ARP Spoofing

ARP Spoofing
Una típica trama Ethernet. Una trama modificada podría tener una dirección MAC de origen falsa para engañar a los dispositivos que estén en la red.

El ARP Spoofing, también conocido como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no en hubs), que puede permitir al atacante husmear paquetes de datos en la LAN (red de área local), modificar el tráfico, o incluso detenerlo.

El principio del ARP Spoofing es enviar mensajes ARP falsos (falsificados, o spoofed) a la Ethernet. Normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro nodo (el nodo atacado), como por ejemplo la puerta de enlace predeterminada (gateway). Cualquier tráfico dirigido a la dirección IP de ese nodo, será erróneamente enviado al atacante, en lugar de a su destino real. El atacante, puede entonces elegir, entre reenviar el tráfico a la puerta de enlace predeterminada real (ataque pasivo o escucha), o modificar los datos antes de reenviarlos (ataque activo). El atacante puede incluso lanzar un ataque de tipo DoS (Denegación de Servicio) contra una víctima, asociando una dirección MAC inexistente con la dirección IP de la puerta de enlace predeterminada de la víctima.

El ataque de ARP Spoofing puede ser ejecutado desde una máquina controlada (el atacante ha conseguido previamente hacerse con el control de la misma: intrusión), un Jack Box, o bien la máquina del atacante está conectada directamente a la LAN Ethernet.

Contenido

Aplicación

ARP es un protocolo de la capa 2 (enlace). Tanto los paquetes “ARP request” como los “ARP reply” pueden ser tráfico de difusión (broadcast). Como tales, no están diseñados para proporcionar ninguna validación de identificación en la transacción.

Aunque el ARP Spoofing se puede ejecutar en el transcurso de transacciones ARP, creando una condición de carrera (race condition), el uso más común es la distribución de respuestas ARP no solicitadas, que son almacenadas por los clientes en sus caches ARP, generando de esta manera el escenario “ARP Cache Poison”, o caches ARP envenenadas.

Defensas

Un método para prevenir el ARP Spoofing, es el uso de tablas ARP estáticas, es decir añadir entradas estáticas ARP, de forma que no existe caché dinámica, cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP. Sin embargo, esta no es una solución práctica, sobre todo en redes grandes, debido al enorme esfuerzo necesario para mantener las tablas ARP actualizadas: cada vez que se cambie la dirección IP de un equipo, es necesario actualizar todas las tablas de todos los equipos de la red.

Por lo tanto, en redes grandes es preferible usar otro método: el DHCP snooping. Mediante DHCP, el dispositivo de red mantiene un registro de las direcciones MAC que están conectadas a cada puerto, de modo que rápidamente detecta si se recibe una suplantación ARP. Este método es implementado en el equipamiento de red de fabricantes como Cisco, Extreme Networks y Allied Telesis.

Otra forma de defenderse contra el ARP Spoofing, es detectarlo. Arpwatch es un programa Unix que escucha respuestas ARP en la red, y envía una notificación vía email al administrador de la red, cuando una entrada ARP cambia.

Comprobar la existencia de direcciones MAC clonadas (correspondientes a distintas direcciones IP) puede ser también un indicio de la presencia de ARP Spoofing, aunque hay que tener en cuenta, que hay usos legítimos de la clonación de direcciones MAC.

RARP (“Reverse ARP”, o ARP inverso) es el protocolo usado para consultar, a partir de una dirección MAC, su dirección IP correspondiente. Si ante una consulta, RARP devuelve más de una dirección IP, significa que esa dirección MAC ha sido clonada.

Usos legítimos

El ARP Spoofing puede ser usado también con fines legítimos. Por ejemplo, algunas herramientas de registro de red, pueden redireccionar equipos no registrados a una página de registro antes de permitirles el acceso completo a la red.

