Está en la página 1de 3

Traducido del inglés al español - www.onlinedoctranslator.

com

CARTAS DE COMUNICACIONES DE IEEE, VOL. 14, NO. 2 DE FEBRERO DE 2010 187

ARP mejorado: prevención del envenenamiento por ARP


Ataques de intermediario
Seung Yeob Nam, Miembro, IEEE, Dongwon Kim y Jeongeun Kim

Abstracto—En esta carta, una versión mejorada de Address Investigamos un nuevo mecanismo para prevenir ataques MITM basados
Se propone el Protocolo de resolución (ARP) para prevenir ataques Man-in- en envenenamiento por ARP mientras superamos las limitaciones de los
the-Middle (MITM) basados en envenenamiento por ARP. El mecanismo
enfoques existentes. Dado que no utilizamos mecanismos criptográficos ni
propuesto se basa en el siguiente concepto. Cuando un nodo conoce la
servidores centrales, no hay problemas de complejidad y un problema de
dirección de control de acceso a medios (MAC) correcta para una dirección IP
determinada, si conserva la asignación de direcciones IP / MAC mientras esa punto único de falla. Incorporamos dos nuevos conceptos, memoria a largo
máquina está activa, entonces el ataque MITM es imposible para esa plazo y votación, con el ARP existente para resolver el problema, al tiempo
dirección IP. Para evitar ataques MITM incluso para una nueva dirección IP, que satisfacemos los siguientes requisitos: compatibilidad con versiones
se propone un mecanismo de resolución basado en votaciones. El esquema
anteriores del ARP existente, costo mínimo de actualización de
propuesto es compatible con versiones anteriores de ARP existente y se
infraestructura (por ejemplo, sin actualización de conmutadores Ethernet o
puede implementar de forma incremental.
modificación de DHCP) y capacidad de implementación incremental. El
Términos del Índice—Envenenamiento de caché ARP, ataque man-in-the-middle,
mecanismo propuesto se evalúa mediante experimentos.
Prevención de intoxicaciones ARP, votación.

YoNTRODUCCIÓN II. MITM-RESISTANTE ADDRESS RESOLUCIÓN PAGROTOCOL

T El Protocolo de resolución de direcciones (ARP) HE resuelve las direcciones


IP en direcciones de hardware o MAC. El ataque de envenenamiento ARP
tiene como objetivo modificar el mapeo de direcciones IP / MAC en la caché ARP
El protocolo propuesto de resolución de direcciones resistente a
MITM, que se denomina MR-ARP, se basa en el siguiente concepto.
Cuando el nodo A conoce la asignación correcta de direcciones IP /
de una máquina remota de manera maliciosa. Este envenenamiento ARP MAC para el nodo B, si el nodo A conserva la asignación mientras el
generalmente se usa para montar otros tipos de ataques, como ataques de nodo B está vivo, entonces el envenenamiento de ARP y el ataque
denegación de servicio (DoS) o ataques MITM. MITM entre A y B son imposibles.
Se han realizado varios intentos para resolver el problema de MR-ARP emplea una tabla de mapeo IP / MAC a largo plazo, así
envenenamiento de la caché ARP. La inspección dinámica de ARP (DAI) como la caché ARP utilizada en ARP existente para retener el mapeo
realizada en conmutadores Ethernet [1] puede prevenir el IP / MAC para máquinas activas durante períodos más largos. Tres
envenenamiento de ARP, pero esto requiere una configuración manual campos, IP, MAC y temporizador  , se asignan a cada dirección IP
por parte de los administradores de red y la parte de la red cubierta registrada en la tabla a largo plazo. El valor predeterminado del
por los conmutadores Ethernet que no pueden utilizar DAI no puede temporizador en la tabla a largo plazo es 60 minutos. Para evitar
protegerse. Los enfoques que no requieren soporte de conmutadores perder el mapeo de (IPa, MACa) para un host activo después de 60
Ethernet se pueden clasificar en dos categorías según el uso de minutos, enviamos nuevos mensajes de solicitud ARP para IPa solo para
criptografía. Antidote [2] es un enfoque no criptográfico, que utiliza una MACa mediante unidifusión para comprobar si el MACa está vivo. En
idea similar a la nuestra, especialmente al consultar la dirección MAC este caso, se envían 50 mensajes de solicitud ARP a intervalos
anterior en caso de conflicto de MAC. Sin embargo, Antidote no puede aleatorios con un promedio de 10 ms. Si se devuelve al menos una
evitar el envenenamiento de una nueva dirección IP si llega primero respuesta ARP, entonces el mapeo se registra en la caché ARP a corto
una respuesta ARP maliciosa [3]. plazo y el temporizador de tabla a largo plazo correspondiente se
S-ARP [3] y ARP basado en tickets (TARP) [4] son dos enfoques establece nuevamente en 60 minutos. Si no se devuelve ninguna
basados en criptografía bien conocidos. S-ARP puede tener un respuesta ARP, entonces el mapeo de (IPa, MACa) se considera inválido
alto costo computacional [4] y los servidores centrales, como y la entrada correspondiente se elimina de la tabla a largo plazo. Por lo
Authoritative Key Distributor (AKD) para S-ARP y Local Ticket Agent tanto, el mapeo IP / MAC se puede retener en la tabla a largo plazo
(LTA) para TARP, pueden estar sujetos a un problema de punto hasta que se libere el enlace.
único de falla. Además, generalmente requieren la actualización MR-ARP intenta administrar las asignaciones de IP / MAC para todas las

