Arp

Seguridad en Redes: Capa de Red ARP Spoofing Oscar Eduardo Sánchez García Corporación Universitaria Americana Medellin, Colombia

Introducción Una computadora conectada a una red Ethernet tiene dos direcciones Dirección de MAC Globalmente única y no modificable que se almacena en la NIC. Un encabezado Ethernet contiene la dirección MAC de las máquinas fuente y destino. Dirección IP Cada computadora en una red debe tener una dirección IP única. Virtual y asignada por software.

Packet: Unidades de transmisión ( capa de red) Los paquetes se fraccionan en frames (capa enlace) Se envían por el cable hacia otro dispositivo (capa fisica) Segmentación: Decide cuál puerto debe mandar el frame. Para ello busca la dirección física destino del frame en una tabla interna (CAM table) que mapea número de puertos y direcciones MAC. Introducción

En el momento en que el frame Ethernet es construido a partir de un paquete IP no se tiene idea de la MAC de la máquina destino. La única información disponible es la dirección IP destino. Debe existir una forma para que el protocolo Ethernet obtenga la MAC de la máquina destino dado la IP destino. Aquí es donde el protocolo ARP ( Address Resolution Protocol ) aparece en escena. Introducción

Address Resolution & Reverse Address Resolution

Funcionamiento del ARP Obtener la dirección IP del destino. Crear un mensaje ARP de solicitud ( request ). Inserta la dirección física del emisor. Inserta la dirección IP del emisor. Inserta la dirección IP del destino. La dirección física del destino se llena con 0. El mensaje se pasa a la capa de enlace donde es encapsulado en un frame. Dirección fuente: dirección física del emisor. Dirección destino: dirección broadcast.

Funcionamiento del ARP Cada host o router en la red recibe el frame. Todos los equipos lo pasan al ARP. Todas las máquinas, excepto la destino, descartan el paquete. La máquina destino responde con un mensaje ARP que contiene su dirección física. Mensaje unicast. El emisor recibe el mensaje de respuesta y obtiene la dirección física de la máquina destino.

Para evitar el envío de un paquete ARP request cada vez que se necesite un host puede mantener una cache con la dirección IP y su correspondiente dirección física en su tabla ARP (ARP cache) . Cada entrada en la tabla ARP suele ser “envejecida” para que luego de cierto tiempo de inactividad sea eliminada. Cuando una computadora recibe un ARP reply se actualiza su entrada en la tabla ARP. El protocolo ARP es stateless , por lo tanto la mayoría de los sistemas operativos actualizarán su cache si reciben una respuesta ( reply ), sin importar si enviaron o no un pedido ( request ).

ARP Spoofing Construir respuestas ARP falsas. Una máquina objetivo puede ser “convencida” de enviar frames a la computadora B, frames que originalmente estaban destinados a A. La computadora A no tendrá idea de esta redirección. Este proceso de actualizar la cache ARP de la máquina objetivo se conoce como “ ARP poisoning ”.

A IP:10.0.0.1 MAC:aa:aa:aa:aa B IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc switch ARP cache ARP cache IP MAC 10.0.0.2 bb:bb:bb:bb IP MAC 10.0.0.1 aa:aa:aa:aa ARP reply falso IP:10.0.0.2 MAC:cc:cc:cc:cc ARP reply falso IP:10.0.0.2 MAC:cc:cc:cc:cc ARP reply falso IP:10.0.0.2 MAC:cc:cc:cc:cc

A IP:10.0.0.1 MAC:aa:aa:aa:aa B IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc switch ARP cache ARP cache La cache ARP de A fue “envenenada”. IP MAC 10.0.0.2 cc:cc:cc:cc IP MAC 10.0.0.1 aa:aa:aa:aa

ARP Spoofing Desde ahora todos los paquetes que A pretende enviar a B van a la máquina del hacker. La entrada en la cache tiende a expirar por lo tanto deberá enviar nuevamente el ARP reply. ¿Qué tan seguido? Depende del sistema particular. Generalmente cada 40 segundos es suficiente.

Arp

Más contenido relacionado

La actualidad más candente

Similar a Arp

Más de Oscar Eduardo

Arp