Алгоритмы защиты ARP

Algorithm 1 update arp cache

1: if DHCP packet is received then

2:   if message type is DHCPACK then

3:       IP ← ‘your IP address’ field value

4:       if IP != server’s IP then

5:          MAC ← ‘client’s hardware address’ field value

6:          Add (IP, MAC) to server’s ARP cache

7:          Add (IP, MAC) to backup file

8:       end if

9:    else if message type is DHCPRELEASE then

10:      IP ← ‘your IP address’ field value

11:      if IP != server’s IP then

12:         Remove (IP, ?) from server’s ARP cache

13:         Remove (IP, ?) from backup file

14:      end if

15:   else if message type is DHCPDECLINE then

16:      IP ← ‘requested IP address’ options field value

17:      if IP != server’s IP then

18:         Remove (IP, ?) from server’s ARP cache

19:         Remove (IP, ?) from backup file

20:      end if

21:   else

22:      NOOP

23:   end if



24:end if


Algorithm 2 send arp reply

1: if ARP message is received then

2:    if operation field = REQUEST then

3:       TPA ← Target Protocol Address field value

4:       Create an ARP REPLY message

5:       Sender Protocol Address field ← TPA

6:       if TPA = server’s IP address then

7:          SHA ← server’s MAC address

8:       else

9:          Find (TPA, MAC) mapping in ARP cache

10:         if (TPA, MAC) does not exist then

11:            return //No response is sent

12:         end if

13:         SHA ← MAC address in (TPA, MAC)

14:      end if

15:      Sender Hardware Address field ← SHA

16:      Send ARP response to requesting host

17:   end if

18:end if

—————————————————————–
Дальнейшее – за гуру скриптинга. Скрипткидди, проходьте мимо!

 

Алгоритмы защиты ARP

Выявление ARP злодеев в локальной сети.

Довольно часто в локальных сетях предприятий появляются любители пошалить с дублированием ARP адресов. К чему это приводит? Приводит к недоступности части локальной подсети, организованной на свитчах (коммутаторах). Наиболее ощутимый вред наносит дублирование MAC адресов самих коммутаторов, оставляя отключеными от сети всех, кто подключен к скомпроментированному коммутатору. Т. е. возникает ситуация, когда, как иногда говорят, сеть “висит”.
Выявить такого вредителя не так уж и сложно, достаточно установить станцию управления сетью, которая будет нам собирать статистику по протоколу SNMP, причем саму станцию и коммутаторы, которые она мониторит логически выделяем в отдельную подсеть с использованием VLAN. Это необходимо для того, чтобы при любой ситуации (дублирование ARP-адресов) статистика с коммутаторов приходила на станцию управления. Анализируя такую статистику мы сможем найти злоумышленника (порт к кторому подключена машина с дубликатом MAC адреса) по информации об MAC адресах на портах нашего коммутатора.
Отдельного разговора залуживает ARP-спуфинг в локальных сетях, с которым бороться сложно, но отследить нарушителя все равно возможно. Для этого необходимо регулярно использовать анализатор сети, желательно на компьютере, подключенном к ядру сети (центральному коммутатору). При подозрении на ARP-спуфинг делаем фильтрацию по скомпроментированному MAC адресу и смотрим, с какого IP адреса пришел пакет и идем к нарушителю. Но только в том случае, если не использовался при этом специальный генератор пакетов, с помощью которого можно подменить адреса отправителя и получателя (тут, как говорится, уже без вариантов, концов можно и не найти).

https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%b2%d1%8b%d1%8f%d0%b2%d0%bb%d0%b5%d0%bd%d0%b8%d0%b5-arp-%d0%b7%d0%bb%d0%be%d0%b4%d0%b5%d0%b5%d0%b2-%d0%b2-%d0%bb%d0%be%d0%ba%d0%b0%d0%bb%d1%8c%d0%bd%d0%be%d0%b9-%d1%81%d0%b5%d1%82%d0%b8/