del servidor DHCP y la implementación incremental no es fácil. Por máquinas activas en la misma LAN a través de la tabla a largo plazo. Este objetivo

ejemplo, es posible que las máquinas habilitadas para TARP o S- se puede lograr fácilmente si completamos la tabla a largo plazo en función de los

ARP no acepten respuestas ARP de nodos que no sean TARP / S- mensajes de solicitud ARP recibidos, especialmente las partes de la dirección IP y

ARP. MAC de origen, ya que las máquinas vivas tienden a enviar solicitudes ARP para
encontrar la dirección MAC del enrutador de puerta de enlace repetidamente
Manuscrito recibido el 26 de octubre de 2009. El editor asociado que coordinó
la revisión de esta carta y la aprobó para su publicación fue C. Mitchell. porque de la expiración del temporizador en la caché ARP. Sin embargo, la
SY Nam y D. Kim están en el Departamento de Información y asignación de IP / MAC de cada solicitud de ARP no se puede reflejar directamente
Ingeniería de comunicaciones, Universidad de Yeungnam, Gyeongsan, Gyeongbuk, debido a la posibilidad de intentos de envenenamiento de la caché de ARP. La
712-749 Corea (correo electrónico: synam@ynu.ac.kr , kclub@korea.com ).
J. Kim trabaja en UI Prototype Lab, Centro de I + D de teléfonos móviles, figura 1 muestra la política detallada de actualización de la tabla de caché a corto
LG Electronics Mobile Communications Company, Seúl, Corea (correo electrónico: plazo y a largo plazo que se aplican a la llegada de los paquetes de solicitud o
logosdeborah@yahoo.co.kr ). respuesta de ARP. Por la regla por caso
Este trabajo fue apoyado en parte por la Beca de la Fundación de Investigación de
Corea financiada por el Gobierno de Corea (KRF-2008-313-D00641). (A) en la Fig.1, cada mapeo IP / MAC registrado en la caché a corto plazo se
Identificador de objeto digital 10.1109 / LCOMM.2010.02.092108 congela hasta que expira, por ejemplo, durante 2 minutos para

