بروتوكولARP (إيجاد العناوين) (Address Resolution Protocol) هو أحد بروتوكولات حزمة الإنترنت TCP/IP ويوجد في الطبقة الثانية طبقة الإنترنت العاملة بِ: التحكم بالرسائل، فتح أقصر مسار أولا، بروتوكول إدارة مجموعة الإنترنت، وبروتوكول أمن وسرية البيانات.
يستخدم بروتوكول ARP بشكل أساسي في الشبكة المحلية LAN Network ووظيفته في الشبكة المحلية هو معرفة العنوان الفيزيائي MAC Address للأجهزة المشبوكة على الشبكة المحلية بإستخدام العنوان المنطقي IP Address.
آلية عمل بروتوكول ARP
إذا بروتوكول ARP يسهل عملية إيجاد الجهاز المستقبل للبيانات عندما يطلب جهاز مرسل آخر إرسال هذه البيانات. ولذلك يقوم بروتوكول ARP بالبحث عن العنوان الفيزيائي MAC Address للجهاز المستقبل.
لذلك قبل أن تتم عملية الإتصال ثم التخاطب بين أي جهازين موجودين على نفس الشبكة يبجب أن يكونا الجهازين يعلمان العنوان الفيزيائي الخاص بكل واحد منهم، وفي جهاز المرسل يقوم بروتوكول ARP بإرسال طلب ARP Request إلى الشبكة على شكل Broadcast يسأل فيها الجهاز المرسل عن العنوان الفيزيائي الخاص في جهاز معين.
أي أن ال Broadcast رسالة من جهاز المرسل إلى مجموعة أجهزة حيث أن كل جهاز يقوم بإسقبال الرسالة والتعامل معها على حدى، وعندما تصل رسالة ال Broadcast إلى الجهاز المستقبل المقصود يقوم بالرد بالعناون الفيزيائي الخاص به ARP Replay على شكل Unicast أي رسالة من جهاز إلى جهاز .
بعد وصول الرد من الجهاز يتم حفظ العنوان الفيزيائي الخاص به في جدول ARP Table وذلك إذا احتاج الجهاز الإتصال معه مرة أخرى يتم الرجوع للجدول لمعرفة العنوان الفيزيائي الخاص به والجدير بالذكر أن جدول ARP Table يخزن في ذاكرة بطاقة الشبكة ARP Cashe وهي عادة ذاكرة مؤقتة تزول بمجرد إغلاق جهاز الحاسوب.
دور الهاكرز باستغلال بروتوكول ARP
لقد استعرضت في الفقرات السابقة عمل بروتوكول ARP، لكن ها هنا يستغل الهاكرز طريقة عمل بروتوكول ARP للتجسس على الجهاز الضحية عن طريق إرسال ARP Replay مزيف لأحد الأجهزة المتصلة على الشبكة. فمن خلالها يقوم الجهاز ببناء جدوله بنفسه ARP Table عن طريق ARP response.
بإمكانك عرض الجدول الخاص بك سواء كنت على نظام لينكس أو ويندوز وذلك من خلال استخدام الأمر arp -a في سطر الأوامر.
لذا يمكن إرسال حزمة استجابة ARP response مزيفة إلى الأجهزة لكي يقوموا بتحديث جداولهم ARP Table ومن خلال ذلك يمكن للمهاجم بإرسال رسالة ARP Replay والذي يقوم بدوره الجهاز الضحية بالتعديل والتحديث على الجدول الخاص به ARP Table.
يقوم الجهاز الضحية بالتعديل على جدوله وتغيير العنوان الفيزيائي لأحد ال IP المدخلة في جدوله والتي تكون عادة Gateway الخاصة بالشبكة نفسها سواء راوتر أو سويتش، ولذلك من الطبيعي والبديهي أن يرسل الجهاز الضحية بيناته إلى الجهاز المُختَرِق وكأن هذا الجهاز أصبح الراوتر أو السويتش.
وكذلك يرسل الجهاز المُختَرِق رسالة unicast للراوتر أو السويتش معلما إياه بالتغيرات وبتحديث الجدول الخاص به وبتغير العنوان الفيزيائي للجهاز الضحية.
بينما الجهاز الضحية يبعث بيناته وطلباته إلى الجهاز المُختَرِق فيقوم الأخير بالإطلاع عليها وتمريرها للراوتر أو الوسويتش. أي أن الجهاز المُختَرِق أصبح عبارة عن نقطة عبور وتمرير وهذا ما يدعى بإختراق الرجل في المنتصف MITM) Man In The Middle)
الحماية
إن خطر إستغلال بروتوكول ARP يتمثل بالإطلاع على البيانات المارة في الشبكة من بيانات، كلمات مرور، المواقع التي تتصفحها، والمواد التي تتطلع عليها أثناء تواجدك على الإنترنت، وربما إمكانية تعديل هذه البيانات. لذلك كان لا بد الحماية من خطر إستغلال بروتوكول ARP وذلك من خلال استخدام برنامج XArp والذي يعمل على بيئة لينكس وكذلك بيئة الويندوز.
Aucun commentaire :