IPv6 में NDP की जगह ARP क्यों लिया जाता है?

47

ARP को NDP (नेबर डिस्कवरी प्रोटोकॉल) द्वारा बदल दिया गया था। लेकिन मुझे इसका सही कारण नहीं पता।

  • क्या ARP में कोई सुरक्षा मुद्दे हैं?
  • ARP को NDP द्वारा क्यों प्रतिस्थापित किया जाता है?
  • एआरपी के फायदे क्या हैं?

क्या कोई इसे सरल शब्दों में समझा सकता है?

ipv6  arp  ndp 
Ganeshgm7
स्रोत

जवाबों:

64

क्या ARP में कोई सुरक्षा मुद्दे हैं?

हाँ। यहाँ कुछ हैं:

  • एआरपी स्पूफिंग।

    गलत एआरपी संदेश लैन पर भेजे जाते हैं, जिसके परिणामस्वरूप एक हमलावर के मैक पते को नेटवर्क पर एक वैध कंप्यूटर या सर्वर के आईपी पते के साथ जोड़ा जाता है।

    एआरपी स्पूफिंग / जहर पर अधिक जानकारी के लिए नीचे देखें।

  • मैक बाढ़।

    ट्रांसलेशन टेबल जो मैक पते को ट्रैक करता है, जिस पर भौतिक पोर्ट्स की सीमित मात्रा में मेमोरी होती है। यह अनुवाद तालिका को भरते हुए स्विच का उपयोग करने की अनुमति देता है। आदिम स्विच, न जाने कैसे अतिरिक्त डेटा को संभालना, 'फेल ओपन' होगा और सभी नेटवर्क फ़्रेम को सभी पोर्ट पर प्रसारित करेगा।

  • मैक डुप्लिकेटिंग।

    मैक डुप्लिकेटिंग अटैक में एक स्विच यह सोचकर भ्रमित हो जाता है कि दो पोर्ट का एक ही मैक एड्रेस है। चूंकि डेटा को दोनों बंदरगाहों पर भेजा जाएगा, इसलिए कोई आईपी अग्रेषण आवश्यक नहीं है।

टीसीपी / आईपी एड्रेस रिज़ॉल्यूशन प्रोटोकॉल (एआरपी) की स्रोत सुरक्षा

ARP को NDP द्वारा क्यों प्रतिस्थापित किया गया था?

यह IPv6 के लिए सुधार और अतिरिक्त सुविधाएँ प्रदान करता है।

एनडीपी और प्रोटोकॉल एड्रेस रिज़ॉल्यूशन प्रोटोकॉल [एआरपी], आईसीएमपी राउटर डिस्कवरी [आरडीआईएससी] और आईसीएमपी रीडायरेक्ट [आईसीएमपीवी 4] की तुलना के लिए नीचे देखें।

एनडीपी एआरपी स्पूफिंग / जहर के खिलाफ कैसे बचाव करता है?

यह सिक्योर नेबर डिस्कवरी (SEND) प्रोटोकॉल का उपयोग करता है। क्रिप्टोग्राफिक रूप से निर्मित पते यह सुनिश्चित करते हैं कि एनडीपी संदेश का दावा किया गया स्रोत दावा किए गए पते का मालिक है।

IPv6 नेबर डिस्कवरी प्रोटोकॉल (NDP) के कार्यों में से एक लिंक परत (उदाहरण के लिए, ईथरनेट) पतों के लिए नेटवर्क लेयर (IP) पतों को हल करना है, एड्रेस रेज़ॉलूशन प्रोटोकॉल (ARP) द्वारा IPv4 में किया गया फंक्शन। सुरक्षित पड़ोसी डिस्कवरी (SEND) प्रोटोकॉल एक हमलावर को रोकता है, जिसके पास प्रसारण खंड तक पहुंच है, जो एनडीपी या एआरपी को गाली देने से रोकता है, मेजबान को हमलावर ट्रैफिक भेजने के लिए किसी और को भेज देता है, एक तकनीक जिसे एआरपी विषाक्तता कहा जाता है।

एनडीपी कार्यों के खिलाफ एआरपी विषाक्तता और अन्य हमलों से बचाने के लिए, SEND को तैनात किया जाना चाहिए, जहां प्रसारण खंड तक पहुंच को रोकना संभव नहीं हो सकता है।

SFC, RFC 3972, Cryptographically Generated Addresses (CGA) में परिभाषित के रूप में, क्रिप्टोग्राफिक रूप से उत्पन्न पते का उत्पादन करने के लिए RSA प्रमुख जोड़े का उपयोग करता है। यह सुनिश्चित करता है कि एनडीपी संदेश का दावा किया गया स्रोत दावा किए गए पते का मालिक है।

स्रोत सुरक्षित आईपीवी 6 पड़ोसी डिस्कवरी को कॉन्फ़िगर करना

एआरपी स्पूफिंग कैसे काम करता है?

