네트워크: ARP

네트워크의 계층에서 2 계층은 MAC 주소를 사용하고, 3 계층은 IP 주소를 사용한다. 따라서 각 계층에서는 사전에 정의된 규격 (MAC, IP)를 사용하여 통신이 가능하다. 만약, 2-3 계층으로 통신이 필요다면 ARP, RARP를 통해 각 계층에서 사용하는 주소를 변환하여야 한다. 이에 ARP에 대해 알아보고, 실제 주고받는 패킷을 분석해보고자 한다.

 

ARP?

ARP는 `Address Resolution Protocol`의 약자로, 말 그대로 주소 결정 프로토콜이다. ARP를 이해하기 위해서는 4가지의 용어(Term)에 대해 이해하면 보다 쉽게 이해할 수 있다.

• Cache
  • ARP를 통해 MAC 주소를 확인 후, ARP Table에 정보를 유지하는 것
• Cache Timeout
  • ARP Table에 Cache 유지 시간을 의미함
• Request
  • Broadcast를 통해, Target의 MAC 주소를 요청함
• Reply
  
  • Broadcast를 받은 호스트 중, Target에 해당하는 경우 Reply를 보냄
  • 나머지 호스트들은 무시함

 

How ARP works?

 첫 번째는 앞서 `용어`에서 언급한 것 처럼, `Request`, `Reply`를 통해 MAC 주소를 알아내는 것이다. 두 번째는 `Table lookup`으로 테이블의 캐시를 확인하는 것이다.

 

Type of ARP

• Proxy ARP
  • 호스트가 ARP Request를 보내면, 라우터의 MAC 주소를 알려준다.
  • 해당 기능을 통해, 동일한 네트워크라면 라우팅 처리가 필요 없다.
  • ARP 트래픽 증가와 Host의 IP-to-MAC 주소를 매핑하기 위한 테이블의 크기가 커진다.
• Inverse ARP
  • Frame Relay에서 사용된다.
    • Frame Relay는 하나의 인터페이스에 다수의 장비가 접속하는 경우를 말한다.
    • 예를 들면 ISP(인터넷 서비스 공급자)에서 사용된다.
  • IP주소를 통해 MAC주소를 요청하는 것이 아닌 DLCI(Data Link Connection Identifier)를 요청한다.
• Gratuitous ARP
  • 이름과 같이, 일반적으로 사용하는 것이 아닌 자신의 IP를 Target으로 하여 사용한다.
  • 자신의 IP를 Target으로 하는 이유는 다음과 같은 이유 때문이다.
    • IP 주소 충돌 감지
    • ARP Table Refresh

 

ARP Packet Analysis

arp table refresh test

 분석 방법은 `Ubuntu 16.04 - desktop (Virtual box)`에서 다음과 같이 진행하였다.

• apr -d <host name>을 통해 ARP Table cache 삭제
• arp -a를 통해 ARP Table 확인
• 초기화된 상태에서, wireshark를 통해 packet 캡처

 

Set ENV

$ sudo apt install wireshark
$ sudo usermode -a -G wireshark <USER_NAME>

 

Yes를 선택하여야, packet 캡쳐가 가능하다.

 

Capture packet

 `arp -d <HOST NAME>`을 통해, ARP Table을 초기화한 상태에서 ping을 보내게 되면, wireshark에 ARP Packet이 캡쳐된다. 캡쳐된 패킷을 직접 분석할 수 있다. 또한 친절한 wireshark는 어떤 값을 주고 받았는지 친절히 알려준다.

 

ARP Request

 첫 번째 줄부터 빨간 네모 박스의 메시지 값을 분석하면 다음과 같다.

• `08 06` : 0x0806는 ARP 프로토콜을 의미한다.
• `00 01` : Hardware type을 의미하며, 00 01은 Ethernet을 의미한다.
• `06` : Hardware size
• `04` : Protocol size
• `00 01` : Opcode이다. 0x01은 Request, 0x02는 Reply를 의미한다. 0x03, 0x04는 RARP의 Request, Reply를 의미한다.
• `08 00 27 d0 d7 8b` : Sender의 MAC 주소이다.
• `c0 a8 00 0c` : Sender의 IP 주소이다.
• `00 00 00 00 00 00` : Target의 MAC 주소이다. 아직 값을 알 수 없으므로 빈 값이다.
• `c0 a8 00 01` : Target의 IP 주소이다.

wireshark의 화면 일부

 wireshark는 이러한 패킷의 내용을 위와 같이 알기 쉽도록 표기해준다. 위의 Request 패킷 메시지를 분석한 것과 동일하다는 것을 알 수 있다.