Skip to content Skip to navigation Skip to footer

Che cos’è l’Address Resolution Protocol (ARP)?

L’ARP (Address Resolution Protocol) è un protocollo o una procedura che collega un indirizzo IP (Internet Protocol) in continua evoluzione a un indirizzo fisso del computer fisico, noto anche come indirizzo MAC (Media Access Control), in una rete locale (LAN). 

Questa procedura di mappatura è importante perché le lunghezze degli indirizzi IP e MAC differiscono ed è necessario tradurli in modo che i sistemi possano riconoscersi a vicenda. L'IP più utilizzato oggi è IP versione 4 (IPv4). Un indirizzo IP è lungo 32 bit. Tuttavia, gli indirizzi MAC hanno una lunghezza di 48 bit. ARP traduce l'indirizzo a 32 bit in uno a 48 bit e viceversa.

Esiste un modello di rete noto con il nome di Interconnessione dei sistemi aperti (ISO). Sviluppato per la prima volta alla fine degli anni ‘70, il modello ISO utilizza dei livelli per consentire ai team IT di visualizzare ciò che sta accadendo con un particolare sistema di rete. Ciò può essere utile per determinare quale livello influisce su quale applicazione, dispositivo o software installato sulla rete e, inoltre, quale professionista IT o ingegnere professionista è responsabile della gestione di tale livello. 

L'indirizzo MAC è noto anche come livello di collegamento dati, che stabilisce e termina una connessione tra due dispositivi fisicamente connessi in modo che il trasferimento dei dati possa aver luogo. L'indirizzo IP viene anche chiamato livello di rete o livello responsabile dell'inoltro di pacchetti di dati tramite router diversi. L’ARP funziona tra questi livelli.

Come funziona l’ARP?

Quando un nuovo computer si collega a una LAN, gli viene assegnato un indirizzo IP univoco, da utilizzare per l'identificazione e la comunicazione. 

I pacchetti di dati arrivano a un gateway, destinato a un particolare dispositivo host. Il gateway, o l'hardware di una rete che consente ai dati di essere trasmessi da una rete a un'altra, chiede al programma ARP di trovare un indirizzo MAC corrispondente all'indirizzo IP. La cache ARP tiene traccia di ogni indirizzo IP e dell'indirizzo MAC corrispondente. La cache ARP è dinamica, ma gli utenti di una rete possono anche configurare una tabella ARP statica, contenente gli indirizzi IP e MAC.

Le cache ARP vengono conservate su tutti i sistemi operativi in una rete Ethernet IPv4. Ogni volta che un dispositivo richiede a un indirizzo MAC di inviare dati a un altro dispositivo connesso alla rete LAN, il dispositivo verifica la propria cache ARP per controllare se la connessione IP all’indirizzo MAC è già stata completata. Se esiste, non è necessaria una nuova richiesta. Tuttavia, se la traduzione non è ancora stata effettuata, viene inviata la richiesta di indirizzi di rete e viene eseguito l'ARP.

Le dimensioni della cache ARP sono limitate per progettazione e gli indirizzi tendono a rimanere nella cache soltanto per pochi minuti. Viene pulita regolarmente per liberare spazio. Questo progetto ha inoltre lo scopo di garantire privacy e sicurezza, per impedire che gli indirizzi IP vengano rubati o falsificati dagli autori di attacchi informatici. Mentre gli indirizzi MAC sono fissi, gli indirizzi IP cambiano costantemente.

Durante il processo di pulizia, gli indirizzi non utilizzati vengono eliminati, così come i dati relativi ai tentativi non riusciti di comunicare con i computer non collegati alla rete, o che non sono nemmeno accesi.

Qual è la differenza funzionale tra ARP, DHCP e DNS?

L’ARP indica il processo di connessione di un indirizzo IP dinamico all'indirizzo MAC di un computer fisico. Pertanto, è importante dare un’occhiata ad alcune tecnologie correlate all'IP.

