Address Resolution Protocol

ARP è un protocollo di servizio, utilizzato in una rete di calcolatori che utilizzi il protocollo di rete IP sopra una rete di livello datalink che supporti il servizio di broadcast. Se questo servizio non è disponibile, come ad esempio in ATM, devono essere utilizzati altri meccanismi.

Per inviare un pacchetto IP ad un calcolatore della stessa sottorete, è necessario incapsularlo in un pacchetto di livello datalink, che dovrà avere come indirizzo destinazione il mac address del calcolatore a cui lo si vuole inviare. ARP viene utilizzato per ottenere questo indirizzo.

Se il pacchetto deve essere inviato ad un calcolatore di un'altra sottorete, ARP viene utilizzato per scoprire il mac address del gateway.

In ogni calcolatore, il protocollo ARP tiene traccia delle risposte ottenute in una apposita cache, per evitare di dovere utilizzare ARP prima di inviare ciascun pacchetto (il che comporterebbe un notevole ritardo nelle comunicazioni nonché una maggiore complessità nella gestione del traffico). Le voci della cache ARP vengono cancellate dopo un certo periodo dall'ultima occorrenza, tipicamente dopo 5 minuti.

L'host che vuole conoscere il mac address di un altro host, di cui conosce l'indirizzo IP, invia in broadcast una richiesta ARP (pacchetto di ARP-request), generata dal protocollo IP, contenente l'indirizzo IP dell'host di destinazione ed il proprio indirizzo MAC. Tutti i calcolatori della sottorete ricevono la richiesta. In ciascuno di essi il protocollo ARP verifica se viene richiesto il proprio indirizzo IP. L'host di destinazione che riconoscerà il proprio IP nel pacchetto di ARP-request, provvederà ad inviare una risposta (ARP-reply) in unicast all'indirizzo MAC sorgente, contenente il proprio MAC.

In questo modo, ogni host può scoprire l'indirizzo fisico degli altri host sulla stessa sottorete. Questo è particolarmente importante nel caso si voglia conoscere i dispositivi di rete quali gateway, routers, ecc. per verificare eventuali malfunzionamenti di un nodo della rete stessa.

Si noti che l'arrivo dell'ARP-request ad un nodo aggiorna completamente la tabella ARP presente nella cache a lei dedicata dal protocollo, senza rispetto per le voci preesistenti nella tabella stessa.

Il comando per visualizzare la tabella arp immagazzinata nella cache locale nei sistemi Windows e Mac è arp -a.

Per esempio il comando eseguito su Windows restituirà un risultato diverso da questo:

C:\>arp -a
Interfaccia: 10.10.22.156 --- 0x10004
  Indirizzo Internet    Indirizzo fisico      Tipo
  10.10.22.1            00-0d-b4-01-ab-b2     dinamico
  10.10.22.155          00-1b-77-24-74-89     dinamico

Bisogna osservare che il protocollo ARP viene usato tutte le volte che un host collegato ad una LAN deve inviare un messaggio ad un host sulla stessa LAN di cui conosce unicamente l'indirizzo di livello rete (IP), quindi lavora solo in subnet locali (non può oltrepassare router e raggiungere così una sottorete differente da quella dove si è originata la richiesta).

Il procedimento inverso è svolto dal protocollo Reverse Address Resolution Protocol (RARP).

È anche possibile impostare manualmente degli indirizzi IP definiti statici nella tabella ARP, tramite il comando arp -s [IP address] [indirizzo fisico]

Il protocollo ARP non prevede meccanismi per autenticare le risposte ricevute, quindi l'host che invia una richiesta "si fida" che la risposta arrivi dal "legittimo" proprietario dell'indirizzo IP richiesto, e identifica quell'indirizzo IP con il mac address che ha ricevuto. Questo crea le premesse per numerose vulnerabilità.

È molto facile configurare abusivamente un indirizzo IP su un host, purché questo sia collegato alla sottorete giusta, e l'indirizzo sia inutilizzato, oppure il legittimo proprietario sia spento.

Di conseguenza, il fatto che un host risponda ad un certo indirizzo IP non ci autorizza a "fidarci" di quell'host. Significa soltanto che è fisicamente collegato alla rete locale giusta (oppure che anche il routing è stato compromesso).

Nonostante questo, molti utilizzano l'indirizzo IP per autenticare gli utenti e consentire l'accesso a servizi non pubblici.

La costruzione ad arte di un pacchetto ARP ingannevole è semplice sia su Linux che su Windows, e infatti questa è una tra le maggiori vulnerabilità delle reti locali. Inviando ad un host un ARP REPLY opportunamente contraffatto possiamo modificare la sua cache ARP, ottenendo ad esempio la possibilità di intercettare dati destinati ad altri host. Questa tecnica è detta ARP Spoofing o ARP cache Poisoning (in inglese, avvelenamento della cache ARP).
Tra le contromisure ArpON "Arp handler inspectiON" è una soluzione open source che rileva e blocca tutti gli attacchi Man In The Middle tramite Arp poisoning e spoofing attraverso due approci: Static ARP Inspection (SARPI) e Dynamic ARP Inspection (DARPI) su LAN switched/hubbed con o senza DHCP.

• proxy ARP
• ARP poisoning
• Reverse Address Resolution Protocol (RARP)
• Bootstrap Protocol (BOOTP)

• (EN) Formato del pacchetto ARP
• (EN) RFC 826 - An Ethernet Address Resolution Protocol -- or -- Converting Network Protocol Addresses - novembre 1982 - modificata da RFC 5227 e RFC 5994
• (EN) RFC 5227 - IPv4 Address Conflict Detection - luglio 2008
• (EN) RFC 5994 - IANA Allocation Guidelines for the Address Resolution Protocol (ARP) - aprile 2009
• (EN) ArpON home page