Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Linux Magazine ARPSpoofing PDF
Linux Magazine ARPSpoofing PDF
TRUCOS DE TRFICO
Cualquier usuario de una LAN puede curiosear y manipular el trfico local. Las tcnicas denominadas ARP
spoofing y poisoning proporcionan a los atacantes una manera fcil de llevarlo a cabo.
C
uriosidad, venganza o espionaje por David C. Plumier. Como la seguridad Como sera muy costoso el tener que
industrial pueden ser las razones en las tecnologas de la informacin no retransmitir solicitudes ARP y esperar las
por las que desde dentro de su era un factor importante en aquella respuestas antes de enviar datos, cada
propia red un atacante pueda realizar poca, el objetivo era simplemente pro- pila IP contienen una tabla ARP, tambin
sus fechoras. Las estadsticas confirman porcionar funcionalidad. ARP transfor- conocida como ARP cach (Figura 3). La
que entre el 70 y 80 por ciento de los ata- ma direcciones IP a direcciones MAC. Si cach contiene una tabla con las direc-
ques efectuados a una red proceden el cliente C necesita enviar un paquete al ciones IP y las direcciones MAC corres-
desde dentro de la misma [1]. Los admi- servidor S, tiene que saber cual es la pondientes. La tabla puede albergar
nistradores pasan bastante tiempo impi- direccin MAC de S si ambas mquinas entradas estticas (por ejemplo, aquellas
diendo estos ataques internos ya que estn dentro de la misma subred. Incluso generadas por un usuario) y entradas
proteger la red desde dentro es mucho si S reside en una red diferente, C an dinmicas (aquellas que ha ido apren-
ms difcil que protegerla frente a ata- necesita la MAC -en este caso, la direc- diendo a travs del protocolo ARP). Las
ques externos. cin del router que reenviar el paquete. entradas dinmicas a menudo son vli-
Una de las tcnicas ms formidables de El router se har cargo de todo lo dems. das para perodos cortos de tiempo, nor-
ataques internos es la que se conoce como Para averiguar la direccin MAC, C malmente unos cuantos minutos.
ARP spoofing. ARP spoofing coloca a un retransmite una solicitud ARP a todas las
atacante en una posicin en la que puede mquinas de la red local, preguntando Efectuando ataques en la
espiar y manipular el trfico local. El ata- Quin tiene la direccin IP a.b.c.d?. La LAN
que conocido como el hombre de en medio mquina que tiene dicha direccin IP Como ARP no realiza ningn intento por
es fcil de realizar gracias a un software responde indicndole al cliente su direc- protegerse frente paquetes manipulados,
sofisticado, incluso los atacantes con muy cin MAC (Figura 1). es vulnerable a una serie de ataques. Los
pocos conocimientos sobre redes dispo- Como se muestra en la Figura 2, un ms comunes son MAC spoofing, MAC
nen de buenas utilidades para llevar a paquete ARP se transporta como informa- flooding y ARP spoofing.
cabo su cometido con xito. cin dentro de una trama Ethernet. Para MAC spoofing implica que el atacante
permitir que esto pueda hacerse, el valor debe usar una direccin fuente MAC
Cmo funciona ARP? de 0x8006 se coloca en la cabecera de la manipulada. Esta tcnica tiene sentido si
El protocolo ARP se public en trama en el campo tipo esto le indica al los privilegios van ligados a una direccin
Noviembre de 1982 como RFC 826 [2] destino que se trata de un paquete ARP. MAC. Muchos administradores de WLAN
18 Nmero 09 WWW.LINUX-MAGAZINE.ES
ARP Spoofing PORTADA
WWW.LINUX-MAGAZINE.ES Nmero 09 19
PORTADA ARP Spoofing
modificar entradas declaradas por los cuentes; de hecho, se suele hacer clic y usuarios y administradores ignoran el
usuarios como estticas. simplemente ignorar el mensaje. Un aviso, suponiendo que alguien ha cam-
Realizando esto se permite que un ata- error en algunas versiones del navegador biado la clave del servidor. Pocos proto-
cante monitorice el dilogo entre un Internet Explorer hace que sea posible colos o implementaciones son inmunes.
cliente y un servidor y utilizando la tc- atacar las conexiones SSL sin que el (IPsec es una excepcin. IPsec rehsa
nica del hombre de en medio, manipu- navegador ni siquiera muestre la alerta. trabajar si algo va mal con el proceso de
le el dilogo. El hombre en medio mani- El ataque a SSH sigue un patrn simi- autenticacin).
