El documento describe el protocolo ARP y el ataque de envenenamiento ARP. El ataque implica enviar mensajes ARP falsos para asociar la dirección MAC del atacante con la dirección IP de otro nodo, permitiendo al atacante interceptar el tráfico. Se explican métodos de defensa como tablas ARP estáticas, DHCP snooping y herramientas de detección. También se mencionan usos legítimos como balanceo de carga y acceso de huéspedes en hoteles.
4.3 Subestaciones eléctricas componentes principales .pptx
Investigación ARP Envenenamiento
1. UNIVERSIDAD TECNOLOGICA PRIVADA DE SANTA CRUZ
FACULTA DE TECNOLOGIA
CARRERA: INGENIERIA EN REDES Y TELECOMUNICACIONES
SAUL CALLE ESPINOZA
Santa Cruz de la Sierra – Bolivia
2014
“Investigación: Envenenamiento ARP”
Por:
Saul Calle Espinoza
2. 1 – Introducción
ARP (protocolo de resolución de direcciones)
El acrónimo ARP puede referirse a:
El Address Resolution Protocol (protocolo de resolución de direcciones) para la
resolución de direcciones en informática, es el responsable de encontrar la
dirección de hardware que corresponde a una determinada dirección IP.
2 – Ataque de Envenenamiento ARP
¿EN QUÉ CONSISTE EL ATAQUE?
El ataque viene a modificar el flujo de los datos enviados desde un PC Víctima que
pasa a través de un Gateway para hacer un ataque de tipo MITM (Man in the
Middle) consiguiendo que el tráfico de la víctima pase por una máquina Atacante
de forma inocua para la víctima. De esta forma, el flujo de tráfico normal para la
víctima sería el que se muestra en la siguiente figura:
3. El sistema Atacante, que se debe encontrar en la misma LAN que la víctima, va a
conseguir que el flujo de tráfico anterior se transforme en este otro:
Conseguirá el Atacante por tanto colocarse en medio del tráfico pudiendo
examinar todo lo que acontece entre la máquina Víctima y el Gateway.
Hay que tener en cuenta que, a pesar de que las figuras anteriores sólo muestren
una dirección del tráfico, se capturará el tráfico en ambas direcciones
redirigiéndolo a sus legítimos dueños (Víctima y Gateway) según el caso
ARP Spoofing
Una típica trama Ethernet. Una trama modificada podría tener unadirección
MAC de origen falsa para engañar a los dispositivos que estén en la red.
El ARP Spoofing, también conocido como ARP Poisoning o ARP Poison Routing,
es una técnica usada para infiltrarse en una redethernet conmutada (basada
en switches y no en hubs), que puede permitir al atacante leer paquetes de datos
en la LAN (red de área local), modificar el tráfico, o incluso detenerlo.
4. El principio del ARP Spoofing es enviar mensajes ARP falsos (falsificados, o
spoofed) a la Ethernet. Normalmente la finalidad es asociar ladirección MAC del
atacante con la dirección IP de otro nodo (el nodo atacado), como por ejemplo la
puerta de enlace predeterminada (gateway). Cualquier tráfico dirigido a la
dirección IP de ese nodo, será erróneamente enviado al atacante, en lugar de a su
destino real. El atacante, puede entonces elegir, entre reenviar el tráfico a la
puerta de enlace predeterminada real (ataque pasivo o escucha), o modificar los
datos antes de reenviarlos (ataque activo). El atacante puede incluso lanzar un
ataque de tipo DoS (Denegación de Servicio) contra una víctima, asociando una
dirección MAC inexistente con la dirección IP de la puerta de enlace
predeterminada de la víctima.
El ataque de ARP Spoofing puede ser ejecutado desde una máquina controlada
(el atacante ha conseguido previamente hacerse con el control de la misma:
intrusión), o bien la máquina del atacante está conectada directamente a la LAN
Ethernet.
Aplicación
ARP es un protocolo de la capa 2 (enlace). Tanto los paquetes “ARP request”
como los “ARP reply” pueden ser tráfico de difusión (broadcast). Como tales, no
están diseñados para proporcionar ninguna validación de identificación en la
transacción.
Aunque el ARP Spoofing se puede ejecutar en el transcurso de transacciones
ARP, creando una condición de carrera, el uso más común es la distribución de
respuestas ARP no solicitadas, que son almacenadas por los clientes en sus
caches ARP, generando de esta manera el escenario “ARP Cache Poison”, o
caches ARP envenenadas.
Defensas
Un método para prevenir el ARP Spoofing, es el uso de tablas ARP estáticas, es
decir añadir entradas estáticas ARP, de forma que no existe caché dinámica, cada
entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP.
Sin embargo, esta no es una solución práctica, sobre todo en redes grandes,
debido al enorme esfuerzo necesario para mantener las tablas ARP actualizadas:
cada vez que se cambie la dirección IP de un equipo, es necesario actualizar
todas las tablas de todos los equipos de la red.
5. Por lo tanto, en redes grandes es preferible usar otro método: el DHCP snooping.
Mediante DHCP, el dispositivo de red mantiene un registro de las direcciones MAC
que están conectadas a cada puerto, de modo que rápidamente detecta si se
recibe una suplantación ARP. Este método es implementado en el equipamiento
de red de fabricantes comoCisco, Extreme Networks y Allied Telesis.
Otra forma de defenderse contra el ARP Spoofing, es detectarlo. Arpwatch es un
programa Unix que escucha respuestas ARP en la red, y envía una notificación vía
correo electrónico al administrador de la red, cuando una entrada ARP cambia.
