Почему ARP заменен NDP в IPv6?

ARP был заменен NDP (протокол обнаружения соседей). Но я не знаю точной причины этого.

  • есть ли проблемы безопасности в ARP?
  • почему ARP заменяется NDP?
  • каковы преимущества ARP?

может ли кто-нибудь объяснить это простыми словами?

17
задан DavidPostill
26.12.2022 4:26 Количество просмотров материала 2632
Распечатать страницу

3 ответа

есть ли проблемы безопасности в ARP?

да. Вот некоторые из них:

  • ARP-спуфинг.

    ложные сообщения ARP отправляются по локальной сети, что приводит к связыванию MAC-адреса злоумышленника с IP-адресом законного компьютера или сервера в сети.

    см. ниже для получения дополнительной информации о спуфинге/отравлении ARP.

  • МАК флуд.

    перевод таблица, содержащая, МАС адреса, на которых физические порты имеют ограниченный объем памяти. Это позволяет использовать коммутатор путем заполнения таблицы преобразования. Примитивные коммутаторы, не зная, как обрабатывать избыточные данные, "не откроются" и передадут все сетевые кадры на все порты.

  • дублирование MAC.

    в атаке дублирования MAC коммутатор путается, думая, что два порта имеют один и тот же MAC-адрес. Поскольку данные передаются в обоих портах, ни ИС пересылка необходима.

Source безопасность протокола разрешения TCP / IP-адресов (ARP)


Почему ARP был заменен NDP?

он обеспечивает улучшения и дополнительные функции для IPv6.

см. ниже сравнение NDP и протокола разрешения адресов [ARP], ICMP Router Discovery [RDISC] и ICMP Redirect [ICMPv4].


Как NDP защищает против спуфинга/отравления АРП?

Он использует протокол Secure Neighbor Discovery (SEND). Криптографически генерируемые адреса гарантируют, что заявленный источник сообщения NDP является владельцем заявленного адреса.

одной из функций протокола обнаружения соседей IPv6 (NDP) является для разрешения адресов сетевого уровня (IP) в канальный уровень (например, Ethernet) адреса, функция, выполняемая в IPv4 по адресу Протокол разрешения (ARP). Тот Обнаружение безопасного соседа (отправить) Протокол предотвращает злоумышленника, имеющего доступ к сегменту вещания от злоупотребления NDP или ARP, чтобы обмануть хостов в отправке злоумышленника трафик, предназначенный для кого-то другого, техника, известная как отравление АРП.

защитить против отравления АРП и других нападений против НДП функции, посылают должны быть раскрыны где предотвращающ доступ к сегмент широковещательной передачи может быть недоступен.

отправить использует пары ключей RSA для создания криптографически автоматически адреса, определенные в RFC 3972, созданные криптографическим способом Адреса (РГР). Это гарантирует, что заявленный источник ПНР сообщение является владельцем заявленного адреса.

Source Настройка Безопасного Обнаружения Соседей IPv6


Как работает ARP спуфинг?

ARP спуфинг также упоминается как отравление ARP Poison Routing (APR) или Arp Cache.

ARP спуфинг-это тип атаки, при которой злоумышленник отправляет фальсифицированные сообщения ARP (Address Resolution Protocol) по локальной сети. Это приводит к связыванию MAC-адреса злоумышленника с IP-адресом законного компьютера или сервера в сети.

после подключения MAC-адреса злоумышленника к аутентичному IP-адресу адрес, злоумышленник начнет получать любые данные, которые предназначен для этого IP-адреса.

ARP-спуфинг может включить злоумышленники для перехвата, изменения или даже остановка передачи данных. Атаки подмены ARP могут только произойти на локальном локальные сети, использующие протокол разрешения адресов.

Исходный Veracode ARP спуфинга


Как работает атака подмены ARP?

шаги к ARP спуфинг атаке обычно относят:

  1. злоумышленник открывает инструмент ARP спуфинга и устанавливает IP-адрес средства, соответствующий IP-подсети целевого объекта. Примеры популярных ARP спуфинг программного обеспечения включают Arpspoof, Cain & Abel, Arpoison и Ettercap.

  2. злоумышленник использует инструмент ARP-спуфинга для поиска IP-адресов и MAC-адресов хостов в подсети цели.

