Traducido del inglés al español - www.onlinedoctranslator.
com
CARTAS DE COMUNICACIONES DE IEEE, VOL. 14, NO. 2 DE FEBRERO DE 2010
ARP mejorado: prevención del envenenamiento por ARP
Ataques de intermediario
Seung Yeob Nam, Miembro, IEEE, Dongwon Kim y Jeongeun Kim
Abstracto—En esta carta, una versión mejorada de Address
Se propone el Protocolo de resolución (ARP) para prevenir ataques Man-in-
the-Middle (MITM) basados en envenenamiento por ARP. El mecanismo
propuesto se basa en el siguiente concepto. Cuando un nodo conoce la
dirección de control de acceso a medios (MAC) correcta para una dirección IP
determinada, si conserva la asignación de direcciones IP / MAC mientras esa
máquina está activa, entonces el ataque MITM es imposible para esa
dirección IP. Para evitar ataques MITM incluso para una nueva dirección IP,
se propone un mecanismo de resolución basado en votaciones. El esquema
propuesto es compatible con versiones anteriores de ARP existente y se
puede implementar de forma incremental.
Términos del Índice—Envenenamiento de caché ARP, ataque man-in-the-middle,
Prevención de intoxicaciones ARP, votación.
YoNTRODUCCIÓN
T El Protocolo de resolución de direcciones (ARP) HE resuelve las direcciones
IP en direcciones de hardware o MAC. El ataque de envenenamiento ARP
tiene como objetivo modificar el mapeo de direcciones IP / MAC en la caché ARP
de una máquina remota de manera maliciosa. Este envenenamiento ARP
generalmente se usa para montar otros tipos de ataques, como ataques de
denegación de servicio (DoS) o ataques MITM.
Se han realizado varios intentos para resolver el problema de
envenenamiento de la caché ARP. La inspección dinámica de ARP (DAI)
realizada en conmutadores Ethernet [1] puede prevenir el
envenenamiento de ARP, pero esto requiere una configuración manual
por parte de los administradores de red y la parte de la red cubierta
por los conmutadores Ethernet que no pueden utilizar DAI no puede
protegerse. Los enfoques que no requieren soporte de conmutadores
Ethernet se pueden clasificar en dos categorías según el uso de
criptografía. Antidote [2] es un enfoque no criptográfico, que utiliza una
idea similar a la nuestra, especialmente al consultar la dirección MAC
anterior en caso de conflicto de MAC. Sin embargo, Antidote no puede
evitar el envenenamiento de una nueva dirección IP si llega primero
una respuesta ARP maliciosa [3].
S-ARP [3] y ARP basado en tickets (TARP) [4] son dos enfoques
basados en criptografía bien conocidos. S-ARP puede tener un
alto costo computacional [4] y los servidores centrales, como
Authoritative Key Distributor (AKD) para S-ARP y Local Ticket Agent
(LTA) para TARP, pueden estar sujetos a un problema de punto
único de falla. Además, generalmente requieren la actualización
del servidor DHCP y la implementación incremental no es fácil. Por
ejemplo, es posible que las máquinas habilitadas para TARP o S-
ARP no acepten respuestas ARP de nodos que no sean TARP / S-
ARP.
Manuscrito recibido el 26 de octubre de 2009. El editor asociado que coordinó
la revisión de esta carta y la aprobó para su publicación fue C. Mitchell.
SY Nam y D. Kim están en el Departamento de Información y
Ingeniería de comunicaciones, Universidad de Yeungnam, Gyeongsan, Gyeongbuk,
712-749 Corea (correo electrónico: synam@ynu.ac.kr , kclub@korea.com ).
J. Kim trabaja en UI Prototype Lab, Centro de I + D de teléfonos móviles,
LG Electronics Mobile Communications Company, Seúl, Corea (correo electrónico:
logosdeborah@yahoo.co.kr ).
Este trabajo fue apoyado en parte por la Beca de la Fundación de Investigación de
Corea financiada por el Gobierno de Corea (KRF-2008-313-D00641).
