ARP -skanning är en nätverksavskiljningsteknik som används för att upptäcka enheter på ett lokalt nätverk (LAN). Det fungerar genom att skicka adressupplösningsprotokoll (ARP) -förfrågningar till varje IP -adress inom ett specifikt intervall eller till en lista över IP -adresser. Svaren avslöjar vilka IP -adresser som har aktiva MAC -adresser associerade med dem, vilket effektivt identifierar enheterna som är anslutna till nätverket.
Här är en uppdelning av hur det fungerar:
* arp -protokoll: ARP är ett protokoll som används av enheter på en LAN för att hitta MAC -adressen associerad med en känd IP -adress. När en enhet vill skicka data till en annan enhet på samma LAN, behöver den mottagarens MAC -adress. Den använder ARP för att begära denna information.
* Skanningen: En ARP -skanning skickar ut dessa ARP -förfrågningar, inte för att hitta en specifik MAC -adress, utan för att se vem som svarar. Varje svar ger en IP -adress och dess motsvarande MAC -adress.
* Identifiera enheter: Genom att undersöka MAC -adresserna kan en angripare potentiellt identifiera typen av enhet (t.ex. Windows -dator, Linux -server, skrivare) baserat på MAC -adressprefixen som tilldelats av tillverkare (även om detta blir mindre pålitligt när tillverkare ändrar sina MAC -adressuppgifter).
* typer av ARP -skanningar: Det finns olika typer av ARP -skanningar som varierar i hur de skickar förfrågningarna:
* Gratuitous ARP: Detta skickar en ARP -begäran som tillkännager en enhets egen IP -adress och MAC -adresskombination. Den används för att kontrollera om en annan enhet redan har samma IP -adress. Även om det inte strikt skannar, kan det avslöja information om nätverkets IP -adresseringsschema.
* Målinriktad ARP -skanning: Skickar ARP -förfrågningar till specifika IP -adresser.
* Broadcasted ARP Scan: Skickar ARP -förfrågningar till sändningsadressen (vanligtvis `ff:ff:ff:ff:ff:ff`) och når alla enheter på LAN. Detta är den vanligaste typen av ARP -skanning.
Varför används ARP -skanning?
ARP -skanning används för både legitima och skadliga ändamål:
* Nätverksadministration: Nätverksadministratörer använder det för att kartlägga sitt nätverk, identifiera enheter och felsöka anslutningsfrågor.
* Säkerhetsrevision: Säkerhetspersonal använder det för att identifiera obehöriga enheter i nätverket.
* skadlig aktivitet: Hackare kan använda ARP -skanning för att upptäcka potentiella mål och identifiera utsatta enheter innan de lanseras attacker som ARP -förgiftning.
Begränsningar:
* Kräver Layer 2 Access: ARP -skanningar fungerar endast inom samma lager 2 -nätverk (LAN).
* kan upptäckas: Nätverksövervakningsverktyg kan upptäcka ARP -skanningar och höja larm.
* Inte alltid korrekt: Enheter kanske inte svarar på ARP -förfrågningar, vilket leder till ofullständiga resultat.
Sammanfattningsvis är ARP -skanning ett kraftfullt verktyg för nätverksupptäckt, men dess potential för missbruk innebär att det är avgörande att genomföra lämpliga nätverkssäkerhetsåtgärder.