ARP स्पूफिंग को ARP Poison Routing (APR) या ARP Cache Poisoning भी कहा जाता है।

एआरपी स्पूफिंग एक प्रकार का हमला है जिसमें एक दुर्भावनापूर्ण अभिनेता एक स्थानीय क्षेत्र नेटवर्क पर गलत एआरपी (पता रिज़ॉल्यूशन प्रोटोकॉल) संदेश भेजता है। यह एक वैध कंप्यूटर या नेटवर्क पर सर्वर के आईपी पते के साथ एक हमलावर के मैक पते को जोड़ने का परिणाम है।

एक बार जब हमलावर का मैक पता एक प्रामाणिक आईपी पते से जुड़ा होता है, तो हमलावर को उस आईपी पते के लिए इच्छित कोई भी डेटा मिलना शुरू हो जाएगा।

एआरपी स्पूफिंग दुर्भावनापूर्ण पार्टियों को अंतर-पारगमन, संशोधित करने या यहां तक ​​कि डेटा को पारगमन में रोकने में सक्षम कर सकती है। ARP स्पूफिंग हमले केवल स्थानीय क्षेत्र नेटवर्क पर हो सकते हैं जो पता रिज़ॉल्यूशन प्रोटोकॉल का उपयोग करते हैं।

स्रोत वेराकोड एआरपी स्पूफिंग

एआरपी स्पूफिंग अटैक कैसे काम करता है?

एआरपी स्पूफिंग हमले के चरणों में आमतौर पर शामिल हैं:

  1. हमलावर एक ARP स्पूफिंग टूल को खोलता है और लक्ष्य के IP सबनेट से मिलान करने के लिए टूल का IP पता सेट करता है। लोकप्रिय एआरपी स्पूफिंग सॉफ्टवेयर के उदाहरणों में अर्पसोफ, कैन एंड एबेल, अरपिसन और एटरकैप शामिल हैं।

  2. हमलावर लक्ष्य के सबनेट में मेजबान के आईपी और मैक पते के लिए स्कैन करने के लिए एआरपी स्पूफिंग टूल का उपयोग करता है।

  3. हमलावर अपना लक्ष्य चुनता है और पूरे LAN में ARP पैकेट भेजना शुरू कर देता है जिसमें हमलावर का MAC पता और लक्ष्य का IP पता होता है।

  4. LAN कैश पर अन्य होस्ट के रूप में स्पूफ किए गए ARP पैकेट, डेटा जो कि होस्ट को पीड़ित को भेजते हैं, हमलावर के बजाय जाएंगे। यहां से, हमलावर डेटा चुरा सकता है या अधिक परिष्कृत अनुवर्ती हमले शुरू कर सकता है।

स्रोत वेराकोड एआरपी स्पूफिंग

हमलावर खोज से बचने के लिए वास्तविक डिफ़ॉल्ट गेटवे के लिए ट्रैफ़िक को अग्रेषित करते समय पैकेट (जासूसी) का निरीक्षण करने के लिए चुन सकता है, इसे अग्रेषित करने से पहले डेटा को संशोधित कर सकता है (मैन-इन-द-मिडिल अटैक), या एक इनकार-सेवा की शुरूआत नेटवर्क पर कुछ या सभी पैकेट गिराकर हमला।

स्रोत विकिपीडिया ARP स्पूफिंग

IPv4 के साथ [NDP] की तुलना

IPv6 नेबर डिस्कवरी प्रोटोकॉल IPv4 प्रोटोकॉल एड्रेस रिजॉल्यूशन प्रोटोकॉल [ARP], ICMP राउटर डिस्कवरी [RDISC] और ICMP रीडायरेक्ट [ICMPv4] के संयोजन से मेल खाता है।

IPv4 में आमतौर पर नेबर अनब्रेकेबिलिटी डिटेक्शन के लिए प्रोटोकॉल या मैकेनिज्म पर सहमति नहीं दी जाती है, हालांकि होस्ट्स आवश्यकताएँ दस्तावेज़ [HR-CL] डेड गेटवे डिटेक्शन के लिए कुछ संभावित एल्गोरिदम निर्दिष्ट करता है (समस्याओं का एक सबसेट पड़ोसी Nreachability Detection से निपटता है)।