pula las entradas del servidor en cach lar (Figura 4). Si el cliente ya conoce la A causa de este problema, casi cual-
ARP del cliente, haciendo creer al cliente clave del lado del servidor, mostrar un quier clase de comunicacin interna es
que la direccin MAC del atacante es en mensaje claro (Figura 5). Pero muchos vulnerable. Hay incluso herramientas
realidad la direccin del servidor. El
mismo truco se usa para el servidor. Herramientas de Explotacin ARP
Si el cliente quiere hablar con el servi- A continuacin nombraremos algunos Dsniff: Los programas individuales en
dor, comprobar su tabla ARP manipula- programas que permiten a los atacantes esta suite de herramientas llevan a
da y enviar el paquete a la direccin explotar las vulnerabilidades de ARP. Los cabo distintas tareas. Dsniff, Filesnarf,
MAC del atacante. Esto permite al ata- administradores pueden utilizar estas Mailsnarf, Msgsnarf, Urlsnarf y
cante leer y modificar el paquete antes herramientas para testear sus propias Webspy fisgonean la red y cogen
de reenviarlo al servidor. Entonces el ser- redes. Son bastante tiles para demos- datos interesantes (como claves,
vidor supone que el paquete fue enviado trar la severidad de los ataques ARP. El correos y ficheros). Arpspoof,
directamente por el cliente. La respuesta problema de seguridad real, por supues- Dnsspoof y Macof permiten a los
to, no es el hecho de que estas herra- administradores y atacantes acceder
del servidor de nuevo va al atacante, que
mientas existan, ya que ARP es relativa- a datos que un switch normalmente
la reenva al cliente. Si el servidor reside
mente inseguro. protege. Sshmitm y Webmitm sopor-
en otra subred, el atacante tan solo tiene
ARP-SK: Los programadores describen tan el ataque hombre de en medio en
que lanzar su ataque contra el router. SSH y HTTPS (aunque el autor se
sus herramientas como una Navaja
Desde luego, un atacante puede provo- refiere a ellos como ataques Monkey
Suiza para ARP; est disponible para
car una denegacin de servicio simple- in the Middle). http://naughty.monkey.
versiones Unix y Windows. El progra-
mente descartando cualquier paquete ma puede manipular las tablas ARP en org/~dugsong/dsniff/
recibido. Para manipular los datos, el varios dispositivos. http://www.arp-sk. Ettercap: Un potente programa con
atacante simplemente tiene que reenviar org una interfaz basada en texto (ver Figura
datos diferentes a los que reciba. Los ata- Arpoc y WCI: Este programa para Unix y 4); la ltima versin tambin tiene un
cantes pueden fcilmente recolectar con- Windows realiza un ataque tipo hombre interfaz Gtk. Las acciones se realizan
traseas, ya que el nmero del puerto les de en medio en la LAN. Contesta a cada automticamente, con la herramienta
permite averiguar el protocolo usado e peticin ARP que alcanza la mquina se muestran tarjetas potenciales en
identificar las credenciales del usuario con una respuesta ARP manipulada y una ventana. Junto a Sniffing, los ata-
reenva cualquier paquete de entrega no ques ARP y la obtencin de claves
basndose en este conocimiento.
local al router apropiado. http://www. automticas, Ettercap tambin puede
manipular datos sin una conexin. El
Precaucin incluso con SSL phenoelit.de/arpoc/
programa tambin ataca conexiones
y SSH Arpoison: Una herramienta de lnea de
SSHv1 y SSL (utilizando las tcnicas
Las conexiones encriptadas no son auto- comandos que crea un paquete ARP
del ataque del hombre de en medio).
