Documente Academic
Documente Profesional
Documente Cultură
Prsentation &
Analyse du
Protocole ARP
Address Resolution Protocol
Synopsis : Un quipement est identifi, dans le domaine Internet, par son adresse IP (sur 32 Bits).
Or cet quipement (ou plutt la carte rseau associe) possde aussi une adresse physique utilise
par le protocole daccs rseau. Parmi les protocoles daccs au rseau, nous avons le protocole
Ethernet et chaque carte Ethernet est identifie par une adresse physique (sur 48 bits). Ainsi, deux
quipements sur le rseau Ethernet ne peuvent communiquer que sils connaissent leurs adresses
physiques mutuelles.
1|Page
Exemple concret :
Pour comprendre et mieux analyser comment se comporte le protocole ARP, nous allons examiner,
tape par tape, la faon dont sexcute ce protocole. Pour cela, on dispose de deux VM sur un
rseau priv, nous allons tablir une communication (ping) entre les deux.
Premire tape : Request
Aprs avoir lanc notre ping sur ladresse suivante : 192.168.1.2, le PC source se rend compte quil ne
possde pas de correspondance IP-MAC pour ladresse quil vient de ping. Il effectue donc une
requte ARP en demandant qui possde ladresse 192.168.1.2 , traduit de la faon suivante sous
WireShark : Who has 192.168.1.2 ? Tell 192.168.1.3 . Le PC source donne son adresse IP pour que
le propritaire de ladresse IP puisse lui rpondre.
2|Page
Nous retrouvons l, plusieurs lments essentiels : tout dabord, LOpcode est pass en reply .
On voit galement que les champs dadresse MAC sont remplis et donc que les deux parties vont
pouvoir incrmenter leur table ARP. Le PC possdant ladresse 192.168.1.2 (le Sender )
communique son adresse MAC sa cible (la Target qui est tout simplement le PC avec lequel
nous avons initialis la communication (le ping).
3|Page
On retrouve donc bien notre adresse IP et ladresse physique (MAC) qui lui correspond.
192.168.1.2
00-0c-29-5f-98-e6
Commandes ARP
La commande arp permet la consultation et parfois la modification de la table ARP dans certains
systmes dexploitation. Nous allons vous prsentez les principales commandes :
4|Page
Exemple :
Soit une machine Xavier, qui souhaite intercepter les messages de Khalis vers Enzo,
toutes appartenant au mme sous-rseau. Lattaque consiste pour Xavier envoyer un
paquet arp who-has la machine de Khalis. Ce paquet spcialement construit contiendra
comme IP source, ladresse IP de la machine Enzo dont nous voulons usurper lidentit (ARP
spoofing) et ladresse MAC de la carte rseau de Xavier. La machine de Khalis va ainsi crer
une entre associant notre adresse MAC ladresse IP de la machine IP dEnzo. Khalis
destinataire de larp who-has , utilise le paquet pour crer une entre dans sa table MAC.
Si Khalis veut communiquer avec Enzo au niveau IP, cest Xavier qui recevra les trames de
Khalis puisque notre adresse MAC est enregistre dans le cache empoisonn de Khalis
comme quivalence pour lIP du poste Enzo.
Ces attaques peuvent permettre une coute des communications entre deux machines, le
vol de connexion, une surcharge des commutateurs servant de structure au rseau
informatique ou dni de service. (Il suffit de faire une attaque de type MITM Man In The
Middle puis de refuser les paquets)
Solutions :
Mettre en place des entres statiques dans le cache ARP de chaque machine du rseau. Ceci
nest applicable qu faible nombre de machines.
Limiter les adresses MAC sur chaque port (renseignement statique) des commutateurs sils le
permettent. Certaines switch de niveau 3 offrent la possibilit de paramtrer des
associations port/MAC/Ip mais cela rend la gestion du parc compliqu.
Surveiller les messages ARP sur le rseau.
En revanche, chaque entre dans la table ARP a une dure de vie, ce qui oblige lattaquant
corrompre rgulirement le cache de la victime. Certains systmes dexploitation comme Solaris
permettent de modifier la valeur de ce temps dexpiration. Une valeur courte rendra donc la
corruption plus facilement visible.
5|Page
Network type : Ce champ est plac en premier afin dindiquer quel est le format de lentte
ARP
Protocol type : Ce champ indique quel le type de protocole couche 3 qui utilise ARP.
Hardware Address Length : Ce champ correspond la longueur de ladresse physique.
Logical Address Length : Ce champ correspond la longueur de ladresse rseau
Opration : Permet de connaitre la fonction du message et donc son objectif
Sender hardware Address : Ce champ indique ladresse physique de lmetteur. Ladresse
MAC