नेबर डिस्कवरी प्रोटोकॉल IPv4 प्रोटोकॉल के सेट पर सुधार की एक भीड़ प्रदान करता है:

  • राउटर डिस्कवरी बेस प्रोटोकॉल सेट का हिस्सा है; रूटिंग प्रोटोकॉल को "स्नूप" करने के लिए मेजबानों की आवश्यकता नहीं है।

  • राउटर विज्ञापन लिंक-लेयर पते ले जाते हैं; राउटर के लिंक-लेयर एड्रेस को हल करने के लिए किसी अतिरिक्त पैकेट एक्सचेंज की आवश्यकता नहीं है।

  • राउटर विज्ञापन एक लिंक के लिए उपसर्ग ले जाते हैं; "नेटमास्क" को कॉन्फ़िगर करने के लिए एक अलग तंत्र की आवश्यकता नहीं है।

  • राउटर विज्ञापन एड्रेस ऑटोकॉन्फ़िगरेशन को सक्षम करते हैं।

  • राउटर लिंक पर उपयोग के लिए मेजबानों के लिए एक एमटीयू का विज्ञापन कर सकते हैं, यह सुनिश्चित करते हुए कि सभी नोड्स एक अच्छी तरह से परिभाषित एमटीयू की कमी वाले लिंक पर एक ही एमटीयू मूल्य का उपयोग करते हैं।

  • पता रिज़ॉल्यूशन मल्टीकास्ट 16 मिलियन (2 ^ 24) मल्टीकास्ट पते पर "फैला हुआ" है, लक्ष्य के अलावा नोड्स पर एड्रेस-रिज़ॉल्यूशन-संबंधित व्यवधान को बहुत कम करता है। इसके अलावा, गैर-आईपीवी 6 मशीनों को बाधित नहीं किया जाना चाहिए।

  • पुनर्निर्देशन में नए प्रथम हॉप का लिंक-लेयर एड्रेस होता है; रीडायरेक्ट प्राप्त करने पर अलग पते के समाधान की आवश्यकता नहीं होती है।

  • एक ही लिंक के साथ कई उपसर्ग जुड़े हो सकते हैं। डिफ़ॉल्ट रूप से, होस्ट राउटर विज्ञापन से सभी लिंक पर उपसर्ग सीखते हैं। हालाँकि, रूटर विज्ञापन से कुछ या सभी उपसर्गों को छोड़ने के लिए कॉन्फ़िगर किया जा सकता है। ऐसे मामलों में मेजबान मान लेते हैं कि गंतव्य बंद लिंक हैं और राउटर को ट्रैफ़िक भेजते हैं। एक राउटर फिर उपयुक्त के रूप में पुनर्निर्देश जारी कर सकता है।

  • IPv4 के विपरीत, एक IPv6 के प्राप्तकर्ता पुनर्निर्देशित करता है कि नया अगला-हॉप ऑन-लिंक है। IPv4 में, एक होस्ट एक अगले-हॉप को निर्दिष्ट करने वाले रीडायरेक्ट को अनदेखा करता है जो लिंक के नेटवर्क मास्क के अनुसार ऑन-लिंक नहीं होता है। IPv6 रीडायरेक्ट तंत्र [SH-MEDIA] में निर्दिष्ट XRedirect सुविधा के अनुरूप है। यह गैर-प्रसारण और साझा मीडिया लिंक पर उपयोगी होने की उम्मीद है, जिसमें नोड्स के लिए ऑन-लिंक गंतव्यों के लिए सभी उपसर्गों को जानना अवांछनीय या संभव नहीं है।

  • नेबर अनब्रेकेबिलिटी डिटेक्शन बेस का हिस्सा है, जो असफल राउटर, आंशिक रूप से विफल या विभाजन लिंक, या उनके लिंक-लेयर पते को बदलने वाले नोड्स की उपस्थिति में पैकेट वितरण की मजबूती में काफी सुधार करता है। उदाहरण के लिए, बासी एआरपी कैश के कारण मोबाइल नोड्स बिना किसी कनेक्टिविटी को खोए ऑफ-लिंक को स्थानांतरित कर सकते हैं।

  • एआरपी के विपरीत, पड़ोसी डिस्कवरी आधी-लिंक विफलताओं (नेबर अनब्रेकेबिलिटी डिटेक्शन का उपयोग करके) का पता लगाता है और पड़ोसियों को यातायात भेजने से बचता है जिसके साथ दो तरफा कनेक्टिविटी अनुपस्थित है।