1089-7798 / 10 $ 25,00C⃝ 2010 IEEE


188 CARTAS DE COMUNICACIONES DE IEEE, VOL. 14, NO. 2 DE FEBRERO DE 2010

/ ∗ (IPa, MACa): el protocolo del remitente (IP) y el hardware (MAC)


direcciones de la solicitud ARP recibida o el paquete de respuesta ∗ /
reutilizar el formato de paquete de los paquetes de solicitud /
respuesta ARP. losoperación fiEl campo se establece en 20 y 21 para los
si(IPa está registrado en la caché a corto plazo){ - (A) ninguna acción; /∗ en paquetes de respuesta y solicitud de votación, respectivamente. Si el
caso de conflicto, conservar la cartografía existente.∗ /
} nodo A observa una solicitud ARP o responde desde una nueva
más si ((IPa, MACa) está registrado en la tabla a largo plazo){ dirección IPIPB con la dirección MAC de MACB, luego el nodo A
Registrarse (IPa, MACa) en la caché a corto plazo; establezca transmite una solicitud de votación conIPB en el dirección de protocolo
el temporizador de mesa a largo plazo en 60 minutos;
} de destino ficampo para recopilar la asignación de IP / MAC para esa IP
más siIPa está en la tabla a largo plazo, pero el MAC registrado de otros hosts después de esperar un tiempo aleatorio de entre 0 y 100
no es MACa){ - (B) mseg. El tiempo de espera aleatorio se emplea para evitar una
/ ∗ conflicto en el mapeo de IP y MAC ∗ /
enviar 50 solicitudes ARP a MAC existente a través de unidifusión
tormenta de respuesta / solicitud de votación ARP simultánea. Si un
a intervalos aleatorios con un promedio de 10 mseg; si anfitrión con conocimiento de voto recibe una solicitud de votación ARP
(llega al menos una respuesta ARP) paraIPB, luego devuelve 50 respuestas de votación ARP con mapeo IP /
retenga el mapeo existente (IP, MAC) y elimine el nuevo;
demás
MAC para IPB a la velocidad máxima sin demora cuando conoce el
aceptar el nuevo mapeo; mapeo. Luego, el nodo A calcula la puntuación de sondeo para cada
La asignación aceptada también se registra en la caché a corto plazo. dirección MAC recibida en función de las primeras  responde. Si existe
}
demás{/ ∗es decir IPa no está en tablas a corto / largo plazo ∗ / - (C) enviar
un MAC que recibió0.5  votos, entonces esa dirección MAC se acepta
solicitudes de voto para IPa; si (sin respuesta) para IPB. Para evitar el sesgo de las máquinas con RTT pequeño,
comenzamos a contar  después de esperar al menos RTT de la máquina
el mapeoIPa, MACa) está registrado en ambas tablas;
si no (existe un MAC que obtiene más del 50% de los votos para IPa) que el
con el RTT más grande en la LAN. Actualmente, el tiempo de espera
mapeo está registrado en ambas tablas; antes de contar  se establece en 0,3 ms.
} Cuando se implementa una nueva máquina habilitada para MR-ARP
en alguna LAN, si no hay otras máquinas habilitadas para MR-ARP, esta
Fig. 1. Política de actualización de tabla a largo plazo y caché a corto plazo aplicada a la llegada de
paquetes de solicitud o respuesta ARP
nueva máquina no puede beneficiarse del mecanismo de votación. Sin
embargo, podemos demostrar que la nueva máquina habilitada para
Windows XP, para evitar actualizaciones de caché demasiado frecuentes mediante el rastreo de MR-ARP puede protegerse adicionalmente votando, si existen al menos
solicitudes ARP. dos máquinas habilitadas para MR-ARP cuando hay un atacante.
En el caso (B) de la Fig.1, se produce un conflicto de MAC porque Consideremos un caso en el que  Máquinas habilitadas para MR-ARP
la dirección MAC recién recibida MACa por IPa es diferente de MAC1,. . . ,MACk y un adversario MACv están interconectados por el
MAC′a que ya está asociado con IPa. El conflicto es mismo conmutador Ethernet. Cuando una nueva máquina habilitada
resuelto dando prioridad a MAC′ a sólo si está vivo. para MR-ARPMACmi está conectado al mismo interruptor, si MACmi
