はじめに

ARP の仕様についてメモ。

ARPとは

IPv4で使われる仕様。L2レイヤーにおいて、つまり同一リンクにおいて、送信したい先のIPアドレスから、MACアドレスを引くための仕組み。

流れ

1.L2のブロードキャストアドレスを指定してそのL2の隣接しているマシンへパケットを送付すると、リンク上の全てにリクエストが伝播する。 これを利用して、ARPリクエストをリンク上の全てのデバイスへ送ることができる。 つまり、L2ブロードキャストアドレス(基本的に、どの環境でもff:ff:ff:ff:ff:ff)を宛先にして、ARPリクエストを自分のNICから送信する。 ARPリクエストは、L2ヘッダとARPリクエストの本体からなる(L3ヘッダはない)。

L2ヘッダfromには、送信元のマシンのMACアドレス、L2ヘッダtoにはブロードキャストアドレス、ARPリクエスト本体にはクエリ内容(つまり、MACアドレスを知りたいIPアドレス)を記載する。

2.arpリクエストを受け取ったマシンは、arpリクエストに書かれたクエリのIPアドレスと自身のIPアドレスが一致している場合、自身のMACアドレスをARPレスポンスとして返す。 (ここで、自身のIPアドレスと異なるIPアドレスなのに、自身がMACアドレスを返すことを、ARPスプーフィングという。)

ARPレスポンスは、L2ヘッダとARPレスポンスの本体からなる。 L2ヘッダsourceのMACアドレスにはARPレスポンスを返しているMACアドレス、L2ヘッダのdestinationには、クエリの発行元のMACアドレス、ARPレスポンスの本体にはARPレスポンスを返したMACアドレス(つまり、クエリの結果)を書く。

一方、IPv6で使われる技術

ARPに代わり、Neighbor Discovery Protocolが使われる。 Neighbor Solicitation (NS)が使われるみたい。

送信元のIPv6アドレスから宛先のIPv6アドレスに対するMACアドレスを知りたいときに送る。

宛先のリンクローカルマルチキャスト (ff02::1:ffxx:xxxx) を使う

Neighbor Advertisement (NA)

宛先のIPv6アドレスを持つデバイスが応答し、自分のMACアドレスを通知。

arp コマンド チートシート

ARP テーブルの表示

現在の ARP テーブルを表示する。

arp -a

特定のインターフェースの ARP テーブルを表示する。

arp -i <INTERFACE>

ARP エントリの追加

特定の IP アドレスと MAC アドレスの関連付けを手動で追加する。

arp -s <IP_ADDRESS> <MAC_ADDRESS>

インターフェースを指定して ARP エントリを追加する。

arp -s <IP_ADDRESS> <MAC_ADDRESS> -i <INTERFACE>

ARP エントリの削除

指定した IP アドレスの ARP エントリを削除する。

arp -d <IP_ADDRESS>

特定のインターフェースの ARP エントリを削除する。

arp -d <IP_ADDRESS> -i <INTERFACE>

よく使うオプション

説明 オプション
ARP テーブルを表示 -a
特定のインターフェースの ARP を表示 -i <INTERFACE>
ARP エントリを追加 -s <IP_ADDRESS> <MAC_ADDRESS>
指定インターフェースでエントリ追加 -s <IP_ADDRESS> <MAC_ADDRESS> -i <INTERFACE>
ARP エントリを削除 -d <IP_ADDRESS>
指定インターフェースでエントリ削除 -d <IP_ADDRESS> -i <INTERFACE>

参考リンク

man arpより引用

ARP(8)                                                  Linux System Administrator's Manual                                                 ARP(8)

NAME
       arp - manipulate the system ARP cache

SYNOPSIS
       arp [-vn] [-H type] [-i if] [-ae] [hostname]

       arp [-v] [-i if] -d hostname [pub]

       arp [-v] [-H type] [-i if] -s hostname hw_addr [temp]

       arp [-v] [-H type] [-i if] -s hostname hw_addr [netmask nm] pub

       arp [-v] [-H type] [-i if] -Ds hostname ifname [netmask nm] pub

       arp [-vnD] [-H type] [-i if] -f [filename]

DESCRIPTION
       Arp  manipulates  or displays the kernel's IPv4 network neighbour cache. It can add entries to the table, delete one or display the current
       content.

