Skip to content Skip to navigation Skip to footer

À quoi renvoie le protocole de résolution d'adresse (ARP) ?

Le protocole de résolution d'adresse (ARP) est un protocole ou une procédure qui relie une adresse IP en constante évolution à une adresse de machine physique fixe, également appelée commande d'accès au support (MAC), dans un réseau local (LAN). 

Cette procédure de mappage est importante, car les longueurs des adresses IP et MAC diffèrent, et il faut une traduction pour que les systèmes puissent se reconnaître. L'IP la plus utilisée aujourd'hui est l'IP version 4 (IPv4). Une adresse IP a une longueur de 32 bits. Les adresses MAC quant à elles, ont une longueur de 48 bits. L’ARP traduit l'adresse de 32 bits en 48 bits et inversement.

Il existe un modèle de réseau connu sous le nom de modèle d’Interconnexion des Systèmes Ouverts (OSI). Développé pour la première fois à la fin des années « 70 », le modèle OSI utilise des couches pour donner aux équipes informatiques une visualisation de ce qui se passe dans un système de réseau particulier. Il peut être utile pour déterminer quelle couche affecte quelle application, quel dispositif ou quel logiciel installé sur le réseau, et en outre, quel professionnel de l'informatique ou de l'ingénierie est responsable de la gestion de cette couche. 

L'adresse MAC est également connue sous le nom de couche de liaison de données. Elle établit et termine une connexion entre deux dispositifs physiquement connectés pour que le transfert de données puisse avoir lieu. L'adresse IP est encore appelée couche réseau ou couche chargée de la transmission des paquets de données à travers différents routeurs. L’ARP fonctionne entre ces couches.

Comment fonctionne l’ARP ?

Lorsqu'un nouvel ordinateur rejoint un réseau local, on lui attribue une adresse IP unique qu'il utilise pour des besoins d’identification et de communication. 

Les paquets de données arrivent à une passerelle, destinées à une machine hôte particulière. La passerelle, ou l'élément matériel d'un réseau qui permet aux données de circuler d'un réseau à l'autre, demande au programme ARP de trouver une adresse MAC correspondant à l'adresse IP. Le cache ARP conserve un enregistrement de chaque adresse IP et de son adresse MAC correspondante. Ce cache est dynamique, mais les utilisateurs d'un réseau peuvent également configurer un tableau ARP statique contenant les adresses IP et les adresses MAC.

Les caches ARP sont conservés sur tous les systèmes d'exploitation dans un réseau Ethernet IPv4. Chaque fois qu'un dispositif demande une adresse MAC pour envoyer des données à un autre dispositif connecté au réseau local, le dispositif vérifie son cache ARP pour voir si la connexion de l’adresse IP-à-MAC a déjà été effectuée. Si elle existe, alors une nouvelle demande n’est pas nécessaire. Toutefois, si la traduction n'a pas encore été effectuée, la demande d'adresses réseau est envoyée et l’ARP est exécuté.

La taille du cache ARP est limitée par la conception, les adresses ont alors tendance à rester dans le cache pendant quelques minutes seulement. Il est régulièrement purgé pour libérer de l’espace. Cette conception est également destinée à la protection de la vie privée et à la sécurité, afin d'éviter que les adresses IP ne soient volées ou usurpées par des cyberattaquants. Les adresses MAC sont fixes tandis que les adresses IP changent constamment.

Au cours du processus de purge, les adresses inutilisées sont supprimées, de même que toutes les données relatives aux tentatives infructueuses de communication avec des ordinateurs non connectés au réseau ou qui ne sont même pas allumés.

Quelle est la différence fonctionnelle entre l’ARP, le DHCP et le DNS ?

L’ARP est le processus de connexion d'une adresse IP dynamique à l'adresse MAC d'une machine physique. Il est donc important d’examiner quelques technologies liées à l’IP.