Comprobar la existencia de direcciones MAC clonadas (correspondientes a
distintas direcciones IP) puede ser también un indicio de la presencia de ARP
Spoofing, aunque hay que tener en cuenta, que hay usos legítimos de la clonación
de direcciones MAC.
RARP (“Reverse ARP”, o ARP inverso) es el protocolo usado para consultar, a
partir de una dirección MAC, su dirección IP correspondiente. Si ante una
consulta, RARP devuelve más de una dirección IP, significa que esa dirección
MAC ha sido clonada.
Usos Legítimos
El ARP Spoofing puede ser usado también con fines legítimos. Por ejemplo,
algunas herramientas de registro de red, pueden redireccionar equipos no
registrados a una página de registro antes de permitirles el acceso completo a la
red.
Otra implementación legítima de ARP Spoofing, se usa en hoteles para permitir el
acceso a Internet, a los portátiles de los clientes desde sus habitaciones, usando
un dispositivo conocido como HEP (Head-End Processor o Procesador de
Cabecera), sin tener en cuenta su dirección IP.
El ARP Spoofing puede ser usado también para implementar redundancia de
servicios de red. Un servidor de backup puede usar ARP Spoofing para sustituir a
otro servidor que falla, y de esta manera ofrecer redundancia de forma
transparente.
6. Herramienta para Ataques
Arpspoof (parte de las herramientas de DSniff), Arpoison, Caín y
Abel, Ettercap, Netcat, SwitchSniffer y AyCarrumba son algunas de las
herramientas que pueden usarse para llevar a cabo los ataques ARP Poisoning.
Solucion para los Ataques
"Un ataque de envenenamiento de caché DNS" es detectado por el Firewall
personal de ESET
"Un ataque de envenenamiento de caché ARP" es detectado por el Firewall
personal de ESET
El Equipo de soporte de ESET le ha solicitado leer este artículo para limpiar su
caché DNS y restaurar el archivo MS Hosts
Si el Firewall personal de ESET detecta una amenaza en su sistema de parte del
envenenamiento de caché DNS, existen dos posibles soluciones que permitirán
resolver el inconveniente. Por favor, comience con la solución 1 y solo prosiga con
la solución 2 si el suceso no es resuelto.
Solución 1: Crear una excepción para el tráfico IP interno
En algunos casos, el Firewall personal de ESET detectará como una posible
amenaza el tráfico IP interno proveniente de una red periférica tal como un router
o una impresora. Efectúe los pasos detallados a continuación para determinar si la
amenaza ha sido causada por el tráfico interno y resolver el suceso.
1. Determine si la dirección IP detectada en la notificación posee un número
comprendido dentro del siguiente rango (en el cual "x" es 0-255):
172.16.x.x - 172.31.x.x
192.168.x.x
10.x.x.x
7. ¡Importante!
Debería agregar una dirección IP a la zona de confianza solamente si la reconoce
como segura.
2. Si la dirección IP detectada se encuentra dentro del rango seguro especificado
arriba abra la ventana principal del programa haciendo clic en el ícono de
ESET ubicado junto al reloj del sistema o acceda a Inicio Todos los
programas ESET ESET Smart Security. Continúe con el paso 4.
3. Si la dirección IP que ha sido detectada como una amenaza no se encuentra
dentro del rango seguro especificado arriba, o si actualmente no existen
periféricos en uso dentro de su red, prosiga con la solución 2.
4. Presione la tecla F5 de su teclado para acceder a la ventana de Configuración
avanzada.
5. Expanda las opciones Red Firewall personal y haga clic en Reglas y zonas.
6. En el panel del Editor de reglas y zonas haga clic en Configuración.
Figura 1-1
8 Haga clic en la Zonas, seleccione Direcciones excluidas de la protección
activa (IDS) y presione Editar.
8. Figura 1-2
9 En la ventana Configuración de la zona, haga clic en Agregar
dirección IPv4.
Figura 1-3
9. 10 Seleccione el casillero Dirección única, y luego ingrese la dirección IP del
dispositivo que ha sido incorrectamente detectado como una amenaza.
Figura 1-4
11 Presione Aceptar cuatro veces para salir del árbol de Configuración
avanzada y guardar los cambios. Desde ese momento ya no debería
visualizar ningún mensaje relacionado a ataques provenientes desde una
dirección IP interna que usted reconoce como segura.
Solución 2: Herramienta DNS Flush
Usted puede utilizar la herramienta DNS Flush de ESET para eliminar el caché
DNS y restaurar los archivos MS Hosts. Siga los pasos descriptos a continuación
para descargar y ejecutar la herramienta DNS Flush:
1 Haga clic en el enlace que se halla debajo para descargar la
herramienta DNS-Flush.exe. Cuando se le solicite, presione Ejecutar.
DNS-Flush.exe
2 Luego de completar la descarga diríjase hasta el Escritorio, haga clic
derecho sobre el archivo DNS-Flush.exe que acaba de descargar y
seleccione la opción Ejecutar como administrador dentro del menú
contextual.
3 Esta herramienta automáticamente eliminará el caché DNS y restaurará
los archivos necesarios. Cuando el proceso se complete, su equipo se
reiniciará automáticamente.
4 Luego de que el equipo se reinicie abra su producto de seguridad ESET
y ejecute un Análisis completo. Acceda al siguiente artículo de nuestra
Base de conocimiento para obtener asistencia:
.