Come accennato in precedenza, gli indirizzi IP, fin dalla progettazione, sono destinati a cambiare costantemente per il semplice motivo che in questo modo si offre agli utenti sicurezza e privacy. Tuttavia, gli indirizzi IP non devono essere completamente casuali. Devono esserci delle regole che assegnano un indirizzo IP da un intervallo definito di numeri disponibili in una rete specifica. Ciò aiuta a evitare problemi, come ad esempio due computer che ricevono lo stesso indirizzo IP. Le regole sono note con il nome di DHCP o Dynamic Host Configuration Protocol. 

Gli indirizzi IP in qualità di identità dei computer sono importanti, perché sono necessari per eseguire una ricerca su Internet. Quando gli utenti cercano il nome di un dominio o un Uniform Resource Locator (URL), utilizzano un nome alfabetico. I computer, invece, utilizzano l'indirizzo IP numerico per associare il nome di un dominio a un server. Per connettere i due server, un server del Sistema dei nomi di dominio (DNS) viene utilizzato per tradurre un indirizzo IP da una stringa di numeri confusa in un nome di dominio più leggibile e facilmente comprensibile e viceversa.

Quali sono i tipi di ARP?

Esistono diverse versioni e casi d'uso di ARP. Diamo un'occhiata ad alcuni esempi.

ARP proxy

L'ARP proxy è una tecnica mediante la quale un dispositivo proxy su una determinata rete risponde alla richiesta dell'ARP per un indirizzo IP che non è su quella rete. Il proxy è a conoscenza della posizione della destinazione del traffico e offre il proprio indirizzo MAC come destinazione. 

ARP gratuito

L’ARP gratuito è quasi simile a una procedura amministrativa, eseguita come il modo di un host su una rete di annunciare o aggiornare semplicemente il suo indirizzo da IP a MAC. L’ARP gratuito non viene indotto da una richiesta ARP di tradurre un indirizzo IP in un indirizzo MAC.

ARP inverso (RARP)

I dispositivi host che non conoscono il proprio indirizzo IP possono utilizzare il protocollo RARP (Reverse Address Resolution Protocol) per la scoperta.

ARP opposto (IARP)

Mentre l’ARP utilizza un indirizzo IP per trovare un indirizzo MAC, l’IARP utilizza un indirizzo MAC per trovare un indirizzo IP.

Perché è necessario un ARP?

L'ARP è necessario perché l'indirizzo software (o IP) dell'host o del computer collegato alla rete deve essere tradotto in un indirizzo hardware (o MAC). Senza l’ARP, un host non sarebbe in grado di individuare l'indirizzo hardware di un altro host. La rete LAN tiene una tabella o una directory che mappa gli indirizzi IP agli indirizzi MAC dei diversi dispositivi, inclusi sia i punti terminali che i router sulla rete.

Questa tabella o directory non è gestita dagli utenti e neanche dagli amministratori IT. Al contrario, il protocollo ARP crea voci nell’immediato. Se il dispositivo di un utente non conosce l'indirizzo hardware dell'host di destinazione, il dispositivo invierà un messaggio a ciascun host sulla rete che richiede questo indirizzo. Quando l'host di destinazione appropriato viene a conoscenza della richiesta, risponde con il suo indirizzo hardware, che verrà quindi memorizzato nella directory o nella tabella dell’ARP. 

Se l'ARP non è supportato, è possibile eseguire le voci manuali in questa directory. 

Cos’è lo spoofing ARP, l’attacco di avvelenamento dell’ARP?

Lo spoofing ARP è noto anche come routing di avvelenamento dell’ARP o avvelenamento della cache ARP. Si tratta di un tipo di attacco in cui un criminale informatico invia falsi messaggi ARP a una rete LAN con l'intenzione di collegare il proprio indirizzo MAC all'indirizzo IP di un dispositivo o server legittimo all'interno della rete. Il collegamento consente di inviare i dati dal computer della vittima al computer dell'autore di un attacco invece di inviarli alla destinazione originale. 