Comme nous l'avons mentionné précédemment, les adresses IP changent constamment et à dessein, pour la simple raison qu'elles offrent aux utilisateurs sécurité et confidentialité. Cependant, les adresses IP ne doivent pas être complètement aléatoires. Il doit y avoir des règles qui attribuent une adresse IP à partir d'une gamme définie de numéros disponibles dans un réseau spécifique. Elles permettent d’éviter les problèmes, comme le fait que deux ordinateurs reçoivent la même adresse IP. Ces règles sont connues sous le nom de DHCP ou protocole de configuration pour hôte dynamique. 

Les adresses IP, en tant qu'identités des ordinateurs, sont importantes, car elles sont nécessaires pour effectuer une recherche sur Internet. Lorsque les utilisateurs recherchent un nom de domaine ou une URL (Localisateur de ressources uniforme), ils utilisent un nom alphabétique. Les ordinateurs, quant à eux, utilisent l'adresse IP numérique pour associer le nom de domaine à un serveur. Pour connecter les deux, un système de nom de domaine (DNS) est utilisé pour traduire une adresse IP d'une chaîne de chiffres complexe en un nom de domaine plus lisible et facilement compréhensible, et vice versa.

Quels sont les types d’ARP ?

Il existe plusieurs versions et cas d'utilisation de l’ARP. Examinons-en quelques-uns.

Le proxy ARP

Le proxy ARP d’une technique par laquelle un dispositif proxy sur un réseau donné répond à la demande ARP pour une adresse IP qui n'est pas sur le réseau. Le proxy connaît l'emplacement de la destination du trafic et propose sa propre adresse MAC comme destination. 

L’ARP gratuit

L’ARP gratuit est similaire à une procédure administrative, il s’effectue comme un moyen pour un hôte sur un réseau d'annoncer ou de mettre simplement à jour son adresse IP-à-MAC. Il n'est pas déclenché par une requête ARP pour traduire une adresse IP en adresse MAC.

Le RARP

Les machines hôtes qui ne connaissent pas leur propre adresse IP peuvent utiliser le Reverse Address Resolution Protocol (RARP) pour la découverte.

L’IARP

Tandis que l’ARP utilise une adresse IP pour trouver une adresse MAC, l’IARP utilise de son côté une adresse MAC pour trouver une adresse IP.

Pourquoi l’ARP est-il nécessaire ?

Le protocole ARP est nécessaire parce que l'adresse logicielle (adresse IP) de l'hôte ou de l'ordinateur connecté au réseau doit être traduite en une adresse matérielle (adresse MAC). Sans le protocole ARP, un hôte ne pourrait pas connaître l'adresse matérielle d'un autre hôte. Le LAN conserve un tableau ou un annuaire qui fait correspondre les adresses IP aux adresses MAC des différents dispositifs, y compris les endpoints et les routeurs de ce réseau.

Ce tableau ou annuaire n'est pas maintenu par les utilisateurs ou même par les administrateurs informatiques. Au contraire, le protocole ARP crée des entrées à la volée. Si le dispositif d'un utilisateur ne connaît pas l'adresse matérielle de l'hôte de destination, le dispositif enverra un message à chaque hôte du réseau pour lui demander cette adresse. Lorsque l'hôte de destination approprié prend connaissance de la demande, il répond en indiquant son adresse matérielle, laquelle est alors stockée dans l’annuaire ou le tableau ARP. 

Si le protocole ARP n'est pas pris en charge, des entrées manuelles peuvent être effectuées dans cet annuaire. 

À quoi renvoie l'attaque ARP Spoofing/ARP Poisoning ?

L’ARP spoofing est encore connue sous le nom de routage ARP poison ou cache ARP poisoning. Il s'agit d'un type d'attaque dans lequel un cybercriminel envoie de faux messages ARP à un LAN dans l'intention de connecter son adresse MAC à l'adresse IP d'un dispositif ou d'un serveur légitime au sein du réseau. Ce lien permet d'envoyer des données de l'ordinateur de la victime à l'ordinateur piraté au lieu de leur destination initiale. 