Identificador de objeto digital 10.1109 / LCOMM.2010.02.092108
1089-7798 / 10 $ 25,00C⃝ 2010 IEEE
187
Investigamos un nuevo mecanismo para prevenir ataques MITM basados
en envenenamiento por ARP mientras superamos las limitaciones de los
enfoques existentes. Dado que no utilizamos mecanismos criptográficos ni
servidores centrales, no hay problemas de complejidad y un problema de
punto único de falla. Incorporamos dos nuevos conceptos, memoria a largo
plazo y votación, con el ARP existente para resolver el problema, al tiempo
que satisfacemos los siguientes requisitos: compatibilidad con versiones
anteriores del ARP existente, costo mínimo de actualización de
infraestructura (por ejemplo, sin actualización de conmutadores Ethernet o
modificación de DHCP) y capacidad de implementación incremental. El
mecanismo propuesto se evalúa mediante experimentos.
II. MITM-RESISTANTE ADDRESS RESOLUCIÓN PAGROTOCOL
El protocolo propuesto de resolución de direcciones resistente a
MITM, que se denomina MR-ARP, se basa en el siguiente concepto.
Cuando el nodo A conoce la asignación correcta de direcciones IP /
MAC para el nodo B, si el nodo A conserva la asignación mientras el
nodo B está vivo, entonces el envenenamiento de ARP y el ataque
MITM entre A y B son imposibles.
MR-ARP emplea una tabla de mapeo IP / MAC a largo plazo, así
como la caché ARP utilizada en ARP existente para retener el mapeo
IP / MAC para máquinas activas durante períodos más largos. Tres
campos, IP, MAC y temporizador  , se asignan a cada dirección IP
registrada en la tabla a largo plazo. El valor predeterminado del
temporizador en la tabla a largo plazo es 60 minutos. Para evitar
perder el mapeo de (IPa, MACa) para un host activo después de 60
minutos, enviamos nuevos mensajes de solicitud ARP para IPa solo para
MACa mediante unidifusión para comprobar si el MACa está vivo. En
este caso, se envían 50 mensajes de solicitud ARP a intervalos
aleatorios con un promedio de 10 ms. Si se devuelve al menos una
respuesta ARP, entonces el mapeo se registra en la caché ARP a corto
plazo y el temporizador de tabla a largo plazo correspondiente se
establece nuevamente en 60 minutos. Si no se devuelve ninguna
respuesta ARP, entonces el mapeo de (IPa, MACa) se considera inválido
y la entrada correspondiente se elimina de la tabla a largo plazo. Por lo
tanto, el mapeo IP / MAC se puede retener en la tabla a largo plazo
hasta que se libere el enlace.
MR-ARP intenta administrar las asignaciones de IP / MAC para todas las
máquinas activas en la misma LAN a través de la tabla a largo plazo. Este objetivo
se puede lograr fácilmente si completamos la tabla a largo plazo en función de los
mensajes de solicitud ARP recibidos, especialmente las partes de la dirección IP y
MAC de origen, ya que las máquinas vivas tienden a enviar solicitudes ARP para
encontrar la dirección MAC del enrutador de puerta de enlace repetidamente
porque de la expiración del temporizador en la caché ARP. Sin embargo, la
asignación de IP / MAC de cada solicitud de ARP no se puede reflejar directamente
debido a la posibilidad de intentos de envenenamiento de la caché de ARP. La
figura 1 muestra la política detallada de actualización de la tabla de caché a corto
plazo y a largo plazo que se aplican a la llegada de los paquetes de solicitud o
respuesta de ARP. Por la regla por caso
(A) en la Fig.1, cada mapeo IP / MAC registrado en la caché a corto plazo se
congela hasta que expira, por ejemplo, durante 2 minutos para
188
/ ∗ (IPa, MACa): el protocolo del remitente (IP) y el hardware (MAC)
direcciones de la solicitud ARP recibida o el paquete de respuesta ∗ /
