Le protocole ARP (Address Resolution Protocol) est un protocole de communication sans état qui est utilisé au sein d’un réseau unique pour la résolution d’adresses. Lors de l’échange de demandes et de réponses, le protocole ARP n’assure pas l’authentification entre les hôtes.

L’usurpation ARP est un type d’attaque de l’homme du milieu (HDM) qui utilise le protocole ARP au sein d’un réseau local (LAN). Un agresseur perturbe la communication avec un hôte en interceptant les messages destinés à son adresse MAC.

L’inspecteur arp_spoof analyse les paquets ARP et détecte les demandes ARP monodiffusion. Pour détecter les attaques par usurpation ARP, l’inspecteur d’usurpation ARP identifie les mappages Ethernet-IP incohérents.

Si cette option est activée, l’inspecteur arp_spoof effectue les opérations suivantes :

• Il inspecte les adresses Ethernet et les adresses contenues dans les paquets ARP. En cas d’incohérence, l’inspecteur utilise la règle 112:2 ou 112:3 pour générer des alertes et, dans le cadre d’un déploiement en ligne, abandonner les paquets incriminés.

• Il recherche les demandes ARP monodiffusion. Si une demande ARP monodiffusion est détectée, l’inspecteur utilise la règle 112:1 pour générer des alertes et, dans le cadre d’un déploiement en ligne, supprimer les paquets incriminés.

• Si le paramètre hosts[] est spécifié, l’inspecteur utilise ces informations pour détecter les attaques par usurpation ARP. Si une attaque de ce type est détectée, l’inspecteur utilise la règle 112:4 pour générer des alertes et, dans le cadre d’un déploiement en ligne, abandonner les paquets incriminés.