Les attaques ARP spoofing peuvent s'avérer dangereuses, car des informations sensibles peuvent être transmises entre ordinateurs à l'insu des victimes. L’adresse XDP spoofing permet également d'autres formes de cyberattaques, telles que :

Les attaques de type Man-in-the-Middle (MITM) (intercepteur)

Il s’agit d’un type d'espionnage dans lequel le cyberattaquant intercepte, relaie et modifie les messages entre deux parties, qui ne savent pas qu'une troisième partie est impliquée, pour voler des informations. L’intercepteur peut essayer de contrôler et de manipuler les messages de l'une des parties ou des deux, pour obtenir des informations sensibles. Étant donné que ces types d'attaques utilisent des logiciels sophistiqués pour imiter le style et le ton des conversations, notamment celles qui sont basées sur le texte et la voix, une attaque MITM est difficile à intercepter et à contrecarrer.

Une attaque MITM se produit lorsqu'un logiciel malveillant est distribué et prend le contrôle du navigateur web d'une victime. Le navigateur lui-même n'est pas important pour l’intercepteur, mais les données que la victime partage le sont beaucoup plus, car elles peuvent inclure des noms d'utilisateur, des mots de passe, des numéros de compte et d'autres informations sensibles partagées dans des chats et des discussions en ligne. 

Une fois qu'il en a le contrôle, ce dernier crée un proxy entre la victime et un site légitime, généralement avec un faux site sosie, pour intercepter toutes les données entre la victime et le site légitime. Ces intercepteurs le font avec des sites de banque en ligne et de commerce électronique afin de capturer des informations personnelles et des données financières. 

Les attaques par déni de service

Une attaque par déni de service (DoS) est une attaque par laquelle un cyberattaquant tente de submerger les systèmes, les serveurs et les réseaux de trafic afin d'empêcher les utilisateurs d'y accéder. Une attaque DoS à plus grande échelle est connue sous le nom d'attaque distribuée par déni de service (DDoS), où un nombre beaucoup plus important de sources sont utilisées pour inonder un système de trafic.

Ces types d'attaques exploitent des vulnérabilités connues dans les protocoles de réseau. Lorsqu'un grand nombre de paquets sont transmis à un réseau vulnérable, le service peut facilement être submergé, puis indisponible. 

Le détournement de session

Le détournement de session se produit lorsqu'un cyberattaquant vole l'identifiant de session d'un utilisateur, prend le contrôle de la session Web de cet utilisateur et se fait passer pour lui. Avec l'identifiant de session en sa possession, ce dernier peut effectuer toute tâche ou activité que l'utilisateur est autorisé à faire sur ce réseau. 

L'authentification intervient lorsqu'un utilisateur tente d'accéder à un système ou de se connecter à un site web ou à un service web à accès restreint. L'identifiant de session est stocké dans un cookie dans le navigateur, et un pirate engagé dans le détournement de session interceptera alors le processus d'authentification et s'introduira en temps réel. 

Comment Fortinet peut-il vous être utile ?

La solution de contrôle d’accès au réseau (NAC) de Fortinet offre une meilleure visibilité sur tous les dispositifs d'un réseau afin de faire face à l'évolution constante du paysage des menaces. Le NAC fait partie du modèle d'accès au réseau zero-trust (sans confiance) pour la sécurité dans lequel la confiance n'est pas une donnée pour les utilisateurs, les applications ou les dispositifs, qu'ils soient connectés au réseau ou non, mais doit être établie.

Chaque dispositif d'un réseau conserve une copie du cache ARP, et le cache est nettoyé toutes les quelques minutes. Ainsi, tous les dispositifs connectés à ce réseau doivent être sécurisés pour que les données importantes, notamment les adresses IP, ne soient pas compromises. Pour protéger davantage vos dispositifs et serveurs de réseau, les Commutateurs Ethernet pour réseau LAN de Fortinet protègent l'infrastructure d'une organisation et comprennent même un outil de sélection permettant d'identifier le meilleur commutateur pour répondre aux exigences du réseau.