當電腦加入區域網路 (LAN) 時,它會被指派一個 IP 位址。這可能是保持不變的靜態 IP 位址,或是由 DHCP 伺服器指定的動態 IP 位址。 當發送到該電腦的封包通過網路閘道器時,閘道器需要確定將其傳送到何處,這需要MAC位址。網路閘道器將保存一個查找表(稱為 ARP 快取),其中列出了所有已知的 IP/MAC 位址對應。
如果ARP快取中存在所需的映射,則閘道器可以將封包傳送到目的地。但是,如果 IP 位址是新的或已清除,則快取中可能不存在 (位址對應通常只會快取幾分鐘)。 在這些情況下,閘道器需要找出哪個MAC位址對應到該IP位址。
這就是 ARP 出現的地方。 閘道器將向 LAN 上的所有電腦廣播 ARP 請求,詢問其中哪台電腦正在使用該 IP 位址。具有該 IP 位址的電腦將傳回提供其 MAC 位址的 ARP 回應。 當閘道器收到此 ARP 回應時,它可以將封包傳送到其預定目的地。它還將在其 ARP 緩存中記錄 IP/MAC 位址映射,以便將來可以正確路由數據包。
ARP 將第 2 層 MAC 位址映射到第 3 層 IP 位址。 這對於路由網路流量至關重要。如果沒有 ARP,則需要手動建立和更新 IP/MAC 位址映射,這將大大降低網路的可用性。
核心 ARP 通訊協定會根據需要探索與 IP 位址關聯的 MAC 位址。 協議的其他一些變體包括:
ARP 是一種基於信任的網路協定。當閘道器發出 ARP 請求時,它會接受收到的第一個回應。然後,通往該 IP 位址的流量會路由到指定的 MAC 位址。
ARP 偽造或 ARP 中毒攻擊會濫用此信任。 在此攻擊中,攻擊者會傳送 ARP 回覆或免費 ARP 訊息,將其 MAC 位址映射到目標的 IP 位址。 這會導致預定受害者的資料被路由給攻擊者,這些資料可用於中間人攻擊 (MitM) 攻擊來竊取敏感資料,或者如果攻擊者只是刪除接收的封包,則可用於拒絕服務 (DoS) 攻擊。
ARP 是對網路路由至關重要的基礎網路協定。如果沒有它,閘道器必須手動設定以將 IP 位址對應到 MAC 位址,從而大大降低網路的可用性以及 DHCP 和類似協定的優勢。
Check Point 在網路安全和防火牆開發方面的豐富經驗使其對網路協定有深入的了解,並在其解決方案中使用這些協定。例如,Check Point 叢集和動態路由技術使用 ARP 來提供彈性網路安全性。此外, Check Point 的Quantum IoT 資安使用透過 ARP 取得的設備 MAC 位址作為設備整體網路指紋的一部分,然後透過雲端人工智能/ML 引擎對其進行豐富,以將 IoT 設備對應到零信任設定檔。
Check Point 次世代防火牆提供全面的網路保護並充分利用可用協定。要了解有關 NGFW 中需要尋找什麼的更多信息,請查看本購買指南。 然後,透過免費演示親自了解 Check Point NGFW 的功能。
反映意見