si(IPa está registrado en la caché a corto plazo){ - (A) ninguna acción; /∗ en
caso de conflicto, conservar la cartografía existente.∗ /
} nodo A observa una solicitud ARP o responde desde una nueva
más si ((IPa, MACa) está registrado en la tabla a largo plazo){
Registrarse (IPa, MACa) en la caché a corto plazo; establezca
el temporizador de mesa a largo plazo en 60 minutos;
} de destino ficampo para recopilar la asignación de IP / MAC para esa IP
más siIPa está en la tabla a largo plazo, pero el MAC registrado
no es MACa){ - (B)
/ ∗ conflicto en el mapeo de IP y MAC ∗ /
enviar 50 solicitudes ARP a MAC existente a través de unidifusión
a intervalos aleatorios con un promedio de 10 mseg; si
(llega al menos una respuesta ARP)
retenga el mapeo existente (IP, MAC) y elimine el nuevo;
demás
aceptar el nuevo mapeo;
La asignación aceptada también se registra en la caché a corto plazo.
}
demás{/ ∗es decir IPa no está en tablas a corto / largo plazo ∗ / - (C) enviar
solicitudes de voto para IPa; si (sin respuesta)
el mapeoIPa, MACa) está registrado en ambas tablas;
si no (existe un MAC que obtiene más del 50% de los votos para IPa) que el
mapeo está registrado en ambas tablas;
} Cuando se implementa una nueva máquina habilitada para MR-ARP
Fig. 1. Política de actualización de tabla a largo plazo y caché a corto plazo aplicada a la llegada de
paquetes de solicitud o respuesta ARP
Windows XP, para evitar actualizaciones de caché demasiado frecuentes mediante el rastreo de
solicitudes ARP.
En el caso (B) de la Fig.1, se produce un conflicto de MAC porque
la dirección MAC recién recibida MACa por IPa es diferente de
MAC′a que ya está asociado con IPa. El conflicto es
resuelto dando prioridad a MAC′ a sólo si está vivo.
Como se muestra en la Fig. 1, la actividad de un host se examina enviando
50 paquetes de solicitud ARP y contando las respuestas ARP. Se envían
varias solicitudes de ARP para hacer frente a situaciones inesperadas.
pérdidas de paquetes, incluido el caso de ataque DoS en MAC′
Aunque la probabilidad de pérdida de paquetes es tan alta como el
90% por ataque DoS, se devolverá al menos una respuesta ARP con una
probabilidad de 99.5% (= 1 - 0.950).
A. Resolución de conflictos basada en votaciones
Hasta ahora, investigamos cómo prevenir ataques MITM para los
nodos cuyo mapeo IP / MAC ya se conoce. Sin embargo, si el nodo A
recibe una solicitud de ARP o una respuesta de una nueva dirección IP,
entonces el nodo A no puede juzgar fácilmente la exactitud de la
asignación de direcciones IP y MAC del remitente contenida en el
mensaje ARP. Por ejemplo, cuando se agrega una nueva máquina en
una LAN sin información de mapeo IP / MAC y la máquina envía una
solicitud ARP para el enrutador de puerta de enlace, si la respuesta ARP
de un adversario llega primero, la caché ARP puede estar envenenada.
Para solucionar este problema de intoxicación, proponemos un
mecanismo de resolución basado en votaciones que corresponde al
caso (C) de la figura 1.
El concepto básico del mecanismo de resolución basado en votaciones es
el siguiente. Cuando el nodo A se enciende con la caché ARP vacía y la tabla
a largo plazo, si varios hosts vecinos informan al nodo A de la verdadera
dirección MAC del enrutador de la puerta de enlace que conocen, se puede
evitar el envenenamiento de la MAC de la puerta de enlace.
Investigamos los detalles del mecanismo de resolución basado en votaciones.
Se definen dos tipos de paquetes ARP más para MR-ARP: paquetes de solicitud de
votación y paquetes de respuesta a la votación. Sin embargo, ellos
CARTAS DE COMUNICACIONES DE IEEE, VOL. 14, NO. 2 DE FEBRERO DE 2010
