¿Qué es el envenenamiento por ARP? Falsificación de ARP con ejemplo

¿Qué es el envenenamiento por ARP (ARP Spoofing)?

ARP es el acrónimo de Protocolo de resolución de direcciones. Se utiliza para convertir direcciones IP en direcciones físicas [dirección MAC] en un conmutador. El host envía una transmisión ARP en la red y la computadora receptora responde con su dirección física [Dirección MAC]. La dirección IP/MAC resuelta se utiliza luego para comunicarse. El envenenamiento por ARP consiste en enviar direcciones MAC falsas al conmutador para que pueda asociar las direcciones MAC falsas con la dirección IP de una computadora genuina en una red y secuestrar el tráfico.

Tipos de ataques de envenenamiento ARP

  • El hombre en el medio ataca
  • Intercepción de tráfico
  • Ataques de denegación de servicio (DoS)

Cómo prevenir ataques de envenenamiento por ARP

Entradas ARP estáticas: estos se pueden definir en la caché ARP local y configurar el conmutador para ignorar todos los paquetes de respuesta ARP automática. La desventaja de este método es que es difícil de mantener en redes grandes. La asignación de direcciones IP/MAC debe distribuirse a todas las computadoras de la red.

Software de detección de envenenamiento por ARP: estos sistemas se pueden utilizar para verificar la resolución de las direcciones IP/MAC y certificarlas si están autenticadas. Las resoluciones de direcciones IP/MAC no certificadas se pueden bloquear.

Operaseguridad del sistema:Esta medida depende del sistema operativo que se utilice. A continuación se detallan las técnicas básicas que utilizan los distintos sistemas operativos.

  • Basado en Linux: funcionan ignorando los paquetes de respuesta ARP no solicitados.
  • Microsoft Windows: el comportamiento de la caché ARP se puede configurar a través del registro. La siguiente lista incluye algunos de los programas que se pueden utilizar para proteger las redes contra el rastreo;
  • AntiARP– proporciona protección contra el olfateo tanto pasivo como activo
  • Agnitum Outpost Firewall–proporciona protección contra el olfateo pasivo
  • XArp– proporciona protección contra el olfateo tanto pasivo como activo
  • Mac OS: ArpGuard se puede utilizar para proporcionar protección. Protege contra el olfateo tanto activo como pasivo.

Actividad de piratería: configurar entradas ARP en Windows

Estamos usando Windows 7 para este ejercicio, pero los comandos deberían poder funcionar también en otras versiones de Windows.

Abra el símbolo del sistema e ingrese el siguiente comando

arp –a

AQUÍ,

  • abr llama al programa de configuración ARP ubicado en WindowsDirectorio /System32
  • -a es el parámetro para mostrar el contenido de la caché ARP

Obtendrás resultados similares a los siguientes

Configurar entradas ARP en Windows

Nota: entradas dinámicas se agregan y eliminan automáticamente al usar TCP / IP sesiones con ordenadores remotos.

Entradas estáticas se agregan manualmente y se eliminan cuando se reinicia la computadora y se reinicia la tarjeta de interfaz de red u otras actividades que la afectan.

Agregar entradas estáticas

Abra el símbolo del sistema y luego use el comando ipconfig /all para obtener la dirección IP y MAC.

Agregar entradas estáticas

La dirección MAC se representa mediante la dirección física y la dirección IP es IPv4Address

Ingrese el siguiente comando

arp –s  192.168.1.38 60-36-DD-A6-C5-43

Agregar entradas estáticas

Nota: La dirección IP y MAC serán diferentes de las utilizadas aquí. Esto se debe a que son únicos.

Utilice el siguiente comando para ver el caché ARP

arp –a

Obtendrás los siguientes resultados

Agregar entradas estáticas

Tenga en cuenta que la dirección IP se resolvió en la dirección MAC que proporcionamos y es de tipo estático.

Eliminar una entrada de caché ARP

Utilice el siguiente comando para eliminar una entrada

arp –d 192.168.1.38

Eliminar una entrada de caché ARP

PS El envenenamiento de ARP funciona enviando direcciones MAC falsas al conmutador

¿Qué son las direcciones IP y MAC?

Dirección IP es el acrónimo de dirección de Protocolo de Internet. Una dirección de protocolo de Internet se utiliza para identificar de forma única una computadora o dispositivo, como impresoras o discos de almacenamiento, en una red informática. Actualmente existen dos versiones de direcciones IP. IPv4 utiliza números de 32 bits. Debido al crecimiento masivo de Internet, se desarrolló IPv6, que utiliza números de 128 bits.

Las direcciones IPv4 se formatean en cuatro grupos de números separados por puntos. El número mínimo es 0 y el máximo es 255. Un ejemplo de una dirección IPvXNUMX es XNUMX. IPv4 la dirección se ve así;

127.0.0.1

Las direcciones IPv6 están formateadas en grupos de seis números separados por dos puntos. Los números de grupo se escriben con 4 dígitos hexadecimales. Un ejemplo de una dirección IPv6 se ve así;

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Para simplificar la representación de las direcciones IP en formato de texto, se omiten los ceros iniciales y se omite completamente el grupo de ceros. La dirección anterior en un formato simplificado se muestra como;

2001:db8:85a3:::8a2e:370:7334

Dirección MAC es el acrónimo de dirección de control de acceso a medios. Direcciones MAC se utilizan para identificar de forma única interfaces de red para la comunicación en la capa física de la red. Las direcciones MAC suelen estar integradas en la tarjeta de red.

Una dirección MAC es como el número de serie de un teléfono, mientras que la dirección IP es como el número de teléfono.

Ejercicio

Supondremos que estás usando Windows para este ejercicio. Abre el símbolo del sistema.

Ingrese el comando

ipconfig /all

Obtendrá información detallada sobre todas las conexiones de red disponibles en su computadora. Los resultados que se muestran a continuación corresponden a un módem de banda ancha que muestra la dirección MAC y el formato IPv4 y una red inalámbrica que muestra el formato IPv6.

Ejercicio de direcciones IP y MAC

Ejercicio de direcciones IP y MAC