Otra implementación legítima de ARP Spoofing, se usa en hoteles para permitir el acceso a Internet, a los portátiles de los clientes desde sus habitaciones, usando un dispositivo conocido como HEP (Head-End Processor o Procesador de Cabecera), sin tener en cuenta su dirección IP.

El ARP Spoofing puede ser usado también para implementar redundancia de servicios de red. Un servidor de backup puede usar ARP Spoofing para sustituir a otro servidor que falla, y de esta manera ofrecer redundancia de forma transparente.

Historia

Uno de los primeros artículos del ARP Spoofing fue escrito por Yuri Volobuev en ARP and ICMP redirection games

Herramientas de ARP Spoofing

Arpspoof (parte de las herramientas de DSniff), Arpoison, Cain and Abel, Ettercap, NetCut y SwitchSniffer son algunas de las herramientas que pueden usarse para llevar a cabo los ataques ARP Poisoning.

Véase también

Enlaces externos


Wikimedia foundation. 2010.

Игры ⚽ Нужно решить контрольную?

Mira otros diccionarios:

  • ARP-Spoofing — (vom engl. to spoof – dt. täuschen, reinlegen) oder auch ARP Request Poisoning (zu dt. etwa Anfrageverfälschung) bezeichnet das Senden von gefälschten ARP Paketen. Beim ARP Spoofing wird das gezielte Senden von gefälschten ARP Paketen dazu… …   Deutsch Wikipedia

  • ARP-spoofing — ARP spoofing  техника атаки в Ethernet сетях, позволяющая перехватывать трафик между хостами. Основана на использовании протокола ARP. При использовании в распределённой ВС алгоритмов удалённого поиска существует возможность осуществления в… …   Википедия

  • ARP spoofing — ARP poisoning L ARP spoofing, ou ARP poisoning, est une technique utilisée en informatique pour attaquer tout réseau local utilisant le protocole de résolution d adresse ARP, les cas les plus répandus étant les réseaux Ethernet et Wi Fi. Cette… …   Wikipédia en Français

  • ARP spoofing — Address Resolution Protocol (ARP) spoofing, also known as ARP poisoning or ARP Poison Routing (APR), is a technique used to attack an Ethernet wired or wireless network which may allow an attacker to sniff data frames on a local area network… …   Wikipedia

  • Spoofing — Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada.… …   Wikipedia Español

  • ARP-Poisoning — ARP Spoofing (vom engl. to spoof – dt. täuschen, reinlegen) oder auch ARP Request Poisoning (zu dt. etwa Anfrageverfälschung) bezeichnet das Senden von gefälschten ARP Paketen. Beim ARP Spoofing wird das gezielte Senden von gefälschten ARP… …   Deutsch Wikipedia

  • Spoofing — (englisch, zu Deutsch: Manipulation, Verschleierung oder Vortäuschung) nennt man in der Informationstechnik verschiedene Täuschungsversuche in Computernetzwerken zur Verschleierung der eigenen Identität. Personen werden in diesem Zusammenhang… …   Deutsch Wikipedia

  • ARP — Название: Address Resolution Protocol Уровень (по модели OSI): канальный Семейство: TCP/IP Создан в: 1982 г. Порт/ID: 0x0806/Ethernet Назначение протокола: Преобразование сетевых адресов в канальные С …   Википедия

  • ARP Poisoning — L ARP spoofing, ou ARP poisoning, est une technique utilisée en informatique pour attaquer tout réseau local utilisant le protocole de résolution d adresse ARP, les cas les plus répandus étant les réseaux Ethernet et Wi Fi. Cette technique peut… …   Wikipédia en Français

  • Arp poisoning — L ARP spoofing, ou ARP poisoning, est une technique utilisée en informatique pour attaquer tout réseau local utilisant le protocole de résolution d adresse ARP, les cas les plus répandus étant les réseaux Ethernet et Wi Fi. Cette technique peut… …   Wikipédia en Français

Compartir el artículo y extractos

Link directo
Do a right-click on the link above
and select “Copy Link”