seventyfour - stock.adobe.com

Administration réseau : comment utiliser ARP ?

Le protocole ARP permet de savoir quelle adresse matérielle MAC se cache derrière une adresse IP logique. L’administrateur peut s’en servir pour vérifier que des machines n’essaient pas d’usurper leur identité sur le réseau.

ARP est un protocole essentiel qui peut aider les administrateurs réseau dans leur processus de dépannage et leur permettre de mieux comprendre l’identité des appareils connectés. Ce protocole fait correspondre les adresses IP, attribuées de manière logicielle, aux adresses MAC, lesquelles relèvent plus du numéro de série matériel.

On notera que la plupart des transmissions réseau basées sur IPv4 commencent lorsque l’ordinateur source acquiert les adresses IP et MAC de l’ordinateur de destination. ARP est donc ici un outil essentiel. En revanche, les communications réseau en IPv6 n’utilisent pas ARP, car il y pose le risque d’introduire des vulnérabilités sur le réseau. Au lieu de cela, les nœuds IPv6 utilisent la découverte des voisins.

Lorsque des appareils communiquent sur un réseau, la carte Ethernet de l’appareil émetteur décompose les données en trames. Les trames comprennent deux adresses MAC, une pour la source et l’autre pour le prochain appareil qui va recevoir le transfert de données. L’adresse MAC source est l’identifiant unique de la carte réseau de l’appareil qui a envoyé le paquet. Les transmissions de données comprennent également les adresses IP des appareils source et destination. L’appareil source connaît ses propres adresses MAC et IP, mais doit découvrir les adresses de destination.

Le protocole de résolution d’adresses (ARP) fournit ces informations, car il établit une correspondance entre les adresses MAC physiques et les adresses IP logiques.

À noter qu’il existe également le protocole RARP, moins répandu, qui accomplit l’inverse et permet aux appareils réseau d’associer des adresses MAC à des adresses IP. Plus exactement, le protocole ARP inversé (RARP) permet aux nœuds du réseau qui n’ont pas d’adresse IP d’en demander une. Ce protocole a initialement été développé pour permettre aux systèmes sans disque et sans stockage permanent d’acquérir des adresses IP.

Contrairement au protocole ARP, le protocole RARP a pratiquement disparu des réseaux modernes. Le protocole DHCP (configuration dynamique des hôtes), qui attribue des adresses IP aux périphériques et aux nœuds du réseau, a remplacé la plupart des fonctionnalités de RARP dans les réseaux modernes. Le DHCP offre une plus grande flexibilité, une plus grande facilité d’utilisation et une configuration automatique.

ARP dans le détail

L’ARP permet aux systèmes de relier les adresses MAC physiques aux adresses IP logiques. Lorsque les adresses MAC et les adresses IP sont en corrélation, les nœuds du réseau peuvent acheminer efficacement les données vers leur destination.

Capture d'écran montrant les informations relatives à l'identité de l'hôte, notamment les adresses MAC et les adresses IP.
Les informations relatives à l'identité de l'hôte comprennent l'adresse MAC et l'adresse IP.

Lorsqu’un appareil est prêt à envoyer des données à un autre, il utilise le DNS pour traduire le nom d’hôte de la destination en une adresse IP. Il utilise ensuite ARP pour trouver l’adresse MAC associée à cette adresse IP. La trame de données contient les deux adresses.

ARP diffuse une requête sur le segment local pour poser une question telle que : « Qui possède cette adresse IP ? » Le système dont l’adresse IP correspond répond avec son adresse MAC. Le périphérique source met automatiquement en cache les cartes d’adresses MAC et IP en vue d’une utilisation ultérieure.

Comment utiliser les commandes ARP ?

La commande arp permet aux administrateurs réseau d’afficher et de gérer le cache ARP de leur système. Cette commande contient plusieurs options, en fonction des besoins des administrateurs réseau. Les administrateurs réseau utilisent souvent la commande ARP pour afficher les correspondances entre les adresses MAC et les adresses IP mises en cache. Ils peuvent également ajouter et supprimer des correspondances manuellement.

Les commandes ARP sont les suivantes :

arp -a :  affiche le cache ARP.

arp -s {ip} {mac} :  configure une correspondance (mappage) statique.

arp -d {ip} : supprime une correspondance (mappage) statique.

Capture d'écran montrant l'utilisation de la commande arp-a pour afficher le cache ARP.
Affichez le cache ARP actuel à l'aide de la commande arp -a.

Bien que les administrateurs réseau puissent établir une correspondance statique entre les adresses IP et MAC, cela n’est généralement pas nécessaire, à moins qu’ils n’aient besoin de modifier des entrées.

La commande arp est utile pour le dépannage du réseau, en particulier si de nombreuses adresses IP sur le segment ont changé récemment. Dans ce cas, les administrateurs réseau peuvent craindre que le système local conserve dans son cache une correspondance MAC/adresse IP obsolète, ce qui pourrait envoyer des données au mauvais système de destination.

Les administrateurs réseau peuvent supprimer des correspondances spécifiques du cache, mais il est généralement plus facile de les effacer. Les requêtes ARP ne surchargent pas les réseaux modernes, il n’est donc pas nécessaire d’obliger les clients à remettre en cache de nombreuses adresses MAC.

Capture d'écran montrant la suppression et la reconstitution du cache ARP.
Le cache ARP, la commande pour l'effacer et le cache repeuplé

Comment combiner les commandes ARP avec d’autres outils ?

Les sniffeurs de paquets, comme Wireshark et tcpdump, sont utiles pour trouver ou visualiser les adresses MAC. Ces outils interceptent et affichent le trafic réseau, et ils sont surtout connus pour leur capacité à montrer les données utilisateur qui sont transférées sur un réseau.

Wireshark et tcpdump peuvent également afficher les informations d’en-tête de la trame de données, qui comprennent les adresses MAC et IP de la source et de la destination. Les administrateurs de réseau utilisent ces informations pour identifier les nœuds mal configurés ou usurpés.

L’usurpation d’une adresse MAC peut être légitime ou malveillante. L’usurpation d’une adresse dissimule l’adresse MAC réelle d’une carte réseau au profit d’une fausse adresse. Cela permet de dissimuler ses activités, mais aussi de rediriger le trafic réseau vers un nœud non autorisé. Lorsque les administrateurs réseau combinent des outils tels que Wireshark avec ARP, ils peuvent détecter et supprimer les périphériques usurpés si nécessaire.

Le scanner de réseau Nmap n’affiche pas d’informations sur les adresses MAC avec les scans standards. Cependant, il peut être utile d’identifier des nœuds sur le réseau avec Nmap et d’utiliser les commandes ARP pour les relier aux résultats.

Pour approfondir sur Administration de réseaux