Čo je ARP Scan?

ARP Scanning je technika prieskumu siete, ktorá sa používa na objavovanie zariadení v miestnej sieti (LAN). Funguje tým, že odosiela požiadavky Protocol (ARP) na rozlíšenie adresy na každú adresu IP v určenom rozsahu alebo na zoznam cieľových IP adries. Odpovede ukazujú, ktoré adresy IP majú s nimi spojené aktívne adresy MAC, čo efektívne identifikuje zariadenia pripojené k sieti.

Tu je zrútenie toho, ako to funguje:

* ARP Protokol: ARP je protokol používaný zariadeniami na LAN na nájdenie adresy MAC spojenej so známym IP adresou. Keď zariadenie chce odosielať údaje na iné zariadenie na rovnakom LAN, potrebuje adresu MAC príjemcu. Na požiadanie o tieto informácie používa ARP.

* SKEN: Skenovanie ARP odosiela tieto požiadavky ARP, nie nájsť konkrétnu adresu MAC, ale zistiť, kto odpovie. Každá odpoveď poskytuje IP adresu a jej zodpovedajúcu adresu MAC.

* Identifikačné zariadenia: Preskúmaním prijatých adries MAC môže útočník potenciálne identifikovať typ zariadenia (napr. Windows Computer, Linux Server, tlačiareň) na základe predpony adresy MAC priradené výrobcami (hoci sa to stáva menej spoľahlivým, keď výrobcovia menia schémy priradenia adresy MAC).

* Typy skenov ARP: Existujú rôzne typy skenov ARP, ktoré sa líšia v tom, ako odosielajú žiadosti:

* bezdôvodné arp: Tým sa odošle požiadavka ARP oznamujúca vlastnú IP adresu zariadenia a kombináciu MAC adries. Používa sa na kontrolu, či už iné zariadenie má rovnakú IP adresu. Aj keď to nie je prísne skenovanie, môže odhaliť informácie o schéme adresovania IP siete.

* cielené ARP sken: Pošle požiadavky ARP na konkrétne adresy IP.

* vysielané ARP SCAN: Pošle požiadavky ARP na vysielaciu adresu (zvyčajne `ff:ff:ff:ff:ff:ff`), dosahovanie všetkých zariadení na LAN. Toto je najbežnejší typ skenovania ARP.

Prečo sa používa skenovanie ARP?

Skenovanie ARP sa používa na legitímne aj škodlivé účely:

* Správa siete: Správcovia sieti ho používajú na mapovanie svojej siete, identifikáciu zariadení a riešenie problémov s pripojením.

* Audit zabezpečenia: Profesionáli bezpečnosti ho používajú na identifikáciu neoprávnených zariadení v sieti.

* Škodlivú aktivitu: Hackeri môžu použiť skenovanie ARP na objavenie potenciálnych cieľov a identifikovať zraniteľné zariadenia pred spustením útokov, ako je otravy ARP.

Obmedzenia:

* vyžaduje prístup vrstvy 2: Skenovanie ARP fungujú iba v rovnakej sieti vrstvy 2 (LAN).

* je možné zistiť: Nástroje na monitorovanie siete dokážu zistiť skenovanie ARP a zvyšovať alarmy.

* nie vždy presné: Zariadenia nemusia reagovať na žiadosti ARP, čo vedie k neúplným výsledkom.

Stručne povedané, ARP Scanning je výkonným nástrojom na objavovanie siete, ale jeho potenciál pre zneužitie znamená, že je rozhodujúce implementovať vhodné opatrenia zabezpečenia siete.

• Predchádzajúca strana: Čo znamená kód 7 na policajnom skeneri? 
• Ďalšia strana: Čo sú prijateľné parametre pre skener?