ARP and RARP ( Address Resolution Protocol and Reverse Address Resolution Protocol ) RFC 826, 1293, 1390, 903

ARP and RARP RARP Если система не имеет жесткого диска или дисковода и должна загружаться по сети, то изначально она обладает только MAC-адресом и ей нужно получить свой IP-адрес. Для получения из сети IP-адреса по заданному MAC-адресу используется протокол RARP. ARP Ethernet драйвер и адаптер используют MAC-адрес. TCP/IP использует IP-адреса. Если узлу нужно передать данные на другой узел, то ему известен только IP- адрес получателя, который он и передает в стек TCP/IP. В стеке TCP/IP должен быть механизм определения соответствия между MAC и IP адресом. Это – протокол ARP. 32-bit IP address 48-bit Ethernet address ARPRARP

ARP in TCP/IP Stack Media Access Control (Ethernet, Token Ring, FDDI, X.25, PPP, etc.) User Datagram Protocol (UDP) RFC 768 ~ connectionless transport ~ Transmission Control Protocol (UDP) RFC 793 ~ connection-oriented transport ~ Upper-Layer Protocols ~ such as SNMP, telnet, FTP, HTTP, POP3, etc. ~ Upper Transport Network Data Link ARP Internet Control Messaging Protocol (ICMP) RFC 792 Internet Protocol version 4 (IPv4) RFC 791 RARP

Host A Hardware: 00:00:1B:23:AC:34 Network: Host B Hardware: 00:00:1B:98:93:DE Network: ARP Request Broadcast Source hardware address: 00:00:1B:23:AC:34 Source network address: Target hardware address: 00:00:00:00:00:00 Target network address: ARP Reply Unicast Source hardware address: 00:00:1B:98:93:DE Source network address: Target hardware address: 00:00:1B:23:AC:34 Target network address: Address Resolution

Address Resolution Mechanisms –Хост отправляет широковещательный (broadcast) запрос: Какой MAC-адрес имеет ? –Хост, у которого IP-адрес отвечает: MAC-адрес для A:5F:3C:23:45:56 –Broadcasts довольно затратные (время/ресурс). –ARP ответы кэшируются (APR-cache). –Каждый хост обновляет свою кэш-таблицу, если получает ARP-broadcast.

ARP Cache Dynamic Binding Каждый узел обновляет свою таблицу известных MAC-адресов, если получает ARP broadcast request Время жизни записи: ArpCacheLife = 2 min ArpCacheMinReferencedLife = 10 min Table full: используется алгоритм выбрасывания наиболее старых записей (LRU, least recently used ) Static Binding Статические записи не обновляются и не исчезают Example: С:> arp –s c-6e-c9-9c-ca C:> arp –a Интерфейс: x4 Адрес IP Физический адрес Тип d0-43-7a-c6-a6 динамический b f6 динамический c-6e-c9-9c-ca статический

Обнаружение дублированных IP-адресов: Gratuitous ARP Хост отправляет ARP-запрос о своем собственном IP-адресе (Gratuitous ARP ) –Reply received: В сети есть хост с таким адресом (Duplicate IP) –No reply received: Данный IP - единственный в сетевом сегменте (Unique IP) Алгоритм обнаружения дублера: 1) нападающим хост: Gratuitous ARP 2)защищающийся хост: Unicast APR Reply 3)защищающийся хост: Gratuitous ARP Example Gratuitous ARP : Destination: ff:ff:ff:ff:ff:ff (Broadcast) Source: 00:03:02:A2:B2:02 (02:02:02:02:02:02) Type: ARP (0x0806) Sender MAC address: 00:03:02:A2:B2:02 (00:03:02:A2:B2:02) Sender IP address: ( ) Target MAC address: ff:ff:ff:ff:ff:ff (Broadcast) Target IP address: ( )

IP Send IP datagram to IP address Resolve IP to MAC Ethernet driver ARP request (Broadcast) No Ethernet driver ARP Is somebody looking for my address? No Ignore request Is somebody looking for my address? Yes Send ARP reply (unicast) Yes Do I know hardware address? ARP Host ARP cache Address Resolution works:

RARP Boot Diskless workstation Read own hardware network address Send RARP request RARP server Somebody wants to have IP address! Give to somebody IP address from my table Send RARP reply I have a IP address!!!

Ethernet Encapsulation (RFC 894) Destination address 6 Source address 6 type bytes DATA CRC 4 Type IP Datagram Type ARP request/reply 28 Type RARP request/reply 28 PAD 18 PAD 18

Format of ARP packets * Note: Длина полей адресов определяется соответствующими значениями полей Hardware Address и Protocol address. Operation code:1 – request ARP 2 – replay ARP 3 – request RARP 4 – replay RARP

0000 ff ff ff ff ff ff a4 86 a a4 86 a8 c3 13 cb c3 13 cb 68 Destination: ff:ff:ff:ff:ff:ff (Broadcast) Source: 00:03:47:a4:86:a8 (Intel_a4:86:a8) Type: ARP (0x0806) Ethernet II: Address Resolution Protocol (request): Hardware type: Ethernet (0x0001) Protocol type: IP (0x0800) Hardware size: 6 Protocol size: 4 Opcode: request (0x0001) Sender MAC address: 00:03:47:a4:86:a8 Sender IP address: ( ) Target MAC address: 00:00:00:00:00:00 Target IP address: ( )

Proxy ARP Proxy ARP Device C Host A Host B Single Subnet Example 1: TCP/IP destination not local Помежуточное устройство (например, маршрутизатор) посылает ответ ARP от имени конечного узла, МАС которого запрашивался. Маршутизатор указывает в ответе МАС своего интерфейса, подключенного к сегменту, с которого поступил запрос. ARP request To broadcast | Host B MAC? ARP replay To Host B | MAC C

Proxy ARP Remote Access Client Assigned address: Windows Server 2003 Family Remote Access Server / Configured range: Example 2: A Windows Server 2003 Remote Access Server (RAS) and Proxy ARP