Address Resolution Protocol

Un article de Wikipédia, l'encyclopédie libre.
Aller à : Navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir ARP.
Pile de protocoles
7 • Application
6 • Présentation
5 • Session
4 • Transport
3 • Réseau
2 • Liaison
1 • Physique
Modèle Internet
Modèle OSI

L'Address resolution protocol (ARP, protocole de résolution d'adresse) est un protocole effectuant la traduction d'une adresse de protocole de couche réseau (typiquement une adresse IPv4) en une adresse MAC (typiquement une adresse ethernet), ou même de tout matériel de couche de liaison. Il se situe à l'interface entre la couche réseau (couche 3 du modèle OSI) et la couche de liaison (couche 2 du modèle OSI).

Il a été défini dans la RFC 826 : An Ethernet Address Resolution Protocol.

Le protocole ARP est nécessaire au fonctionnement d'IPv4 utilisé au-dessus d'un réseau de type ethernet. En IPv6, les fonctions de ARP sont reprises par le Neighbor Discovery Protocol (ND).

Dans la suite de l'article, le terme adresse IP est utilisé pour parler d'adresse IPv4.

Sommaire

[modifier] Fonctionnement

Un ordinateur connecté à un réseau informatique souhaite émettre une trame ethernet à destination d'un autre ordinateur dont il connaît l'adresse IP et placé dans le même sous-réseau. Dans ce cas, cet ordinateur va placer son émission en attente et effectuer une requête ARP en broadcast. Cette requête est de type « quelle est l'adresse MAC correspondant à l'adresse IP adresseIP ? Répondez à adresseMAC ».

Puisqu'il s'agit d'un broadcast, tous les ordinateurs du segment vont recevoir la requête. En observant son contenu, ils pourront déterminer quelle est l'adresse IP sur laquelle porte la recherche. La machine qui possède cette adresse IP sera la seule à répondre en envoyant à la machine émettrice une réponse ARP du type « je suis adresseIP, mon adresse MAC est adresseMAC ». Pour émettre cette réponse au bon ordinateur, il crée une entrée dans son cache ARP à partir des données contenues dans la requête ARP qu'il vient de recevoir.

La machine à l'origine de la requête ARP reçoit la réponse, met à jour son cache ARP et peut donc envoyer le message qu'elle avait mis en attente jusqu'à l'ordinateur concerné.

Il suffit donc d'un broadcast et d'un unicast pour créer une entrée dans le cache ARP de deux ordinateurs.

[modifier] Commande arp

La commande arp permet la consultation et parfois la modification de la table ARP dans certains systèmes d'exploitation.

[modifier] Sécurité du protocole ARP

Le protocole ARP a été conçu sans souci particulier de sécurité. Il est vulnérable à des attaques locales sur le segment reposant principalement sur l'envoi de messages ARP erronés à un ou plusieurs ordinateurs. Elles sont regroupées sous l'appellation ARP poisoning (pollution de cache ARP). La vulnérabilité d'un ordinateur à la pollution de cache ARP dépend de la mise en œuvre du protocole ARP par son système d'exploitation.

Soit une machine Charlie qui souhaite intercepter les messages d'Alice vers Bob, toutes appartenant au même sous-réseau. L'attaque consiste pour Charlie à envoyer un paquet « arp who-has » à la machine d'Alice. Ce paquet spécialement construit contiendra comme IP source, l'adresse IP de la machine de Bob dont nous voulons usurper l'identité (ARP spoofing) et l'adresse MAC de la carte réseau de Charlie. La machine d'Alice va ainsi créer une entrée associant notre adresse MAC à l'adresse IP de la machine de Bob. Alice, destinataire de l'« arp who-has », utilise le paquet pour créer une entrée dans sa table MAC. Si Alice veut communiquer avec Bob au niveau IP, c'est Charlie qui recevra les trames d'Alice puisque notre adresse MAC est enregistré dans le cache empoisonné de Alice comme équivalence pour l'IP du poste Bob. Ceci est une faiblesse connue de la mise en œuvre d'ARP et permet de corrompre facilement un cache ARP distant.

Ces attaques peuvent permettre une écoute des communications entre deux machines (attaque de l'homme du milieu), le vol de connexion, une surcharge des commutateurs servant de structure au réseau informatique ou un déni de service (il suffit de faire une attaque de type MITM puis de refuser les paquets).

Pour lutter contre ce type d'attaque, il est possible :

Chaque entrée dans la table ARP a une durée de vie, ce qui oblige l'attaquant à corrompre régulièrement le cache de la victime. Certains Systèmes d'exploitation comme Solaris permettent de modifier la valeur de ce temps d'expiration (commande ndd). Une valeur courte rendra la corruption plus facilement visible.

[modifier] En-tête ARP

Cas général
+ Bits 0 - 7 8 - 15 16 - 31
0 Hardware type Protocol type
32 Hardware Address Length Protocol Address Length Operation
64 Sender Hardware Address
 ? Sender Protocol Address
 ? Target Hardware Address
 ? Target Protocol Address

avec :

Hardware type (type de matériel)[3]
Protocol type (Type de protocole)

Ce champ indique quel est le type de protocole couche 3 (OSI) qui utilise ARP.

Hardware Address Length (longueur de l'adresse physique)

Ce champ correspond à la longueur de l’adresse physique. La longueur doit être prise en octets.

Protocol Address Length (longueur de l'adresse logique)

Ce champ correspond à la longueur de l’adresse réseau. La longueur doit être prise en octets.

Operation

Ce champ permet de connaître la fonction du message et donc son objectif.

Sender Hardware Address (adresse physique de l’émetteur)

Adresse MAC source dans le cadre d'Ethernet.

Sender Internet Address (adresse réseau de l’émetteur)

Adresse IP de source dans le cadre de TCP/IP

Target Hardware Address (adresse physique du destinataire)

Adresse MAC destination dans le cadre d'Ethernet . Si c’est une demande ARP, alors, ne connaissant justement pas cette adresse, le champ sera mis à 1 (c'est un broadcast de niveau 2)

Target Internet Address (adresse réseau du destinataire)

Adresse IP de destination dans le cadre de TCP/IP

Exemple d'en-tête ARP : protocole IPv4 sur Ethernet (28 octets)
Octet 1 Octet 2 Octet 3 Octet 4
0x0001 0x0800
0x06 0x04 Operation
Adresse MAC source (octets 1-4)
Adresse MAC source (octets 5-6) Adresse IP source (octets 1-2)
Adresse IP source (octets 3-4) Adresse MAC destination (octets 1-2)
Adresse MAC destination (octets 3-6)
Adresse IP destination (octets 1-4)

[modifier] Notes et références

  1. outil du Network Research Group (NRG), the Information and Computing Sciences Division (ICSD), Lawrence Berkeley National Laboratory (LBNL) LBNL's Network Research Group
  2. arpalaert
  3. Hardware Types

[modifier] Voir aussi

Sur les autres projets Wikimédia :

[modifier] Liens externes

Outils personnels
Espaces de noms
Variantes
Actions
Navigation
Contribuer
Imprimer / exporter
Boîte à outils
Autres langues