       ARP stands for Address Resolution Protocol, which is used to find the media access control address of a network neighbour for a given  IPv4
       Address.

MODES
       arp  with no mode specifier will print the current content of the table. It is possible to limit the number of entries printed, by specify‐
       ing an hardware address type, interface name or host address.

       arp -d address will delete a ARP table entry. Root or netadmin privilege is required to do this. The entry is found by  IP  address.  If  a
       hostname is given, it will be resolved before looking up the entry in the ARP table.

       arp -s address hw_addr is used to set up a new table entry. The format of the hw_addr parameter is dependent on the hardware class, but for
       most  classes one can assume that the usual presentation can be used.  For the Ethernet class, this is 6 bytes in hexadecimal, separated by
       colons. When adding proxy arp entries (that is those with the publish flag set) a netmask may be specified to proxy arp for entire subnets.
       This is not good practice, but is supported by older kernels because it can be useful. If the temp flag is not  supplied  entries  will  be
       permanent stored into the ARP cache. To simplify setting up entries for one of your own network interfaces, you can use the arp -Ds address
       ifname form. In that case the hardware address is taken from the interface with the specified name.

OPTIONS
       -v, --verbose
              Tell the user what is going on by being verbose.

       -n, --numeric
              shows numerical addresses instead of trying to determine symbolic host, port or user names.

       -H type, --hw-type type, -t type
              When  setting  or  reading the ARP cache, this optional parameter tells arp which class of entries it should check for.  The default
              value of this parameter is ether (i.e. hardware code 0x01 for IEEE 802.3 10Mbps Ethernet).  Other values might include network tech‐
              nologies such as ARCnet (arcnet) , PROnet (pronet) , AX.25 (ax25) and NET/ROM (netrom).

       -a     Use alternate BSD style output format (with no fixed columns).

       -e     Use default Linux style output format (with fixed columns).

       -D, --use-device
              Instead of a hw_addr, the given argument is the name of an interface.  arp will use the MAC address of that interface for the  table
              entry. This is usually the best option to set up a proxy ARP entry to yourself.

       -i If, --device If
              Select an interface. When dumping the ARP cache only entries matching the specified interface will be printed. When setting a perma‐
              nent  or temp ARP entry this interface will be associated with the entry; if this option is not used, the kernel will guess based on
              the routing table. For pub entries the specified interface is the interface on which ARP requests will be answered.
              NOTE: This has to be different from the interface to which the IP datagrams will be routed.  NOTE: As  of  kernel  2.2.0  it  is  no
              longer  possible to set an ARP entry for an entire subnet. Linux instead does automagic proxy arp when a route exists and it is for‐
              warding. See arp(7) for details. Also the dontpub option which is available for delete and set operations cannot be  used  with  2.4
              and newer kernels.

       -f filename, --file filename
              Similar to the -s option, only this time the address info is taken from file filename.  This can be used if ARP entries for a lot of
              hosts have to be set up.  The name of the data file is very often /etc/ethers, but this is not official. If no filename is specified
              /etc/ethers is used as default.

              The format of the file is simple; it only contains ASCII text lines with a hostname, and a hardware address separated by whitespace.
              Additionally the pub, temp and netmask flags can be used.

       In all places where a hostname is expected, one can also enter an IP address in dotted-decimal notation.

       As a special case for compatibility the order of the hostname and the hardware address can be exchanged.

       Each  complete  entry in the ARP cache will be marked with the C flag. Permanent entries are marked with M and published entries have the P
       flag.

EXAMPLES
       /usr/sbin/arp -i eth0 -Ds 10.0.0.2 eth1 pub

       This will answer ARP requests for 10.0.0.2 on eth0 with the MAC address for eth1.

       /usr/sbin/arp -i eth1 -d 10.0.0.1

       Delete the ARP table entry for 10.0.0.1 on interface eth1. This will match published proxy ARP entries and permanent entries.

FILES
       /proc/net/arp
       /etc/networks
       /etc/hosts
       /etc/ethers

SEE ALSO
       ethers(5), rarp(8), route(8), ifconfig(8), netstat(8)

AUTHORS
       Fred N. van Kempen <[email protected]>, Bernd Eckenfels <[email protected]>.

net-tools                                                           2008-10-03                                                              ARP(8)