Прокси-ARP

Прокси-ARP — это метод, с помощью которого прокси-сервер в данной сети отвечает на запросы протокола разрешения адресов (ARP) для IP-адреса , которого нет в этой сети. Прокси знает местоположение пункта назначения трафика и предлагает свой собственный MAC-адрес в качестве (якобы конечного) пункта назначения. ^[1] Трафик, направленный на адрес прокси, затем обычно направляется прокси-сервером к назначенному месту назначения через другой интерфейс или через туннель .

Процесс, в результате которого прокси-сервер отвечает своим собственным MAC-адресом на запрос ARP о другом IP-адресе для целей проксирования, иногда называется публикацией .

Использование

Ниже приведены некоторые типичные варианты использования прокси-ARP:

Присоединение к широковещательной локальной сети с помощью последовательных каналов связи (например, коммутируемого соединения или VPN- подключения).: Предположим, что широковещательный домен Ethernet (например, группа станций, подключенных к одному концентратору или коммутатору (VLAN)) использует определенный диапазон адресов IPv4 (например, 192.168.0.0/24, где 192.168.0.1 – 192.168.0.127 назначены проводным сетям). узлы). Один или несколько узлов являются маршрутизаторами доступа , принимающими коммутируемые или VPN-соединения. Маршрутизатор доступа предоставляет узлам коммутируемого доступа IP-адреса в диапазоне 192.168.0.128 – 192.168.0.254; в этом примере предположим, что узел коммутируемого доступа получает IP-адрес 192.168.0.254.

Маршрутизатор доступа использует прокси-ARP, чтобы обеспечить присутствие узла коммутируемого доступа в подсети без подключения к Ethernet: маршрутизатор доступа «публикует» свой собственный MAC-адрес для 192.168.0.254. Теперь, когда другой узел, подключенный к Ethernet, хочет связаться с узлом коммутируемого доступа, он запросит в сети MAC-адрес 192.168.0.254 и найдет MAC-адрес маршрутизатора доступа. Таким образом, он будет отправлять свои IP-пакеты маршрутизатору доступа, и маршрутизатор доступа будет знать, что нужно передать их конкретному узлу коммутируемого доступа. Таким образом, все узлы коммутируемого доступа отображаются для проводных узлов Ethernet так, как будто они подключены к одной и той же подсети Ethernet.

Получение нескольких адресов из локальной сети: Предположим, что станция (например, сервер) с интерфейсом (10.0.0.2) подключена к сети (10.0.0.0/24). Некоторым приложениям может потребоваться несколько IP-адресов на сервере. Если адреса должны быть из диапазона 10.0.0.0/24, проблема решается через прокси-ARP. Дополнительные адреса (скажем, 10.0.0.230-10.0.0.240) привязываются к интерфейсу обратной связи сервера (или назначаются специальным интерфейсам, последнее обычно имеет место в VMware / UML / jails / vservers /других средах виртуальных серверов) и «опубликовано» на интерфейсе 10.0.0.2 (хотя многие операционные системы допускают прямое выделение нескольких адресов одному интерфейсу, что устраняет необходимость в таких обходных путях).

На брандмауэре: В этом сценарии брандмауэр можно настроить с одним IP-адресом. Одним из простых примеров использования этого является размещение брандмауэра перед одним хостом или группой хостов в подсети. Пример: В сети (10.0.0.0/8) есть сервер (10.0.0.20), который необходимо защитить. Перед сервером может быть установлен прокси-брандмауэр ARP. Таким образом, сервер оказывается за брандмауэром без необходимости внесения дальнейших изменений в сеть.

Мобильный IP: В случае Mobile-IP домашний агент использует прокси-ARP для получения сообщений от имени мобильного узла, чтобы он мог переслать соответствующее сообщение на фактический адрес мобильного узла ( адрес для передачи ).

Прозрачный шлюз подсети: Настройка, в которой два физических сегмента используют одну и ту же IP-подсеть и соединены между собой через маршрутизатор . Такое использование описано в RFC 1027.

Резервирование: Методы манипулирования ARP являются основой протоколов, обеспечивающих избыточность в широковещательных сетях (например, Ethernet ), в первую очередь протокола общего резервирования адресов и протокола резервирования виртуального маршрутизатора .

Недостатки

К недостаткам прокси-ARP относятся масштабируемость, поскольку разрешение ARP прокси-сервером требуется для каждого устройства, маршрутизируемого таким образом, и надежность, поскольку отсутствует резервный механизм, а маскировка может сбивать с толку в некоторых средах.

Прокси-ARP может создавать DoS-атаки на сети, если он неправильно настроен. Например, неправильно настроенный маршрутизатор с прокси-ARP имеет возможность получать пакеты, предназначенные для других хостов (поскольку он предоставляет свой собственный MAC-адрес в ответ на запросы ARP для других хостов/маршрутизаторов), но может не иметь возможности правильно пересылать эти пакеты. до конечного пункта назначения, тем самым блокируя движение.

Прокси-ARP может скрыть неправильные настройки устройства, например отсутствие или неправильный шлюз по умолчанию .

Реализации

OpenBSD реализует прокси-ARP. ^[2]
Linux реализует прокси-ARP. ^[3]

Ссылки

^ Хэл Стерн (10 октября 2001 г.). «Сетевые трюки ARP» . ITмир. Архивировано из оригинала 7 ноября 2017 года . Проверено 3 ноября 2017 г.
^ «Справочная страница arp(8)» . Архивировано из оригинала 27 июня 2019 г. Проверено 9 августа 2019 г.
^ «Псевдомосты с Proxy-ARP» . Архивировано из оригинала 06 декабря 2022 г. Проверено 06 декабря 2022 г.

Дальнейшее чтение

Разрешение адресов в нескольких локальных сетях . РФК 925 .
Использование ARP для реализации прозрачных шлюзов подсети . РФК 1027 .
У. Ричард Стивенс . Протоколы (TCP/IP в иллюстрациях, том 1). Аддисон-Уэсли Профессионал; 1-е издание (31 декабря 1993 г.). ISBN 0-201-63346-9

[1] Хэл Стерн (10 октября 2001 г.). «Сетевые трюки ARP» . ITмир. Архивировано из оригинала 7 ноября 2017 года . Проверено 3 ноября 2017 г.

[2] «Справочная страница arp(8)» . Архивировано из оригинала 27 июня 2019 г. Проверено 9 августа 2019 г.

[3] «Псевдомосты с Proxy-ARP» . Архивировано из оригинала 06 декабря 2022 г. Проверено 06 декабря 2022 г.

[1]

[2]

[3]