Como se muestra en la Fig. 1, la actividad de un host se examina enviando recibe una solicitud ARP o responde con un mapeo IP / MAC falso del
50 paquetes de solicitud ARP y contando las respuestas ARP. Se envían adversario, luego MACmi transmitirá la solicitud de votación ARP. Dejar  
varias solicitudes de ARP para hacer frente a situaciones inesperadas. denotar el ARP
pérdidas de paquetes, incluido el caso de ataque DoS en MAC′ a. tasa de tráfico de respuesta de votación deMACI por   = 1, 2,. . . ,  , y   
Aunque la probabilidad de pérdida de paquetes es tan alta como el denota la tasa de respuesta de votación ARP del adversario. SiMACmiobserva
90% por ataque DoS, se devolverá al menos una respuesta ARP con una las respuestas a la votación durante un intervalo de duración  , entonces el
probabilidad de 99.5% (= 1 - 0.950). promedio∑La proporción de respuestas de voto del adversario se convierte
en  /(   + ≤    ) bajo el supuesto de que Ethernet
El interruptor sirve los búferes de entrada de manera justa. Si la tasa de respuesta a la
A. Resolución de conflictos basada en votaciones
votación es la misma para todas las máquinas, entonces la proporción se convierte en1/( 
Hasta ahora, investigamos cómo prevenir ataques MITM para los
+1).Dado que las máquinas recientes pueden enviar tráfico hasta cerca de la velocidad de
nodos cuyo mapeo IP / MAC ya se conoce. Sin embargo, si el nodo A
enlace, el efecto de    en la proporción de los votos para el adversario está obligado a ser
recibe una solicitud de ARP o una respuesta de una nueva dirección IP,
limitado.
entonces el nodo A no puede juzgar fácilmente la exactitud de la
Ahora investigamos qué tan grande   debe ser para prevenir el
asignación de direcciones IP y MAC del remitente contenida en el
envenenamiento por ARP, cuando existen dos máquinas
mensaje ARP. Por ejemplo, cuando se agrega una nueva máquina en
habilitadas para MR-ARP y un nodo adversario. En este caso, la
una LAN sin información de mapeo IP / MAC y la máquina envía una
tasa de respuesta del adversario será cercana a 1/3 según el
solicitud ARP para el enrutador de puerta de enlace, si la respuesta ARP
razonamiento anterior. Supongamos que la llegada de cada
de un adversario llega primero, la caché ARP puede estar envenenada.
paquete es independiente de otras llegadas, y la probabilidad de
Para solucionar este problema de intoxicación, proponemos un
que la llegada de cada paquete sea del nodo adversario es .   es
mecanismo de resolución basado en votaciones que corresponde al
una variable aleatoria que representa el número total de paquetes
caso (C) de la figura 1.
del adversario entre   paquetes de respuesta de votación, luego  
El concepto básico del mecanismo de resolución basado en votaciones es
tiene una distribución binomial, es decir   ∼         ( ,  ). Podemos
el siguiente. Cuando el nodo A se enciende con la caché ARP vacía y la tabla
obtener la siguiente desigualdad usando los límites de Chernoff [5,
a largo plazo, si varios hosts vecinos informan al nodo A de la verdadera
Corolario 3.1.2]:
dirección MAC del enrutador de la puerta de enlace que conocen, se puede
evitar el envenenamiento de la MAC de la puerta de enlace.  (  /  >  ) ≤ Exp{-2 (  -  )2}. (1)
Investigamos los detalles del mecanismo de resolución basado en votaciones.
Se definen dos tipos de paquetes ARP más para MR-ARP: paquetes de solicitud de Ya que   /   es la proporción de las respuestas del adversario, si establecemos
votación y paquetes de respuesta a la votación. Sin embargo, ellos  al umbral de decisión 0.5, entonces (1) da un límite superior en
NAM et al.: ARP MEJORADO: PREVENCIÓN DE ATAQUES DE HOMBRE EN EL MEDIO BASADOS EN ENVENENAMIENTO POR ARP 189

