Protocolo ARPAddress Resolution ProtocolProtocolo de Resolución de Direcciones
ARP ¿Por qué?• La MAC es una dirección de la capa de enlace de
datos que depende del hardware que se utilice. También se conoce como dirección Ethernet o dirección de control de acceso al medio (MAC).
• La dirección IP trabaja en la capa de red y no entiende nada acerca de MACs que manejan nodos induviduales dentro de la red.
• Se necesita un protocolo estándar que los relacione para que un datagrama pueda llegar a su destino. El protocolo ARP recogido en la RFC826.
ARP El mensaje• Tipo de HW: Identifica el
tipo de hardware que se utiliza: Ethernet, ATM, HDLC, ...
• Tipo de Protocolo: IPv4• Tamaño de dirección HW:
para Ethernet (MAC) son 6 bytes.
• Tamaño de dirección de protocolo: Para la IPv4 son 4 bytes.
• Operación ARP: Petición o respuesta.
Tipo de HW
Tipo de Protocolo
Tamaño de dirección HW
Operación ARP
Tamaño de dirección protocolo
Dirección HW origen
Dirección protocolo origen
Dirección HW destino
Dirección protocolo destino
ARP El mensaje• Utilizando Wireshark
ARP ¿Cómo funciona?• Tenemos un host A que quiere mandar un
datagrama a la dirección IP pero si no conoce la dirección Ethernet que tiene, por lo que mandará una petición ARP en difusión y el que tiene la IP de petición procederá a almacenar el par de direcciones del solicitante y después contestará.
• Al llegar al origen el par que se solicitaba se almacenará.
• El almacenamiento de los pares de direcciones se realizan en una tabla local que cada host tiene que se llama caché ARP.
Caché ARP• Debido a que la red debe de estar continuamente
comunicandose para la resolución de direcciones ésta puede convertirse en un problema debido al consumo de recursos en la red.
• Debido a que la petición es en difusión todos los host deben de gastar un tiempo de CPU preciado para examinar el paquete de petición.
• Se solucionó con una tabla local en la que guardar los pares de direcciones.
• Existen dos formas de almacenamiento en la cache:▫ Estático▫ Dinámico
• Puede ser vulnerable a un ataque de falsificación de paquetes ARP: ARP Spoofing.
Envenenamiento ARP
•Este tipo de vulnerabilidad consiste en el envenenamiento de las tablas ARP de los host implicados.
•También conocido como ARP Spoofing, Falsificación ARP...
•Se aprovecha de que las tablas son dinámicas y cambian conforme le llegan respuestas ARP, aunque no hayan pedido petición ninguna.
Envenenamiento ARP: Escenario•Tenemos un router, y dos host una la
víctima y otra el atacante.•El objetivo es envenenar la tabla ARP
para poder llegar a situarse en medio de la comunicación entre el router y el host de la víctima. Este método se conoce como MITM (Man in the Middle).
•Utilizar un cliente de mensajería para comprobar la vulnerabilidad a la hora de mandar mensajes.
Envenenamiento ARP: Herramientas• Distribución linux preferida. Ubuntu Jaunty
Jackalope.• dnsspoof• wireshark
Envenenamiento ARPManos a la obra• Después de instalar todas las herramientas necesarias necesitamos poner
el ip_forward a 1 para habilitar el reenvio de paquetes desde nuestro equipo atacante.
• Ahora utilizando una herramienta que es parte de DnsSpoof invocamos los procesos para envenenar las caché ARP
Envenenamiento ARPLa obra continua• Si en el host de la víctima visualizamos su cache ARP
podemos encontrarnos con lo siguiente:
• Donde antes teníamos
• Imaginemos que utilizamos un cliente de mensajería, el MSN y escribimos algunos mensajes a algún contacto:
Envenenamiento ARPEl destape•Ahora utilizando el programa Wireshark y
utilizando como filtro msnms
Envenenamiento ARPPara curiosos•A este método se le puede añadir la
falsificación de DNS con dnsspoof por ejemplo de Gmail para que pase toda la información a nuestro host atacante y despues utilizar ssldump para poder desencriptar el contenido seguro.
Posibles soluciones• Una posible solución pasa por insertar de
manera estática la caché ARP esto puede ser demasiado costoso cuando hablamos de muchos host en la red.
• Otra solución viene implementada en algunos dispositivos en los que se evita este tipo de ataque y se conoce como DHCP Snooping
• Para detectarlo puede hacerse uso del protocolo RARP que es el ARP inverso en el que se pregunta por una dirección Ethernet y devuelve una IP.
Conclusión•Como hemos visto en el mundo de las
redes de la información no siempre todo es seguro.
•Hemos visto que el ataque es en una LAN, pero conocemos muy bien las vulnerabilidades existentes hoy en día en las redes inalámbricas, por lo que podrían acceder a la red local sin ningún problema.
•Tienen que tomarse medidas preventivas y curativas para evitar que la seguridad de la información quede vulnerada.
Bibliografía y direcciones de interés• http://www.ietf.org/rfc/rfc826.txt• http://www.tcpipguide.com/free/
t_AddressResolutionandtheTCPIPAddressResolutionProto.htm• http://es.wikipedia.org/wiki/ARP_Spoofing• http://www.oxid.it/downloads/apr-intro.swf• http://technet.microsoft.com/es-es/library/
cc758357(WS.10).aspx• http://technet.microsoft.com/es-es/library/
cc755489(WS.10).aspx• http://foro.elhacker.net/hacking_avanzado/
esnifando_redes_conmutadasarp_spoof_mitm_sniffer_sobre_ssl-t223015.0.html;msg1058386
• http://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html
Top Related