  3. атакующий выбирает свою цель и начинает посылать пакеты ARP через LAN, которые содержат MAC-адрес атакующего и IP цели адрес.

  4. Как и другие хосты в кэше локальной сети поддельные пакеты ARP, данные, которые эти хосты отправляют жертве, будут переданы злоумышленнику. Отсюда злоумышленник может украсть данные или запустить более сложную последующее нападение.

Исходный Veracode ARP спуфинга

злоумышленник может проверять пакеты (шпионаж), а перенаправление трафика на фактический шлюз по умолчанию, чтобы избежать обнаружение, изменение данных перед пересылкой (man-in-the-middle атаковать) или запустить атаку типа "отказ в обслуживании", вызвав некоторые или все пакетов в сети, которые будут отброшены.

Источник Википедия ARP спуфинга


сравнение [NDP] с IPv4

протокол обнаружения соседей IPv6 соответствует комбинации разрешение адресов протоколов IPv4 Протокол [ARP], ICMP маршрутизатор Обнаружение [RDISC] и перенаправление ICMP [ICMPv4].

в IPv4 нет согласованный протокол или механизм для соседнего Обнаружение недостижимости, хотя документ требований хостов [HR-CL] указывает некоторые возможные алгоритмы для Dead Gateway Обнаружение (подмножество проблем обнаружения недостижимости соседей снаряжения.)

протокол обнаружения соседей обеспечивает множество улучшений по набору протоколов IPv4:

  • обнаружение маршрутизатора является частью базового набора протоколов; необходимость для хостов "вынюхивать" протоколы маршрутизации.

  • объявления маршрутизатора несут адреса канального уровня; нет дополнительных обмен пакетами необходим для разрешения канального уровня маршрутизатора адрес.

  • объявления маршрутизатора несут префиксы для ссылки; нет необходимости иметь отдельный механизм настроить "маску подсети".

  • объявления маршрутизатора включить Автоконфигурацию адресов.

  • маршрутизаторы могут объявлять MTU для хостов для использования на ссылке, гарантируя, что все узлы используют то же значение MTU на ссылках, хорошо определенный MTU.

  • многоадресные рассылки разрешения адреса "распространены" над 16 миллионом (2^24) multicast-адресов, что значительно снижает разрешения адресов, связанных с прерывания на узлах за исключением цели. Кроме того, не IPv6 машины не должны быть прерваны на всех.

  • перенаправления содержат адрес канального уровня нового первого перехода; отдельное разрешение адреса не требуется при получении переадресовывать.

  • С одной и той же ссылкой можно связать несколько префиксов. По по умолчанию хосты узнают все префиксы on-link от маршрутизатора Рекламы. Однако маршрутизаторы могут быть настроены на пропуск некоторых или все префиксы из объявлений маршрутизатора. В таких случаях хозяева предположите, что назначения являются off-link и передают трафик маршрутизаторам. Маршрутизатор может тогда выполнить перенаправления как соответствующие.

  • в отличие от IPv4, получатель перенаправления IPv6 предполагает, что новый следующий прыжок по ссылке. В IPv4 хост игнорирует перенаправления задание следующее-хоп, что не по-ссылке по ссылке сетевая маска. Механизм перенаправления IPv6 аналогичен XRedirect объект указан в [SH-MEDIA]. Ожидается, что полезно на нешироковещательных и общих медиа-ссылках, в которых он нежелательно или невозможно для узлов знать все префиксы для назначения по ссылке.

  • обнаружение недостижимости соседа является частью базы, которая значительно улучшает робастность доставки пакета в наличие отказавших маршрутизаторов, частично отказавших или секционированных связи или узлы, которые изменяют свой уровень связи адреса. Для экземпляр, мобильные узлы могут перемещаться вне связи без потери подключение из-за устаревших кэшей ARP.

  • В отличие от ARP, обнаружение соседей обнаруживает полусвязные сбои (с помощью Обнаружение недостижимости соседа) и избегает отправки трафика на соседи, с которыми отсутствует двусторонняя связь.

