сопоставление в таблице ARP.
9.2.7 Таблицы arp на сетевых устройствах
На маршрутизаторе Cisco для просмотра таблицы ARP используется команда show ip arp.
R1# show ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.10.1 - a0e0.af0d.e140 ARPA GigabitEthernet0/0/0
Internet 209.165.200.225 - a0e0.af0d.e141 ARPA GigabitEthernet0/0/1
Internet 209.165.200.226 1 a03d.6fe1.9d91 ARPA GigabitEthernet0/0/1
R1#
На компьютерах под управлением Windows 10 для отображения таблицы ARP используется команда arp –a.
C:\Users\PC > arp -a
Interface: 192.168.1.124 --- 0x10
Internet Address Physical Address Type
192.168.1.1 c8-d7-19-cc-a0-86 dynamic
192.168.1.101 08-3e-0c-f5-f7-77 dynamic
192.168.1.110 08-3e-0c-f5-f7-56 dynamic
192.168.1.112 ac-b3-13-4a-bd-d0 dynamic
192.168.1.117 08-3e-0c-f5-f7-5c dynamic
192.168.1.126 24-77-03-45-5d-c4 dynamic
192.168.1.146 94-57-a5-0c-5b-02 dynamic
192.168.1.255 ff-ff-ff-ff-ff-ff static
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.251 01-00-5e-00-00-00-fb static
239.255.255.250 01-00-5e-7f-ff-fa static
255.255.255.255 ff-ff-ff-ff-ff static
C:\Users\PC >
9.2.8 Проблемы arp широковещательная рассылка arp и arp-спуфинг
Поскольку ARP-запрос является кадром широковещательной рассылки, его получают и обрабатывают все устройства в локальной сети. В стандартной бизнес-сети такие широковещательные рассылки, скорее всего, не окажут серьезного влияния на производительность сети. Но если в сети много устройств и все они одновременно попытаются получить доступ к сетевым службам, это может на короткий период времени негативно повлиять на работу сети, как показано на рисунке. После того как устройства разошлют начальные запросы широковещательной рассылки ARP и получат необходимые MAC-адреса, любое влияние на сеть будет сведено к минимуму.
В некоторых случаях использование протокола разрешения адресов (ARP) может представлять определенный риск для безопасности. Злоумышленник может использовать ARP spoofing для выполнения атаки «отравление» ARP-кеша. В ходе таких атак хакер отправляет ответ на ARP-запрос IPv4-адреса с адресом другого устройства, например шлюза по умолчанию, как показано на рисунке. Хакер отправляет ARP-ответ со своим MAC-адресом. Получатель ARP-ответа добавит фальсифицированный MAC-адрес в свою таблицу ARP, что позволит хакеру получать отправляемые пакеты.
Коммутаторы корпоративного уровня оснащены функцией защиты от такого рода атак, которая называется Dynamic ARP Inspection (DAI). Функция DAI не рассматривается в этом курсе.
Примечание. Для удобства в этом примере MAC-адреса представлены в сокращенном виде.