User Guide
Protezione
Esame di ARP
Guida all'amministrazione degli switch gestiti stackable Cisco Small Business serie 500 434
22
Contaminazione della cache ARP
Gli host A, B e C sono collegati allo switch sulle interfacce A, B e C e si trovano tutte sulla stessa sottorete. I
loro indirizzi MAC e IP vengono indicati tra parentesi, ad esempio l'host A utilizza l'indirizzo IP IA e l'indirizzo
MAC MA. Quando l'host A deve comunicare con l'host B al livello IP, trasmette una richiesta ARP per
l'indirizzo MAC associato con l'indirizzo IP IB. L'host B risponde con una risposta ARP. Lo switch e l'host A
aggiornano la propria cache ARP con il MAC e l'IP dell'host B.
L'host C può contaminare le cache ARP dello switch, dell'host A e dell'host B tramite la trasmissione di
risposte ARP contraffatte con binding per un host con un indirizzo IP di IA (o IB) e un indirizzo MAC di MC. Gli
host con cache ARP contaminate utilizzano l'indirizzo MAC MC come indirizzo MAC di destinazione per il
traffico destinato a IA o IB, permettendo all'host C di intercettare quel traffico. Dato che l'host C conosce il
vero indirizzo MAC associato a IA e IB, è in grado di inoltrare agli host il traffico intercettato, utilizzando
come destinatario l'indirizzo MAC corretto. L'host C si inserisce nel flusso del traffico che dall'host A arriva
all'host B, attuando il tradizionale attacco "man in the middle".
Modalità con cui ARP evita la contaminazione delle cache
La funzione Esame di ARP viene applicata alle interfacce attendibili o non attendibili (vedere la pagina
Protezione > Esame di ARP >Impostazione interfaccia).
Le interfacce vengono classificate dall'utente come descritto di seguito:
• Attendibile: i pacchetti non vengono controllati.
• Non attendibile: i pacchetti vengono controllati secondo la modalità descritta sopra.
L'esame di ARP viene eseguito solo sulle interfacce non attendibili. I pacchetti ARP ricevuti su interfacce
attendibili vengono semplicemente inoltrati.