En este tutorial vamos a ver como se realiza un envenenamiento por ARP, pero antes de eso debemos de tener claros algunos conceptos que vamos a repasar a continuación.
¿Qué son las direcciones IP y MAC?
Dirección IP es el acrónimo de dirección de Protocolo de Internet. Una dirección de protocolo de Internet se utiliza para identificar de forma única una computadora u otro dispositivo de una red informática.
Actualmente existen dos versiones de direcciones IP. La IPv4 utiliza números de 32 bits y debido al crecimiento masivo de Internet, se han desarrollado las IPv6 que utilizan números de hasta 128 bits.
Las direcciones IPv4 están formateadas por cuatro grupos de números separados por puntos. El número mínimo es 0 y el número máximo es 255.
Un ejemplo de una dirección IPv4 es:
127.0.0.1
Las direcciones IPv6 están formateadas en grupos de seis números separados por dos puntos completos. Los números de grupo se escriben como 4 dígitos hexadecimales.
Un ejemplo de una dirección IPv6 es:
2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334
Para simplificar la representación de las direcciones IP en formato de texto, se omiten los ceros iniciales y se omite el grupo de ceros por completo.
La dirección anterior en un formato simplificado sería:
2001: db8: 85a3 ::: 8a2e: 370: 7334
La dirección MAC es el acrónimo de dirección de control de acceso a medios.
Las direcciones MAC se utilizan para identificar de forma única las interfaces de red para la comunicación en la capa física de la red. Las direcciones MAC suelen estar integradas en la tarjeta de red.
Una dirección MAC es como el número de serie de un teléfono, mientras que la dirección IP es como el número de teléfono.
Ejercicio
Asumiremos que estás utilizando Windows para realizar el siguiente ejercicio.
- Abre el símbolo del sistema e ingresa el comando:
ipconfig /all
Obtendrás información detallada sobre todas las conexiones de red disponibles en su computadora.
En la pantalla se va a mostrar la diferente configuración de red de los dispositivos o tarjetas de red conectados a tu computadora.
Entre los parámetros vas a poder visualizar la dirección IP4, la dirección IP6, el servidor DHCP, la puerta de enlace o los servidores DNS.
¿Qué es el envenenamiento por ARP?
ARP es el acrónimo de protocolo de resolución de direcciones que se utiliza para convertir direcciones IP en direcciones físicas.
El host envía una transmisión ARP a la red y la computadora receptora responde con la dirección física MAC. La dirección IP asociada MAC que se resuelve es la que se utiliza para comunicarse.
El envenenamiento de ARP consiste en enviar direcciones MAC falsas al conmutador para que pueda asociar las direcciones MAC falsas con la dirección IP de una computadora genuina en una red y así, poder secuestrar el tráfico.
Contramedidas contra el envenenamiento por ARP
Entradas ARP estáticas
Se pueden definir en la caché ARP local y configurar el conmutador para ignorar todos los paquetes de respuesta ARP automáticos.
La desventaja de este método es que es difícil de mantener en redes demasiado grandes. La asignación de direcciones IP/MAC debe distribuirse a todos los ordenadores de la red.
Software de detección de intoxicaciones ARP
Estos sistemas se pueden utilizar para verificar la resolución de la dirección IP/MAC y certificar si están autenticados.
A continuación, se pueden bloquear las resoluciones de direcciones IP/MAC no certificadas.
Seguridad del sistema operativo
Esta medida depende del sistema operativo utilizado. Las siguientes son las técnicas básicas utilizadas por varios sistemas operativos.
- Basado en Linux: Ignorar los paquetes de respuesta ARP no solicitados.
- Microsoft Windows: Configurar el comportamiento de la caché ARP a través del registro. La siguiente lista incluye parte del software que se puede utilizar para proteger las redes contra el rastreo:
- AntiARP: Brinda protección contra el olfateo pasivo y activo.
- Agnitum Outpost Firewall: Brinda protección contra el rastreo pasivo.
- XArp: Brinda protección contra el olfateo pasivo y activo.
- Mac OS: ArpGuard se puede utilizar para proporcionar protección. Protege contra el olfateo activo y pasivo.
Configurar entradas ARP en Windows
Se uso Windows 7 para probar este ejercicio, pero los comandos deberían funcionar también en otras versiones de Windows.
Abre el símbolo del sistema e ingresa el siguiente comando:
arp –a
- arp: Se encarga de llamar al programa de configuración ARP ubicado en el directorio Windows/System32.
- -a: Es un parámetro para mostrar el contenido de la caché ARP.
Nota: las entradas dinámicas se agregan y eliminan automáticamente cuando se utilizan sesiones de TCP/IP con computadoras remotas.
Las entradas estáticas se agregan manualmente y se eliminan cuando se reinicia la computadora y se reinicia la tarjeta de interfaz de red u otras actividades que lo afectan.
Agregar entradas estáticas
Abre el símbolo del sistema y luego usa el comando ipconfig /all para obtener la dirección IP y MAC.
La dirección MAC se representa mediante la dirección física y la dirección IP mediante IPv4Address.
Ingresa el siguiente comando con arp -s IPv4 DirecciónFísica:
arp –s 192.168.x.x XX-XX-XX-XX-XX-XX
Utiliza el siguiente comando para ver la caché ARP y comprobar que se ha agregado el registro en la tabla de ARP:
arp -a
Eliminar una entrada de la caché ARP
Utiliza el siguiente comando para eliminar una entrada, cambiando x.x por la IP que desees eliminar del registro:
arp -d 192.168.x.x
El envenenamiento de ARP funciona enviando direcciones MAC falsas al conmutador.
⏩ Tutorial de Wireshark: Sniffer de redes y contraseñas (Capítulo 15)
⏪ ¿Cómo funciona el ransomware Ryuk? (Capítulo 13)
? Herramientas Hacking ? Recursos Hacking
?♀️ Cursos Seguridad en Red ? Cursos Redes ⛅ Cursos Servicios en Nube ?♂️ Libros Seguridad y Criptografía ? Libros Redes