reutilizar el formato de paquete de los paquetes de solicitud /
respuesta ARP. losoperación fiEl campo se establece en 20 y 21 para los
paquetes de respuesta y solicitud de votación, respectivamente. Si el
dirección IPIPB con la dirección MAC de MACB, luego el nodo A
transmite una solicitud de votación conIPB en el dirección de protocolo
de otros hosts después de esperar un tiempo aleatorio de entre 0 y 100
mseg. El tiempo de espera aleatorio se emplea para evitar una
tormenta de respuesta / solicitud de votación ARP simultánea. Si un
anfitrión con conocimiento de voto recibe una solicitud de votación ARP
paraIPB, luego devuelve 50 respuestas de votación ARP con mapeo IP /
MAC para IPB a la velocidad máxima sin demora cuando conoce el
mapeo. Luego, el nodo A calcula la puntuación de sondeo para cada
dirección MAC recibida en función de las primeras  responde. Si existe
un MAC que recibió0.5  votos, entonces esa dirección MAC se acepta
para IPB. Para evitar el sesgo de las máquinas con RTT pequeño,
comenzamos a contar  después de esperar al menos RTT de la máquina
con el RTT más grande en la LAN. Actualmente, el tiempo de espera
antes de contar  se establece en 0,3 ms.
en alguna LAN, si no hay otras máquinas habilitadas para MR-ARP, esta
nueva máquina no puede beneficiarse del mecanismo de votación. Sin
embargo, podemos demostrar que la nueva máquina habilitada para
MR-ARP puede protegerse adicionalmente votando, si existen al menos
dos máquinas habilitadas para MR-ARP cuando hay un atacante.
Consideremos un caso en el que  Máquinas habilitadas para MR-ARP
MAC1,. . . ,MACk y un adversario MACv están interconectados por el
mismo conmutador Ethernet. Cuando una nueva máquina habilitada
para MR-ARPMACmi está conectado al mismo interruptor, si MACmi
recibe una solicitud ARP o responde con un mapeo IP / MAC falso del
adversario, luego MACmi transmitirá la solicitud de votación ARP. Dejar  
denotar el ARP
a. tasa de tráfico de respuesta de votación deMACI por   = 1, 2,. . . ,  , y   
denota la tasa de respuesta de votación ARP del adversario. SiMACmiobserva
las respuestas a la votación durante un intervalo de duración  , entonces el
promedio∑La proporción de respuestas de voto del adversario se convierte
en  /(   + ≤    ) bajo el supuesto de que Ethernet
El interruptor sirve los búferes de entrada de manera justa. Si la tasa de respuesta a la
votación es la misma para todas las máquinas, entonces la proporción se convierte en1/( 
+1).Dado que las máquinas recientes pueden enviar tráfico hasta cerca de la velocidad de
enlace, el efecto de    en la proporción de los votos para el adversario está obligado a ser
limitado.
Ahora investigamos qué tan grande   debe ser para prevenir el
envenenamiento por ARP, cuando existen dos máquinas
habilitadas para MR-ARP y un nodo adversario. En este caso, la
tasa de respuesta del adversario será cercana a 1/3 según el
razonamiento anterior. Supongamos que la llegada de cada
paquete es independiente de otras llegadas, y la probabilidad de
que la llegada de cada paquete sea del nodo adversario es .   es
una variable aleatoria que representa el número total de paquetes
del adversario entre   paquetes de respuesta de votación, luego  
tiene una distribución binomial, es decir   ∼         ( ,  ). Podemos
obtener la siguiente desigualdad usando los límites de Chernoff [5,
Corolario 3.1.2]:
 (  /  >  ) ≤ Exp{-2 (  -  )2}. (1)
Ya que   /   es la proporción de las respuestas del adversario, si establecemos
 al umbral de decisión 0.5, entonces (1) da un límite superior en
NAM et al.: ARP MEJORADO: PREVENCIÓN DE ATAQUES DE HOMBRE EN EL MEDIO BASADOS EN ENVENENAMIENTO POR ARP 189