  • IPv4 राउटर डिस्कवरी के विपरीत, राउटर विज्ञापन संदेशों में वरीयता क्षेत्र नहीं होता है। अलग-अलग "स्थिरता" के राउटर को संभालने के लिए वरीयता क्षेत्र की आवश्यकता नहीं है; नेबर अनब्रेकेबिलिटी डिटेक्शन मृत राउटर का पता लगाएगा और एक काम करने के लिए स्विच करेगा।

  • लिंक-स्थानीय पते का उपयोग विशिष्ट रूप से राउटर (राउटर विज्ञापन और रीडायरेक्ट संदेशों के लिए) की पहचान करने के लिए, नए वैश्विक उपसर्गों का उपयोग करने के लिए साइट के नवीनीकरण की स्थिति में राउटर संघों को बनाए रखने के लिए मेजबानों के लिए संभव बनाता है।

  • 255 के लिए हॉप सीमा निर्धारित करके, पड़ोसी डिस्कवरी ऑफ-लिंक प्रेषकों के लिए प्रतिरक्षा है जो गलती से या जानबूझकर एनडी संदेश भेजते हैं। IPv4 में, ऑफ-लिंक प्रेषक ICMP रीडायरेक्ट और राउटर विज्ञापन संदेश दोनों भेज सकते हैं।

  • ICMP लेयर पर एड्रेस रिजॉल्यूशन रखने से प्रोटोकॉल ARP से अधिक मीडिया-इंडिपेंडेंट हो जाता है और जेनेरिक IP-लेयर ऑथेंटिकेशन और सिक्योरिटी मैकेनिज्म को उचित रूप से इस्तेमाल करना संभव बनाता है।

स्रोत RFC 4861 IPv6 में पड़ोसी डिस्कवरी

आगे की पढाई

डेविडपोस्टिल
स्रोत
एनडीपी एगिस्ट विषाक्तता का बचाव कैसे करता है?
ग्रैविटी
@ अच्छाई का सवाल! यह सिक्योर नेबर डिस्कवरी (SEND) प्रोटोकॉल का उपयोग करता है। उत्तर अपडेट किया गया।
DavidPostill
2
हम्म, हालांकि भेजें कितने ऑपरेटिंग सिस्टम वास्तव में उपयोग
grawity
2
@DavidPostill नहीं, ARP / NDP की तुलना में IPsec एक अलग परत पर काम करता है। इसे अपनी सुरक्षा सुविधाओं को स्थापित करने के लिए एक कार्य संचार चैनल की आवश्यकता है।
स्काइ
4
@DavidPostill ग्रेट पोस्ट। हालाँकि, आपकी पोस्ट भ्रामक है, यह बताती है कि सीएनडीपी (ए) एनडीपी का एक अभिन्न अंग है और (बी) एक सामान्य समाधान है। यह मामला नहीं है - सीएनडी एक ऐड-ऑन है, और प्रयोगात्मक लोगों के अलावा कोई सीएनडी-कार्यान्वयन नहीं हैं। इसके अलावा, SeND की अपनी कमियां हैं और सेवा हमलों से इनकार करने की संभावनाएं खोलता है। अंत में, यह मान लेना उचित है कि SeND कभी बंद नहीं होगा (कम से कम अपने वर्तमान रूप में नहीं) और इस प्रकार इसे बहुत ज़ोर से प्रस्तावित नहीं किया जाना चाहिए।
काउंटरमोड
9

NDP में ARP से अधिक विशेषताएं हैं , जिनमें शामिल हैं:

  • एनडीपी के माध्यम से, नेटवर्क पर डिवाइस मैक / लिंक-लेयर एड्रेस (एआरपी के समान कार्य) निर्धारित कर सकते हैं।

  • एनडीपी का उपयोग करते हुए, नेटवर्क पर डिवाइस बाहरी नेटवर्क में किसी अन्य डिवाइस तक पहुंचने के लिए पथ का पता लगा सकते हैं, गंतव्य डिवाइस के लिए सबसे अच्छा राउटर का पता लगाते हैं।

  • NDP IPv6 पतों के ऑटो-कॉन्फ़िगरेशन को सक्षम करता है।

एआरपी के साथ तुलना करने पर, तंत्र अलग है:

ARP प्रसारण संदेशों का उपयोग करता है, जबकि NDP मल्टीकास्ट ICMPv6 संदेशों का उपयोग करता है।

