3.6.1.1 Giao thức ARP:
ARP là giao thức ánh xạ địa chỉ IP đến địa chỉ vật lý (MAC) được nhận diện. Khi một máy cần giao tiếp với máy khác, và nó tìm trong bảng ARP Cache của mình, nếu địa chỉ MAC không được tìm thấy trong bảng, giao thức ARP sẽ quảng bá gói ARP request ra toàn miền mạng. Tất cả các máy trong miền mạng sẽ so sánh
địa chỉ IP đến địa chỉ MAC của chúng. Nếu một trong những máy đó, xác định được đó chính là địa chỉ của mình, nó sẽ gửi gói ARP hồi đáp (gói ARP reply) và địa chỉ này sẽ được lưu trong bảng ARP Cache và quá trình giao tiếp diễn ra.
3.6.1.2 ARP Cache:
ARP cache có thể coi như một bảng có chứa một tập tương ứng giữa các địa chỉ MAC và địa chỉ IP. Mỗi một thiết bị trên một mạng nào đó đều có cache riêng. Có hai cách lưu giữ thông tin trong cache để phân giải địa chỉ diễn ra nhanh:
- ARP Cache tĩnh: Các cặp địa chỉ IP và địa chỉ MAC được thêm một cách thủ công vào bảng cache và được duy trì lâu dài.
- ARP Cache động: Các địa chỉ IP và địa chỉ MAC được giữ trong cache bởi phần mềm sau khi nhận được kết quả của việc hoàn thành quá trình phân giải trước đó. Các địa chỉ được giữ tạm thời và sau đó được gỡ bỏ.
3.6.1.3 Nguyên lý tấn công bằng cách giả mạo ARP Cache:
Việc giả mạo bảng ARP chính là lợi dụng tính không an toàn của giao thức ARP. Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu hình để chỉ chấp nhận các cập nhật động khá an toàn), các thiết bị sử dụng giao thức ARP sẽ chấp nhận cập nhận bất cứ lúc nào. Điều này có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tính khác và máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mới này. Việc gửi một gói ARP reply khi không có request nào được tạo ra được gọi là việc gửi ARP vu vơ. Khi các ARP reply vu vơ này đến được các máy tính đã gửi request, máy tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để truyền thông, tuy nhiên thực chất họ lại đang truyền thông với máy tính người tấn công.