Raggiungi le radici! Se sai cosa fa ARP , le cose saranno più chiare.
In una sottorete (macchine collegate allo stesso set di hub e switch), le macchine comunicano tra loro con gli indirizzi MAC: l'indirizzo MAC identifica in modo univoco ogni scheda Ethernet / WiFi. Le macchine, a priori , non conoscono gli indirizzi MAC; conoscono solo gli indirizzi IP. Quindi, quando la macchina A vuole inviare un pacchetto alla macchina B , invia una trama broadcast seguendo il protocollo ARP; il pacchetto dice: "hey, qualcuno conosce l'indirizzo MAC di B "? Se qualcuno risponde con le informazioni (" B ha l'indirizzo MAC xx: xx: xx: xx: xx: xx") allora A sarà in grado di inviare i suoi dati a < em> B .
Per accelerare il processo, A mantiene una cache di mappature note IP-to-MAC, ma è pronta per rimuovere le voci dalla cache quando l'informazione non viene rinnovata (il rinnovo delle informazioni avviene quando un il pacchetto arriva a A , taggato con l'indirizzo IP di B come sorgente e, a livello ethernet, usa l'indirizzo MAC di B ) . Le voci della cache ARP non devono essere troppo longevi perché B è permesso di cambiare hardware (nel caso in cui la scheda di rete ethernet di B sia sostituita, il nuovo adattatore avrà un indirizzo MAC distinto, ma può assumere lo stesso indirizzo IP).
Gli altri utenti di ARP sono switch . Gli switch non emettono pacchetti, ma osservano molto. Il punto di un interruttore, al contrario di un più semplice hub , è quello di ottimizzare le cose inviando pacchetti solo su cavi rilevanti, invece di trasmettere tutti i pacchetti sulla sottorete completa. Un interruttore "sa" che una determinata macchina (ad esempio un indirizzo MAC) si trova all'altra estremità di un collegamento specifico osservando il traffico (cioè lo switch ha notato che tutti i pacchetti con quell'indirizzo MAC come origine provengono da un dato collegamento). Lo switch mantiene quindi un collegamento MAC- > in una tabella interna, che è confusamente (e inopportunamente) chiamato anche "cache ARP".
Spoofing è il termine che alcune persone hanno escogitato per designare ciò che è altrimenti noto come falso , quando nel contesto della sicurezza della rete (per qualche ragione, le parole perfettamente utilizzabili dei secoli precedenti non sembrano mai essere abbastanza buone per la tecnologia-dipendente). ARP spoofing riguarda l'invio di pacchetti che sono falsificati a livello ARP, ovvero pacchetti che ingannano altri sistemi per quanto riguarda le mappature che coinvolgono ARP (cioè le cache ARP che mantengono le macchine e gli switch). L'attaccante può ottenere alcuni vantaggi così facendo; per esempio, può convincere un interruttore a inviare lui alcuni pacchetti che altrimenti sarebbero stati inviati ad un'altra macchina su un altro collegamento. Questo tipo di attacco è noto anche come "avvelenamento della cache ARP" perché alla fine riempie alcune cache ARP con voci errate.
Un conflitto IP è quando due macchine, con indirizzi MAC distinti , vogliono assumere lo stesso IP. Quando viene inviata una richiesta ARP ("qual è l'indirizzo MAC di B "), le macchine entrambe risponderanno, con informazioni contrastanti. Il richiedente ( A ) riceve entrambe le risposte e può avvisare del problema: due mapping simultanei con uno IP e due indirizzi MAC. Lo spoofing ARP prova a fare qualcosa di diverso: due indirizzi IP (o due link) che mappano all'indirizzo uno MAC. L'attacco ARP di successo non è realmente distinguibile da una macchina che ha cambiato il suo indirizzo IP, qualcosa che, in generale, è normale (quando le macchine ottengono gli indirizzi IP dinamicamente con DHCP , il loro indirizzo IP può cambiare di volta in volta) e quindi non attiva alcun avviso speciale.