UNIVERSIDAD TECNOLOGICA EQUINOCCIAL

ADMINISTRACION DE REDES

PROTOCOLO ARP
EDISON TOBAR 18 DE MARZO DEL 2013

PROTOCOLO ARP
El protocolo ARP es un protocolo estndar especfico de las redes. Su status es electivo. El protocolo ARP (Address Resolution Protocol), es el encargado de convertir las direcciones IP en direcciones de la red fisica.

Que es ARP? Es el Protocolo de Resolucin de Direcciones (Address Resolution Protocol) que operan en la capa 3 (nivel de red) del modelo OSI de ISO, esta capa es la encargada de proporcionar conectividad y seleccionar la ruta entre dos equipos de la red. Qu funcin tiene el protocolo ARP? Es el encargado de encontrar la MAC de una direccin IP basndose en envi de paquetes ARP request al broadcast de la direccin IP y espera la respuesta ARP reply con la MAC que le corresponde a dicha IP.

ARP Por qu?

La MAC es una direccin de la capa de enlace de datos que depende del hardware que se utilice. Tambin se conoce como direccin Ethernet o direccin de control de acceso al medio (MAC). La direccin IP trabaja en la capa de red y no entiende nada acerca de MACs que manejan nodos induviduales dentro de la red. Se necesita un protocolo estndar que los relacione para que un datagrama pueda llegar a su destino. El protocolo ARP recogido en la RFC826.

ARP El mensaje

Tipo de HW: Identifica el tipo de hardware que se utiliza: Ethernet, ATM, HDLC, ... Tipo de Protocolo: IPv4 Tamao de direccin HW: para Ethernet (MAC) son 6 bytes. Tamao de direccin de protocolo: Para la IPv4 son 4 bytes. Operacin ARP: Peticin o respuesta.

Tipo de HW Tipo de Protocolo

Tamao de direccin HW Tamao de direccin protocolo

Operacin ARP Direccin HW origen

Direccin protocolo origen Direccin HW destino Direccin protocolo destino

Un ejemplo sencillo: Funcionamiento ARP.

ARP pregunta al broadcast por medio de un ARP request ARP request [Quien tiene la IP 192.168.1.1, el que la tenga mndeme su MAC] El equipo con la direccin IP 192.168.1.1 responde. ARP reply [Yo la tengo, mi direccin MAC es FF:FF:FF:FF:FF:FF]
De esta manera ya podremos establecer la comunicacin directa entre estos dos Hosts.

El almacenamiento de los pares de direcciones se realizan en una tabla local que cada host tiene que se llama cach ARP.

Ejemplo 2 :

Alice quiere enviar un paquete a Bob, pero como no sabe que MAC tiene Bob, primero enva una ARP request (ver figura)

Entonces nicamente Bob contesta a la peticin de Alice, enviando su direccin MAC Alice guardar la direccin MAC en una tabla ARP, reemplazando las antiguas entradas en caso de que existan, y solamente queda que Alice enve el paquete con la informacin que ha obtenido de Bob en las cabeceras ARP.

ARP El mensaje

Utilizando Wireshark

Cach ARP

Debido a que la red debe de estar continuamente comunicandose para la resolucin de direcciones sta puede convertirse en un problema debido al consumo de recursos en la red. Debido a que la peticin es en difusin todos los host deben de gastar un tiempo de CPU preciado para examinar el paquete de peticin. Se solucion con una tabla local en la que guardar los pares de direcciones. Existen dos formas de almacenamiento en la cache:
Esttico Dinmico

Puede ser vulnerable a un ataque de falsificacin de paquetes ARP: ARP Spoofing.

Envenenamiento ARP
Este tipo de vulnerabilidad consiste en el envenenamiento de las tablas ARP de los host implicados. Tambin conocido como ARP Spoofing, Falsificacin ARP... Se aprovecha de que las tablas son dinmicas y cambian conforme le llegan respuestas ARP, aunque no hayan pedido peticin ninguna.

Ejemplo de envenenamiento
Cate quiere capturar el trfico generado entre Alice y Bob, por lo que intentar envenenar las tablas ARP de ambos. Para hacerlo enva un paquete ARP a Alice dicindole que a la IP de Bob le corresponde la direccin MAC de Cate y a su vez enva otro a Bob indicando que a la IP de Alice le corresponde la direccin MAC de Cate

Ahora el trfico generado entre Alice y Bob pasar por Cate, tal y como podemos ver en la figura 5, siempre y cuando Cate enve peridicamente los paquetes maliciosos, ya que las tablas se van actualizando de forma peridica

Realizando un ataque de envenenamiento con wireshark http://www.youtube.com/watch?v=XdT myFC4nxQ

Posibles soluciones

Una posible solucin pasa por insertar de manera esttica la cach ARP esto puede ser demasiado costoso cuando hablamos de muchos host en la red. Otra solucin viene implementada en algunos dispositivos en los que se evita este tipo de ataque y se conoce como DHCP Snooping Para detectarlo puede hacerse uso del protocolo RARP que es el ARP inverso en el que se pregunta por una direccin Ethernet y devuelve una IP.