डिवाइस एक मल्टीकास्ट संदेश भेजता है जिसे "नेबर सॉलिसिटेशन ICMP मैसेज" या NS कहा जाता है । गंतव्य डिवाइस "पड़ोसी विज्ञापन ICMP संदेश" या NA के साथ प्रतिक्रिया करता है ।

NS संदेश एक विशेष बहुस्त्र्पीय गंतव्य पते का उपयोग करता है जिसे एक सॉलिड नोड बहुस्त्र्पीय पता कहा जाता है जो सभी होस्ट को उनके IPv6 पतों के समान अंतिम 24 बिट्स का प्रतिनिधित्व करता है। प्रसारण के बजाय मल्टीकास्ट का उपयोग नेटवर्क पर अनावश्यक यातायात के प्रवाह को कम करता है।

jcbermu
स्रोत
5

एआरपी के बदले एनडीपी की शुरूआत ज्यादातर आईपी के आसपास नियंत्रण प्रोटोकॉल को मजबूत करने की इच्छा के कारण हुई थी। IPv4 को ICMP, IGMP और ARP / RARP जैसे कई नियंत्रण प्रोटोकॉल प्राप्त हैं। IPv6 NDP (ARP का उत्तराधिकारी) के साथ-साथ MLD (IGMP का उत्तराधिकारी) ICMPv6 के उप-प्रोटोकॉल के रूप में डिज़ाइन किया गया था, ताकि केवल एक नियंत्रण प्रोटोकॉल हो। इसके लिए कोई सुरक्षा कारण नहीं था, एनडी एआरपी के रूप में स्पूफिंग के लिए अतिसंवेदनशील है, और एनडी को सुरक्षा के लिए डिज़ाइन नहीं किया गया था।

आईपीवी 6 विकास के प्रारंभिक दिनों में IPsec रूप में देखा गयासामान्य सुरक्षा उपाय और इस प्रकार यह अनिवार्य था। यह आवश्यकता, हालांकि, एक सिफारिश (RFC 6434) के लिए डाउनग्रेड कर दी गई है, मेरा मानना ​​है कि ज्यादातर एम्बेडेड उपकरणों और IoT के कारण है, जो केवल सार्वजनिक-कुंजी गणनाओं को पूरा करने में सक्षम नहीं हैं, और वे सभी प्रकार के पीकेआई मुद्दों पर यात्रा करेंगे। , वैसे भी) और एनडी हासिल करने के लिए अच्छी तरह से (विनम्रता से बात करना) काम नहीं करता है। सीएनडी को एनडी पर सुरक्षा से निपटने के लिए पेश किया गया था, लेकिन पूर्वव्यापी सुरक्षा के सॉफ्टवेयर डिजाइन में लगभग सभी पिछले प्रयासों के अनुसार, परिणाम, इष्टतम से कम था। चूँकि अभी भी SeND के कुछ कार्यान्वयन नहीं हैं, कुछ प्रायोगिक लोगों को बचाते हैं, सभी व्यावहारिक उद्देश्यों के लिए SeND अस्तित्वहीन है। इसके अलावा, यह विश्वास करने का कारण है कि SeND - कम से कम अपने वर्तमान रूप में - कभी नहीं उठाएगा।

इसके विपरीत, SAVI अधिक आशाजनक दिखती है, लेकिन स्विचिंग अवसंरचना में बदलाव की आवश्यकता होती है और SAVI- सक्षम उपकरण बहुत कम कीमत के नहीं होते हैं, इस प्रकार यह भी जल्दी से आगे बढ़ने वाला नहीं है। SAVI इस आधार पर काम करता है कि एक साइट के भीतर "ज्ञात" होना चाहिए जो HW पते (यानी मैक पते) और आईपी पते के बीच मैपिंग वैध हैं और इस प्रकार नकली एनडीपी संदेशों को पहचानना और निकालना संभव होना चाहिए।

सबसे अच्छे व्यंजनों में सबसे सरल हैं, लेकिन अक्सर अनदेखी की जाती है: एआरपी- और एनडी-स्पूफिंग के लिए बड़े लैन को छोटे लेन में तोड़ दें, केवल उसी लैन में लक्ष्य के लिए काम करते हैं। इसलिए, बस अविश्वसनीय उपकरणों को अपने स्वयं के लैन सेगमेंट (एस) में (कोई फ़ायरवॉल / फ़िल्टरिंग नियम आवश्यक नहीं) रखने से हमले की सतह बहुत कम हो जाएगी।

countermode
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.