mticamente inmunes, como demues- manipulado. El usuario puede especifi-
http://ettercap.sourceforge.net
car la fuente y la direccin IP/MAC de la
tran diversas herramientas ARP. Estos Hunt: Las conexiones fallidas, fisgoneo
tarjeta. http://arpoison.sourceforge.net
programas estn ahora disponibles para de datos y secuestro de sesiones. La
varios sistemas operativos (vase el cua- Brian: Esta herramienta extremadamen-
herramienta utiliza manipulacin ARP y
te simple (comprendido en un slo fiche-
dro titulado Exploits para ARP). otras tcnicas. http://
ro C) utiliza ARP poisoning para deshabi-
Adems de la funcionalidad de ARP packetstormsecurity.nl/sniffers/hunt/
litar las interconexiones en la LAN. Esto
poisoning, incluye implementaciones permite a un atacante fisgonear todo el Juggernaut: En 1997, Phrack Magazine
para clientes y servidores de SSL (Secure trfico en la red. http://www. public Juggernaut, el predecesor de la
Socket Layer), TLS (Transport Layer bournemouthbynight.co.uk/tools/ mayora de los sniffers actuales con
Security), SSH (Secure Shell) o PPTP capacidad para manipular la cach
Cain & Abel: Este sofisticado software
(Point to Point Tunneling Protocol). ARP. http://www.phrack.org/show.
de Windows comenz como una herra-
Accediendo a un servidor web SSL, el php?p=50&a=6
mienta de recuperacin de claves.
navegador alerta al usuario que algo va Fisgonea la red y utiliza una variedad de Parasite: El servicio Parasite fisgonea la
mal con el certificado para la conexin. tcnicas para descifrar claves encripta- LAN y responde a peticiones ARP con
Pero hay muchos usuarios que no com- das. La versin 2.5 de la herramienta fue respuestas ARP manipuladas. La herra-
la primera en introducir ARP poisoning, mienta permite gradualmente a la
prenden la importancia de la alerta y
que permite a los atacantes fisgonear el mquina establecerse por s misma
simplemente la ignoran. El hecho de que
trfico IP en la LAN. El programa ataca como un hombre de en medio para
muchos servidores usen un certificado cualquier comunicacin en la red.
conexiones SSH y HTTPS. http://www.
generado por ellos mismos hace que http://www.thc.org/releases.php
oxid.it/cain.html/
dichas alertas sean relativamente fre-
20 Nmero 09 WWW.LINUX-MAGAZINE.ES
ARP Spoofing PORTADA
Snort y ARP
Snort [6] es un ejemplo sobresaliente de te y destino. Si una de estas compara- Snort comprueba todos los paquetes
lo que es un IDS para redes. Este sistema ciones no coinciden, Snort emite una ARP basndose en una lista de direc-
de deteccin de intrusiones ayuda a los advertencia. Como en el caso anterior, ciones IP y MAC proporcionadas por
administradores a detectar ataques en esto no detectara envenenamiento el administrador. Si la direccin IP est
una red en una fase temprana, permi- ARP per se, aunque s Proxy ARP. Por en la lista, el IDS leer su correspon-
tiendo implementar contramedidas. otro lado, esta tcnica a menudo es diente direccin MAC de la lista y la
Snort dispone de un preprocesador legtima e involucra una mquina que comparar con la direccin MAC del
Arpspoof con cuatro mecanismos de contesta peticiones ARP en delega- paquete y del cuadro Ethernet. En el
deteccin. cin de otra mquina. caso de discrepancia, Snort emite una
Para cada peticin ARP que detecta, el El sistema alerta en el caso de peticio- advertencia. Este mecanismo slo es
preprocesador Arpspoof valida la nes ARP que se envan a direcciones til para redes pequeas, al ser el
direccin fuente en el cuadro Ethernet unicast en vez de a broadcast. Aunque esfuerzo de configuracin demasiado
contra la direccin fuente el paquete este comportamiento no se conforma grande en otros casos. No hay ningu-
ARP. Si ambas direcciones no coinci- al estndar (que tiene ms de 20 na manera de utilizar esta funcionali-
den, emite una advertencia. El enve- aos), existen buenas razones para dad de manera consistente con asig-
nenamiento ARP no implica la utiliza- ello. Sin embargo, un autntico ARP nacin dinmica de direcciones
cin de direcciones diferentes en estos no necesita unicastear peticiones, (DHCP).
campos, por lo que no se detectara un por tanto, al igual que ms arriba, este En otras palabras, la capacidad de Snort
ataque en todos los casos. mecanismo podra fallar a la hora de para la deteccin de envenenamiento
Para respuestas ARP, se lleva a cabo detectar una ataque de envenena- ARP es limitada, al igual que en el caso
una comparacin de direcciones fuen- miento. de otros Sistemas de Deteccin de
Intrusiones.
22 Nmero 09 WWW.LINUX-MAGAZINE.ES
ARP Spoofing PORTADA
WWW.LINUX-MAGAZINE.ES Nmero 09 23