  • В отличие от обнаружения маршрутизатора IPv4, сообщения объявления маршрутизатора не содержит поля предпочтений. Тот поле предпочтений не требуется для обработки маршрутизаторов разной "стабильности"; сосед Обнаружение недостижимости обнаружит мертвые маршрутизаторы и рабочий.

  • использовать локальные адреса для уникальной идентификации маршрутизаторов (для Маршрутизатора и перенаправляют сообщения), делает возможным для хосты для поддержания связей маршрутизатора в случае сайта перенумерация для использования новых глобальных префиксов.

  • установив предел прыжка 255, обнаружение соседей невосприимчиво к отправители, которые случайно или намеренно отправляют ND сообщения. В IPv4 отправители вне канала могут отправлять оба перенаправления ICMP и маршрутизатора сообщений.

  • устанавливать разрешение адреса на слое ICMP делает протокол более Медиа-независимый, чем ARP, и позволяет использовать общие механизмы аутентификации и безопасности IP-уровня соответствующий.

Source RFC 4861 обнаружение соседей в IPv6


более дальнеишее чтение

58
отвечен DavidPostill 2022-12-27 12:14

NDP имеет больше возможностей, чем ARP, включая:

  • через NDP, приборы на сети могут определить адрес MAC / link-layer (такую же функцию как ARP).

  • используя NDP, устройства в сети могут найти путь к другому устройству во внешней сети, определяя местонахождение лучшего маршрутизатора к устройству назначения.

  • NDP включает автоматическую конфигурацию IPv6 адреса.

сравнивая его с ARP, механизм другой:

ARP использует широковещательные сообщения, в то время как NDP использует многоадресные сообщения ICMPv6.

устройство отправляет многоадресное сообщение под названием "ICMP-сообщение запроса соседа" или NS. Целевое устройство отвечает "сообщением ICMP соседнего объявления" или NA.

сообщение НС использует специальные адреса многоадресных называется запрошенный многоадресный адрес узла что представляет все узлы с теми же 24 бита своего адреса IPv6. Использование многоадресной рассылки вместо широковещательной уменьшает поток ненужного трафика в сети.

9
отвечен jcbermu 2022-12-27 14:31

введение NDP вместо ARP было в основном связано с желанием консолидировать протоколы управления вокруг IP. IPv4 использует несколько протоколов управления, таких как ICMP, IGMP и ARP/RARP. С IPv6 NDP (преемник ARP), а также MLD (преемник IGMP) были разработаны в качестве суб-протокола ICMPv6, так что существует только один протокол управления. Не было никакой причины безопасности для этого, ND столь же восприимчив к спуфингу как ARP, и ND не был разработан для безопасности.

в начале дни развития IPv6 IPsec рассматривался как общая мера безопасности и, следовательно, является обязательной. Однако это требование было понижено до рекомендации (RFC 6434, я считаю, в основном из-за встроенных устройств и IoT, которые просто не способны выполнять вычисления с открытым ключом, плюс они все равно будут переключаться на проблемы PKI) и не работает хорошо (вежливо говоря) для обеспечения ND. Отправить представили Тэкс безопасности на НД, а практически все предыдущие попытки в разработке программного обеспечения ретроактивной защиты были, скажем, менее оптимальными. Поскольку до сих пор не существует реализаций SeND, кроме экспериментальных, SeND практически не существует. Более того, есть основания полагать, что отправка - по крайней мере в ее нынешнем виде - никогда не стартует.

напротив, SAVI выглядит более перспективным, но требует изменений в коммутационной инфраструктуре, а оборудование, поддерживающее SAVI, не является довольно дешевым, поэтому также не собирается быстро размножаться. SAVI работает на том основании, что в пределах сайта должно быть "известно", какие сопоставления между адресами HW (т. е. MAC-адресом) и IP-адресами являются законными, и таким образом должно быть возможно идентифицировать и удалить поддельные сообщения NDP.

лучшие рецепты самые простые, но их часто упускают из виду: разбивайте большие локальные сети на более мелкие, поскольку ARP - и ND-спуфинг работают только для целей в одной локальной сети. Поэтому, как раз устанавливающ ненадежные приборы в их собственный сегмент (сегменты) локальной сети (без брандмауэра / правил фильтрации) значительно уменьшит поверхность атаки.

3
отвечен countermode 2022-12-27 16:48

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх