คำสั่ง ARP คืออะไร? เครื่องมือจัดการเครือข่ายที่ผู้ดูแลระบบต้องรู้
เมื่อคอมพิวเตอร์ส่งข้อมูลไปยังอุปกรณ์อื่นในเครือข่ายเดียวกัน สิ่งที่ต้องรู้ไม่ใช่แค่ IP Address แต่ยังต้องรู้ MAC Address ของอุปกรณ์ปลายทางด้วย ARP (Address Resolution Protocol) คือโปรโตคอลที่ทำหน้าที่แปลง IP Address ให้เป็น MAC Address และคำสั่ง ARP คือเครื่องมือที่ผู้ดูแลระบบใช้ตรวจสอบและจัดการตาราง ARP บนเครื่องคอมพิวเตอร์หรือเซิร์ฟเวอร์
ทำไม ARP ถึงสำคัญต่อระบบเครือข่าย
ในเครือข่าย LAN อุปกรณ์แต่ละตัวมีทั้ง IP Address (Network Layer) และ MAC Address (Data Link Layer) เมื่อคอมพิวเตอร์ต้องการส่งข้อมูล มันรู้เพียง IP ปลายทาง แต่ไม่รู้ MAC Address ซึ่งจำเป็นสำหรับการส่งข้อมูลผ่าน Ethernet
ARP ทำหน้าที่เชื่อมช่องว่างนี้ โดยส่ง ARP Request (Broadcast) ออกไปในเครือข่ายเพื่อถามว่า IP นี้เป็นของใคร อุปกรณ์ที่ตรงกันจะตอบกลับด้วย MAC Address ของตน จากนั้นข้อมูลนี้จะถูกบันทึกในตาราง ARP เพื่อใช้ครั้งต่อไปโดยไม่ต้องถามซ้ำ
คำสั่ง ARP ที่ใช้บ่อยในงานจริง
arp -a แสดงตาราง ARP ทั้งหมด
คำสั่งพื้นฐานที่แสดงรายการ IP Address พร้อม MAC Address ของอุปกรณ์ที่เครื่องเคยสื่อสารด้วย
บน Windows เปิด Command Prompt แล้วพิมพ์:
arp -a
ตัวอย่างผลลัพธ์:
Interface: 192.168.1.100 --- 0x4
Internet Address Physical Address Type
192.168.1.1 aa-bb-cc-dd-ee-01 dynamic
192.168.1.50 aa-bb-cc-dd-ee-02 dynamic
192.168.1.255 ff-ff-ff-ff-ff-ff static
บน Linux ใช้คำสั่งเดียวกัน:
arp -a
ตัวอย่างผลลัพธ์:
gateway (192.168.1.1) at aa:bb:cc:dd:ee:01 [ether] on eth0
server (192.168.1.50) at aa:bb:cc:dd:ee:02 [ether] on eth0
arp -d ลบ Entry จากตาราง ARP
ใช้ลบ Entry ที่ไม่ถูกต้องออกจากตาราง เช่น เมื่ออุปกรณ์เปลี่ยน NIC หรือเปลี่ยน IP
บน Windows (ต้องรันด้วยสิทธิ์ Administrator):
arp -d 192.168.1.50
ลบทุก Entry ทั้งหมด:
arp -d *
บน Linux (ต้องใช้ sudo):
sudo arp -d 192.168.1.50
arp -s เพิ่ม Static ARP Entry
เพิ่มการจับคู่ IP กับ MAC แบบถาวร เพื่อป้องกัน ARP Spoofing สำหรับอุปกรณ์สำคัญ เช่น Gateway
บน Windows:
arp -s 192.168.1.1 aa-bb-cc-dd-ee-01
บน Linux:
sudo arp -s 192.168.1.1 aa:bb:cc:dd:ee:01
ARP บน Linux สมัยใหม่ด้วย ip neigh
บน Linux รุ่นใหม่แนะนำให้ใช้ ip neigh แทนคำสั่ง arp เพราะเป็นส่วนหนึ่งของชุดเครื่องมือ iproute2 ที่ทันสมัยกว่า
แสดงตาราง ARP ทั้งหมด:
ip neigh show
ตัวอย่างผลลัพธ์:
192.168.1.1 dev eth0 lladdr aa:bb:cc:dd:ee:01 REACHABLE
192.168.1.50 dev eth0 lladdr aa:bb:cc:dd:ee:02 STALE
ลบ Entry เฉพาะ:
sudo ip neigh del 192.168.1.50 dev eth0
ล้างตาราง ARP ทั้งหมด:
sudo ip neigh flush all
เพิ่ม Static Entry:
sudo ip neigh add 192.168.1.1 lladdr aa:bb:cc:dd:ee:01 dev eth0
ARP กับการดูแลเซิร์ฟเวอร์ในงานจริง
สำหรับผู้ดูแลเซิร์ฟเวอร์ ความเข้าใจ ARP เป็นสิ่งจำเป็น โดยเฉพาะเมื่อจัดการ VPS หรือ Dedicated Server ที่มีหลาย Network Interface ปัญหาที่พบบ่อยคือ ARP Conflict เมื่ออุปกรณ์สองตัวใช้ IP ซ้ำกัน ทำให้ตาราง ARP ขัดแย้ง
เมื่อตั้งค่าเซิร์ฟเวอร์ใหม่ในบริการ Hosting หรือ Colocation การตรวจสอบตาราง ARP เป็นขั้นตอนแรกที่ควรทำเพื่อยืนยันว่าเซิร์ฟเวอร์สื่อสารกับ Gateway ได้อย่างถูกต้อง
ARP Spoofing ภัยร้ายที่ต้องระวัง
ARP Spoofing คือการโจมตีที่ผู้ไม่ประสงค์ดีส่ง ARP Reply ปลอมเข้าเครือข่าย หลอกให้อุปกรณ์อื่นส่งข้อมูลมาที่ตนเองแทนปลายทางจริง
ป้องกันได้หลายวิธี ทั้ง Static ARP Entry สำหรับอุปกรณ์สำคัญ Dynamic ARP Inspection (DAI) บนสวิตช์ และระบบรักษาความปลอดภัยเพิ่มเติมอย่าง IDS/IPS
บน Windows สามารถตรวจสอบ ARP ผิดปกติด้วย PowerShell:
Get-NetNeighbor | Where-Object { $_.State -eq "Reachable" }
คำถามที่พบบ่อย
ARP กับ DNS ต่างกันอย่างไร?
ARP แปลง IP Address เป็น MAC Address สำหรับการสื่อสารในเครือข่าย LAN เดียวกัน ส่วน DNS แปลงชื่อโดเมนเป็น IP Address สำหรับการสื่อสารบนอินเทอร์เน็ต ทั้งสองทำหน้าที่ต่างกันแต่เสริมกัน
ตาราง ARP หมดอายุหรือไม่?
ใช่ Dynamic ARP Entry มีอายุจำกัด โดยทั่วไป 2-20 นาทีขึ้นอยู่กับระบบปฏิบัติการ เมื่อหมดอายุ ระบบจะส่ง ARP Request ใหม่เพื่ออัปเดตข้อมูล
ARP Spoofing ป้องกันได้อย่างไร?
ป้องกันได้ด้วย Static ARP Entry สำหรับ Gateway, เปิด Dynamic ARP Inspection บนสวิตช์, ใช้ 802.1X Authentication และติดตั้ง IDS/IPS เพื่อตรวจจับ ARP ที่ผิดปกติ
ต้องการเซิร์ฟเวอร์ที่เครือข่ายเสถียรและปลอดภัย? DriteStudio มีบริการ VPS, Dedicated Server และระบบรักษาความปลอดภัยที่ครบวงจร ปรึกษาเราวันนี้