Page d'accueil	encyclopedie-enligne.com en page d'accueil
Liste Articles: [0-A] [A-C] [C-F] [F-J] [J-M] [M-P] [P-S] [S-Z] | Liste Catégories | Une page au hasard | Pages liées

Address Resolution Protocol

L'Address resolution protocol (ARP) est un terme anglais désignant un protocole effectuant la traduction d'une adresse IP en une adresse MAC.

Il a été défini dans la RFC 826  : 'An Ethernet Address Resolution Protocol'.

Scénario typique de l'utilisation d'ARP

• Un ordinateur connecté à un réseau informatique souhaite émettre une trame ethernet à destination d'un autre ordinateur dont il connait l'adresse IP.

• Il interroge son cache ARP à la recherche d'une entrée correspondant à l'adresse IP de la machine cible. Deux cas peuvent se présenter :

a) L'adresse IP est présente dans le cache de l'émetteur, il suffit de lire l'adresse MAC correspondante pour envoyer la trame ethernet. L'utilisation d'ARP s'arrête ici dans ce cas !

b) L'adresse IP est absente du cache de l'émetteur. Dans ce cas, cet ordinateur va placer son émission en attente et effectuer une requête ARP en broadcast. Cette requête est de type « quelle est l'adresse MAC correspondant à l'adresse IPadresseIP ? Répondez à adresseMAC ».

• Puisqu'il s'agit d'un broadcast, tous les ordinateurs connectés au support physique vont recevoir la requête. En observant son contenu, ils pourront déterminer quelle est l'adresse IP sur laquelle porte la recherche. La machine qui possède cette adresse IP, sera la seule (du moins si elle est la seule, ce qui est censé être le cas dans tout réseau, mais...) à répondre en envoyant à la machine émettrice une réponse ARP du type « je suis adresseIP, mon adresse MAC est adresseMAC ». Pour émettre cette réponse au bon ordinateur, il crée une entrée dans son cache ARP à partir des données contenues dans la requête ARP qu'il vient de recevoir.

• La machine à l'origine de la requête ARP reçoit la réponse, met à jour son cache ARP et peut donc envoyer le message qu'elle avait mis en attente jusqu'à l'ordinateur concerné.

Il suffit donc d'un broadcast et d'un unicast pour créer une entrée dans le cache ARP de deux ordinateurs.

Sécurité du protocole ARP

• Le protocole ARP est vulnérable à des attaques locales reposant principalement sur l'envoi de messages ARP éronés à un ou plusieurs ordinateurs. Elles sont regroupées sous l'appellation « Pollution de cache ARP » (« ARP cache poisoning » en anglais). La vulnérabilité d'un ordinateur à la Pollution de cache ARP dépend de l'implémentation du protocole ARP par son système d'exploitation.

• Ces attaques peuvent provoquer un déni de service, une écoute des communications entre deux machines ou une surcharge des commutateurs servant de structure au réseau informatique.

• Pour lutter contre ce type d'attaques, il est possible :
  • de mettre en place des entrées statiques dans le cache ARP de chaque machine du réseau (commande arp -s). Ceci n'est applicable qu'à un faible nombre de machines à moins de souhaiter y passer ses jours et ses nuits.
  • de limiter les adresses MAC sur chaque port des commutateurs s'ils le permettent (fonction Port Security).
  • de surveiller les messages ARP circulant sur réseau informatique, à l'aide d'outils de surveillance tels qu'ARPwatch (outil du Network Research Group (NRG), the Information and Computing Sciences Division (ICSD), Lawrence Berkeley National Laboratory (LBNL) : http://www-nrg.ee.lbl.gov/ ).

Un cas d'école à la limite du bizutage

Deux PC sont connectés à un réseau. L'un fonctionne très bien, l'autre ne peut communiquer avec aucun domaine malgré un paramétrage réseau sans défaut. Premier diagnostic imaginable : panne du DNS.

Toutefois, une vérification de l'adresse MAC du DNS dans le cache ne donne pas les même résultat sur ces deux PC ! Second diagnostic imaginable : un pirate vient de prendre l'adresse IP du DNS (pratique courante, accompagnée en général d'un denial of service simultané sur l'adresse MAC du vrai serveur DNS). Pourquoi le premier PC n'en est-il pas affecté ? Parce que l'adresse MAC de l'ancien DNS est toujours dans son cache et que lui ne voit donc pas le faux DNS pirate.

Un examen de l'adresse MAC que l'adaptateur du pirate est fabriqué par un constructeur qui ne fait que des adaptateurs PCMCIA pour portables. L'hypothèse du pirate semble se confirmer et la certitude qu'il a un portable réduit le nombre de coupables possibles.

Des essais de ping du DNS depuis différents endroits du bâtiment suggèrent que le pirate se trouve dans l'aile Nord. En effet, le serveur DNS est au centre et des pings effectués depuis les trois autres ailes donnent, eux, l'adresse du bon DNS.

Un nouveau venu équipé en effet d'un portable est rapidement localisé à l'étage. Vérification d'identité et de paramétrage faites, il s'agit simplement d'un jeune commercial qui s'est trompé en paramétrant son réseau et a rentré l'adresse IP du DNS qui lui avait été fournie... dans le champ qui était réservé à sa propre adresse IP ! Davantage de peur que de mal, donc; et une journée comme les autres dans la vie d'un responsable réseau (qui rédigera plus clairement sa documentation la prochaine fois).