TABLA I
la probabilidad de falso negativo para el adversario. Cuando  = 1/3,si ARP PROBABILIDAD DE RESPUESTA PARA DIVERSOS NÚMEROS DE ARP
ponemos   a 120, entonces el límite superior se convierte en 0.0013.Por SOLICITUDES BAJO ICMP ATAQUE DE PITUFO

tanto, el valor de 120 para   da una probabilidad baja de falso negativo.

# de solicitudes ARP 1 5 10 15 20 25
problema de respuesta. (%) 24,7 68,4 92,2 97,6 99,6 100
Investiguemos la sobrecarga de tráfico del mecanismo de resolución
basado en votaciones.   y   representan el número total de máquinas
0,3
vivas y el número total de máquinas habilitadas para MR-ARP vivas en Aproximación gaussiana bajo

Probabilidad de decisión falsa

suposición de independencia
la LAN, respectivamente. Para simplificar el análisis, asumimos que las 0,2 Resultado de medida
direcciones IP se asignan a través de DHCP para todos los nodos, y
cada tiempo de concesión de IP se distribuye exponencialmente con el 0,1
mismo promedio.  . El nodo A habilitado para MR-ARP realiza una
resolución basada en votaciones para una máquina activa con una 0
1 2 3 4 5
dirección IPIPB sólo una vez durante su propio tiempo de concesión de # de hosts de ataque

IP. Esto ocurre cuando el nodo A aparece con una nueva dirección IP
asignada. CuandoIPB se libera y se reasigna, el nuevo mapeo se Fig. 2. Probabilidad de decisión falsa para varios números de hosts de ataque cuando el
número de hosts habilitados para MR-ARP es 6
resuelve, según la regla para el caso (B) en la figura 1, sin votación. Por
lo tanto, la tasa de respuesta de votación promedio para la dirección IP
el número total de votos de los adversarios supera  /2. La figura 2
IPBal nodo A se puede calcular como (  -1)×50×28×8/    =11.2 (  - 1)/   
muestra los valores teóricos y los valores medidos de la
Kbps. Por lo tanto, la tasa de respuesta de votación agregada al nodo A
probabilidad de decisión falsa. Cada valor de medición se obtiene
es11.2 (  - 1)/    Kbps. Si  =  , la tasa se convierte en 11.2 (  - 1)/    Kbps. Si
de 200 experimentos. Los valores teóricos se obtienen
asumimos que   es un dia y   = 255, entonces, la tasa de respuesta de
aproximando la distribución binomial de  en (1) por distribución
votación promedio para el nodo A es de aproximadamente 8,4 Kbps.
gaussiana   (  ,   (1 -  )). Observamos que los ratios de decisiones
Por lo tanto, la sobrecarga del tráfico de votación no es significativa
falsas medidas son siempre cero de forma diferente a los
para una subred pequeña.
resultados teóricos. Cuando derivamos la distribución binomial
para , asumimos que el resultado de cada votación es
III. PAGERFORMANCE ANÁLISIS independiente de otros resultados. Sin embargo, encontramos que
Primero investigamos si un host bajo ataque DoS puede responder a solicitudes ARP para verificar la viabilidad del
los votos de diferentes nodos están llegando aproximadamente de
mecanismo correspondiente al caso (B) en la Fig. 1. Medimos la probabilidad de respuesta de un host víctima bajo
manera rotatoria. Debido a un patrón bastante determinista de los
ataque DoS para varios números de solicitudes ARP en una LAN de 100 Mbps, e incluso una respuesta de un solo
resultados de la votación, las proporciones de decisiones falsas se
paquete para múltiples solicitudes de ARP se considera una respuesta exitosa de la víctima. Usamos varios patrones de
miden en casi cero cuando los nodos habilitados para MR-ARP
ataque DoS: inundación SYN, inundación UDP, inundación ICMP y ataque pitufo ICMP, y la probabilidad de respuesta
superan en número a los nodos adversarios.
más baja se obtuvo del ataque pitufo porque más máquinas han estado involucradas en el ataque que para otros tipos
El nodo A habilitado para MR-ARP responde a una solicitud de ARP

de ataques DoS. El número de nodos de ataque involucrados es 25 para el ataque pitufo. La Tabla I muestra el
destinada a sí mismo enviando un mensaje de respuesta de ARP como ARP

resultado correspondiente al ataque de los pitufos. Encontramos que la probabilidad de respuesta del 99% se logra si
actual. Aunque el nodo A es el único nodo habilitado para MR-ARP en la LAN,

se envían al menos 20 paquetes ARP. Por lo tanto, el algoritmo para el caso (B) en la Fig. 1 puede funcionar de manera
el nodo A puede aceptar el mapeo IP / MAC recibido para una nueva

confiable para los patrones de ataque DoS seleccionados. Si un nodo víctima está desactivado por otro tipo de ataque
dirección IP usando la regla para (C) en la Fig. 1. Por lo tanto, MR-ARP es