Gli attacchi di spoofing ARP possono rivelarsi pericolosi, in quanto le informazioni sensibili possono essere trasmesse tra computer senza che le vittime ne siano a conoscenza. Lo spoofing ARP consente anche altre forme di attacchi informatici, tra cui:

Attacchi Man-in-the-Middle (MTM)

Un attacco man-in-the-middle (MITM) è un tipo di intercettazione in cui, per rubare informazioni, l’autore dell’attacco informatico intercetta, trasmette e modifica messaggi tra due parti, che non hanno idea che sia coinvolta una terza parte. L’autore di un attacco può cercare di controllare e manipolare i messaggi di una delle parti, o di entrambe, per ottenere informazioni sensibili. Poiché questi tipi di attacchi sono effettuati con un software sofisticato per simulare lo stile e il tono delle conversazioni, comprese quelle basate su testo e voce, è difficile intercettare e contrastare un attacco MITM.

Un attacco MITM si verifica quando il malware viene distribuito e assume il controllo del browser web di una vittima. Il browser in sé non è importante per l’autore di un attacco, ma sono fondamentali i dati che la vittima condivide perché possono includere nomi utente, password, numeri di conto e altre informazioni sensibili condivise nelle chat e nelle discussioni online. 

Una volta assunto il controllo, l’autore di un attacco crea una proxy tra la vittima e un sito legittimo, di solito con un sito simile ma fasullo, per intercettare qualsiasi dato tra la vittima e il sito legittimo. Gli autori degli attacchi lo fanno con i siti di online banking ed e-commerce, per acquisire informazioni personali e dati finanziari. 

Denial-of-Service Attacks

Un attacco denial-of-service (DoS) è un attacco informatico in cui l’autore tenta di sovraccaricare sistemi, server e reti occupate con traffico per impedire agli utenti di accedervi. Un attacco DoS su larga scala è noto come un attacco distributed denial-of-service (DDoS), in cui viene utilizzato un numero molto maggiore di fonti per invadere un sistema con il traffico.

Questi tipi di attacchi sfruttano le vulnerabilità note nei protocolli di rete. Quando viene trasmesso un numero elevato di pacchetti a una rete vulnerabile, il servizio può essere facilmente sopraffatto e, quindi, non disponibile. 

Dirottamento di Sessione

Il dirottamento di sessione si verifica quando l’autore di un attacco informatico ruba l'ID della sessione di un utente, assume il controllo della sua sessione web e finge di essere tale utente. Con l'ID della sessione in suo possesso, l'autore dell’attacco può eseguire qualsiasi compito o attività che l'utente è autorizzato a eseguire su tale rete. 

L'autenticazione avviene quando un utente tenta di accedere a un sistema o di entrare in un sito web o servizio web soggetto a restrizioni. L'ID della sessione viene memorizzato in un cookie nel browser e l’autore di un attacco impegnato nel dirottamento della sessione, intercetta il processo di autenticazione e si inserisce in tempo reale. 

Come può aiutarti Fortinet

La soluzione Fortinet network access control (NAC) fornisce una maggiore visibilità su tutti i dispositivi in una rete, per stare al passo con il panorama delle minacce in continua evoluzione. NAC fa parte del modello di accesso alla rete zero-trust per la sicurezza, in cui la fiducia non è data a utenti, applicazioni o dispositivi, sia connessi alla rete oppure no, ma deve essere stabilita.

Ciascun dispositivo in una rete mantiene una copia della cache ARP e la cache viene pulita ogni pochi minuti. Pertanto, tutti i dispositivi connessi a tale rete devono essere protetti in modo che i dati importanti, inclusi gli indirizzi IP, non vengano compromessi. Per proteggere ulteriormente i dispositivi e i server di rete, gli Switch Ethernet LAN di Fortinet proteggono l’infrastruttura di un’organizzazione e includono anche uno strumento di selezione, per identificare lo switch migliore per soddisfare i requisiti di rete.