TABLA I
la probabilidad de falso negativo para el adversario. Cuando  = 1/3,si ARP PROBABILIDAD DE RESPUESTA PARA DIVERSOS NÚMEROS DE ARP
ponemos   a 120, entonces el límite superior se convierte en 0.0013.Por SOLICITUDES BAJO ICMP ATAQUE DE PITUFO

tanto, el valor de 120 para   da una probabilidad baja de falso negativo.


# de solicitudes ARP 1 5 10 15 20 25
problema de respuesta. (%) 24,7 68,4 92,2 97,6 99,6 100
Investiguemos la sobrecarga de tráfico del mecanismo de resolución
basado en votaciones.   y   representan el número total de máquinas
0,3
vivas y el número total de máquinas habilitadas para MR-ARP vivas en Aproximación gaussiana bajo

Probabilidad de decisión falsa


suposición de independencia
la LAN, respectivamente. Para simplificar el análisis, asumimos que las 0,2 Resultado de medida
direcciones IP se asignan a través de DHCP para todos los nodos, y
cada tiempo de concesión de IP se distribuye exponencialmente con el 0,1
mismo promedio.  . El nodo A habilitado para MR-ARP realiza una
resolución basada en votaciones para una máquina activa con una 0
1 2 3 4 5
dirección IPIPB sólo una vez durante su propio tiempo de concesión de # de hosts de ataque

IP. Esto ocurre cuando el nodo A aparece con una nueva dirección IP
asignada. CuandoIPB se libera y se reasigna, el nuevo mapeo se Fig. 2. Probabilidad de decisión falsa para varios números de hosts de ataque cuando el
número de hosts habilitados para MR-ARP es 6
resuelve, según la regla para el caso (B) en la figura 1, sin votación. Por
lo tanto, la tasa de respuesta de votación promedio para la dirección IP
el número total de votos de los adversarios supera  /2. La figura 2
IPBal nodo A se puede calcular como (  -1)×50×28×8/    =11.2 (  - 1)/   
muestra los valores teóricos y los valores medidos de la
Kbps. Por lo tanto, la tasa de respuesta de votación agregada al nodo A
probabilidad de decisión falsa. Cada valor de medición se obtiene
es11.2 (  - 1)/    Kbps. Si  =  , la tasa se convierte en 11.2 (  - 1)/    Kbps. Si
de 200 experimentos. Los valores teóricos se obtienen
asumimos que   es un dia y   = 255, entonces, la tasa de respuesta de
aproximando la distribución binomial de  en (1) por distribución
votación promedio para el nodo A es de aproximadamente 8,4 Kbps.
gaussiana   (  ,   (1 -  )). Observamos que los ratios de decisiones
Por lo tanto, la sobrecarga del tráfico de votación no es significativa
falsas medidas son siempre cero de forma diferente a los
para una subred pequeña.
resultados teóricos. Cuando derivamos la distribución binomial
para , asumimos que el resultado de cada votación es
III. PAGERFORMANCE ANÁLISIS independiente de otros resultados. Sin embargo, encontramos que
Primero investigamos si un host bajo ataque DoS puede responder a solicitudes ARP para verificar la viabilidad del
los votos de diferentes nodos están llegando aproximadamente de
mecanismo correspondiente al caso (B) en la Fig. 1. Medimos la probabilidad de respuesta de un host víctima bajo
manera rotatoria. Debido a un patrón bastante determinista de los
ataque DoS para varios números de solicitudes ARP en una LAN de 100 Mbps, e incluso una respuesta de un solo
resultados de la votación, las proporciones de decisiones falsas se
paquete para múltiples solicitudes de ARP se considera una respuesta exitosa de la víctima. Usamos varios patrones de
miden en casi cero cuando los nodos habilitados para MR-ARP
ataque DoS: inundación SYN, inundación UDP, inundación ICMP y ataque pitufo ICMP, y la probabilidad de respuesta
superan en número a los nodos adversarios.
más baja se obtuvo del ataque pitufo porque más máquinas han estado involucradas en el ataque que para otros tipos
El nodo A habilitado para MR-ARP responde a una solicitud de ARP

de ataques DoS. El número de nodos de ataque involucrados es 25 para el ataque pitufo. La Tabla I muestra el
destinada a sí mismo enviando un mensaje de respuesta de ARP como ARP

resultado correspondiente al ataque de los pitufos. Encontramos que la probabilidad de respuesta del 99% se logra si
actual. Aunque el nodo A es el único nodo habilitado para MR-ARP en la LAN,

se envían al menos 20 paquetes ARP. Por lo tanto, el algoritmo para el caso (B) en la Fig. 1 puede funcionar de manera
el nodo A puede aceptar el mapeo IP / MAC recibido para una nueva

confiable para los patrones de ataque DoS seleccionados. Si un nodo víctima está desactivado por otro tipo de ataque
dirección IP usando la regla para (C) en la Fig. 1. Por lo tanto, MR-ARP es