DoS en el peor de los casos, entonces el ataque MITM no puede ser válido según la definición de MITM. Sin embargo,
compatible con versiones anteriores de ARP existente.

cuando la víctima se recupere, podría estar sujeta al ataque MITM. En este caso, si la víctima envía una solicitud de

votación para su propia dirección IP bajo el supuesto de que hay un número suficiente de nodos habilitados para MR-
ARP, entonces la víctima puede saber fácilmente si su propia dirección IP es utilizada por otra máquina. sobre los
resultados de la votación y evite el ataque MITM al detener el uso de la dirección IP interceptada. Si un nodo víctima
está desactivado por otro tipo de ataque DoS en el peor de los casos, entonces el ataque MITM no puede ser válido
según la definición de MITM. Sin embargo, cuando la víctima se recupere, podría estar sujeta al ataque MITM. En este
caso, si la víctima envía una solicitud de votación para su propia dirección IP bajo el supuesto de que hay un número
suficiente de nodos habilitados para MR-ARP, entonces la víctima puede saber fácilmente si su propia dirección IP es
utilizada por otra máquina. sobre los resultados de la votación y evite el ataque MITM al detener el uso de la dirección
IP interceptada. Si un nodo víctima está desactivado por otro tipo de ataque DoS en el peor de los casos, entonces el
ataque MITM no puede ser válido según la definición de MITM. Sin embargo, cuando la víctima se recupere, podría
IV. CONCLUSIONES
Se propone un nuevo mecanismo para prevenir ataques MITM
basados en envenenamiento de ARP basado en dos conceptos clave:
tabla de mapeo IP / MAC a largo plazo y votación. Aunque el esquema
propuesto está instalado en una pequeña cantidad de hosts, pueden
protegerse bien mediante la colaboración basada en votaciones. Dado
que el esquema propuesto no utiliza criptografía ni servidores
centrales, no tiene problemas de complejidad y de punto único de falla
mientras logra compatibilidad con versiones anteriores de ARP.

estar sujeta al ataque MITM. En este caso, si la víctima envía una solicitud de votación para su propia dirección IP bajo

el supuesto de que hay un número suficiente de nodos habilitados para MR-ARP, entonces la víctima puede saber REFERENCIAS
fácilmente si su propia dirección IP es utilizada por otra máquina. sobre los resultados de la votación y evite el ataque
[1] Y. Bhaiji, Tecnologías y soluciones de seguridad de red. Prensa de Cisco, 2008.
MITM al detener el uso de la dirección IP interceptada.

A continuación, evaluamos el mecanismo de resolución basado en la votación
en un banco de pruebas donde seis máquinas habilitadas para MR-ARP, que son
Las PC de doble núcleo a 2,66 GHz y varias máquinas adversarias coludidas,
que son PC de cuatro núcleos a 2,66 GHz, están interconectadas mediante
un conmutador Ethernet Gigabit. Implementamos el mecanismo MR-ARP
propuesto en Fedora 9 Linux (kernel 2.6.25) modificando el código del
módulo ARP. Se toma una decisión falsa cuando
[2] I. Teterin, Antidote, http://online.securityfocus.com/archive/1/299929.
[3] D. Bruschi, A. Ornaghi y E. Rosti, "S-ARP: un protocolo de resolución de direcciones
seguras", en Proc. Conferencia anual de aplicaciones de seguridad informática
(ACSAC), 2003.
[4] W. Lootah, W. Enck y P. McDaniel, "TARP: protocolo de resolución de direcciones
basado en tickets", Red de computadoras, vol. 51, págs. 4322-4337, octubre de
2007.
[5] SM Ross, Modelos de probabilidad para la informática. Harcourt /
Academic Press, 2002.