DoS en el peor de los casos, entonces el ataque MITM no puede ser válido según la definición de MITM. Sin embargo,
compatible con versiones anteriores de ARP existente.

cuando la víctima se recupere, podría estar sujeta al ataque MITM. En este caso, si la víctima envía una solicitud de

votación para su propia dirección IP bajo el supuesto de que hay un número suficiente de nodos habilitados para MR-
IV. CONCLUSIONES
ARP, entonces la víctima puede saber fácilmente si su propia dirección IP es utilizada por otra máquina. sobre los Se propone un nuevo mecanismo para prevenir ataques MITM
resultados de la votación y evite el ataque MITM al detener el uso de la dirección IP interceptada. Si un nodo víctima basados en envenenamiento de ARP basado en dos conceptos clave:
está desactivado por otro tipo de ataque DoS en el peor de los casos, entonces el ataque MITM no puede ser válido tabla de mapeo IP / MAC a largo plazo y votación. Aunque el esquema
según la definición de MITM. Sin embargo, cuando la víctima se recupere, podría estar sujeta al ataque MITM. En este propuesto está instalado en una pequeña cantidad de hosts, pueden
caso, si la víctima envía una solicitud de votación para su propia dirección IP bajo el supuesto de que hay un número protegerse bien mediante la colaboración basada en votaciones. Dado
suficiente de nodos habilitados para MR-ARP, entonces la víctima puede saber fácilmente si su propia dirección IP es que el esquema propuesto no utiliza criptografía ni servidores
utilizada por otra máquina. sobre los resultados de la votación y evite el ataque MITM al detener el uso de la dirección centrales, no tiene problemas de complejidad y de punto único de falla
IP interceptada. Si un nodo víctima está desactivado por otro tipo de ataque DoS en el peor de los casos, entonces el mientras logra compatibilidad con versiones anteriores de ARP.
ataque MITM no puede ser válido según la definición de MITM. Sin embargo, cuando la víctima se recupere, podría

estar sujeta al ataque MITM. En este caso, si la víctima envía una solicitud de votación para su propia dirección IP bajo

el supuesto de que hay un número suficiente de nodos habilitados para MR-ARP, entonces la víctima puede saber REFERENCIAS
fácilmente si su propia dirección IP es utilizada por otra máquina. sobre los resultados de la votación y evite el ataque
[1] Y. Bhaiji, Tecnologías y soluciones de seguridad de red. Prensa de Cisco, 2008.
MITM al detener el uso de la dirección IP interceptada.

A continuación, evaluamos el mecanismo de resolución basado en la votación [2] I. Teterin, Antidote, http://online.securityfocus.com/archive/1/299929.
[3] D. Bruschi, A. Ornaghi y E. Rosti, "S-ARP: un protocolo de resolución de direcciones
en un banco de pruebas donde seis máquinas habilitadas para MR-ARP, que son seguras", en Proc. Conferencia anual de aplicaciones de seguridad informática
Las PC de doble núcleo a 2,66 GHz y varias máquinas adversarias coludidas, (ACSAC), 2003.
que son PC de cuatro núcleos a 2,66 GHz, están interconectadas mediante [4] W. Lootah, W. Enck y P. McDaniel, "TARP: protocolo de resolución de direcciones
basado en tickets", Red de computadoras, vol. 51, págs. 4322-4337, octubre de
un conmutador Ethernet Gigabit. Implementamos el mecanismo MR-ARP 2007.
propuesto en Fedora 9 Linux (kernel 2.6.25) modificando el código del [5] SM Ross, Modelos de probabilidad para la informática. Harcourt /
módulo ARP. Se toma una decisión falsa cuando Academic Press, 2002.

También podría gustarte