Protocolo ARP

Address Resolution Protocol

Protocolo de Resolucin de Direcciones
ARP Por qu?
La MAC es una direccin de la capa de enlace de
datos que depende del hardware que se utilice.
Tambin se conoce como direccin Ethernet o
direccin de control de acceso al medio (MAC).
La direccin IP trabaja en la capa de red y no
entiende nada acerca de MACs que manejan nodos
induviduales dentro de la red.
Se necesita un protocolo estndar que los relacione
para que un datagrama pueda llegar a su destino. El
protocolo ARP recogido en la RFC826.
ARP El mensaje
Tipo de HW: Identifica el tipo
de hardware que se utiliza:
Ethernet, ATM, HDLC, ...
Tipo de Protocolo: IPv4
Tamao de direccin HW:
para Ethernet (MAC) son 6
bytes.
Tamao de direccin de
protocolo: Para la IPv4 son 4
bytes.
Operacin ARP: Peticin o
respuesta.
Tipo de HW
Tipo de Protocolo
Tamao de
direccin HW
Operacin ARP
Tamao de
direccin protocolo
Direccin HW origen
Direccin protocolo origen
Direccin HW destino
Direccin protocolo destino
ARP El mensaje
Utilizando Wireshark
ARP Cmo funciona?
Tenemos un host A que quiere mandar un
datagrama a la direccin IP pero si no conoce la
direccin Ethernet que tiene, por lo que mandar
una peticin ARP en difusin y el que tiene la IP de
peticin proceder a almacenar el par de direcciones
del solicitante y despus contestar.
Al llegar al origen el par que se solicitaba se
almacenar.
El almacenamiento de los pares de direcciones se
realizan en una tabla local que cada host tiene que se
llama cach ARP.
Cach ARP
Debido a que la red debe de estar continuamente
comunicandose para la resolucin de direcciones sta puede
convertirse en un problema debido al consumo de recursos en
la red.
Debido a que la peticin es en difusin todos los host deben
de gastar un tiempo de CPU preciado para examinar el
paquete de peticin.
Se solucion con una tabla local en la que guardar los pares de
direcciones.
Existen dos formas de almacenamiento en la cache:
Esttico
Dinmico
Puede ser vulnerable a un ataque de falsificacin de paquetes
ARP: ARP Spoofing.
Envenenamiento ARP
Este tipo de vulnerabilidad consiste en el
envenenamiento de las tablas ARP de los host
implicados.
Tambin conocido como ARP Spoofing,
Falsificacin ARP...
Se aprovecha de que las tablas son dinmicas y
cambian conforme le llegan respuestas ARP,
aunque no hayan pedido peticin ninguna.
Envenenamiento ARP: Escenario
Tenemos un router, y dos host una la vctima y
otra el atacante.
El objetivo es envenenar la tabla ARP para poder
llegar a situarse en medio de la comunicacin
entre el router y el host de la vctima. Este
mtodo se conoce como MITM (Man in the
Middle).
Utilizar un cliente de mensajera para
comprobar la vulnerabilidad a la hora de
mandar mensajes.
Envenenamiento ARP: Herramientas
Distribucin linux preferida. Ubuntu Jaunty Jackalope.
dnsspoof
wireshark

Envenenamiento ARP
Manos a la obra
Despus de instalar todas las herramientas necesarias necesitamos poner el
ip_forward a 1 para habilitar el reenvio de paquetes desde nuestro equipo atacante.



Ahora utilizando una herramienta que es parte de DnsSpoof invocamos los procesos
para envenenar las cach ARP


Envenenamiento ARP
La obra continua
Si en el host de la vctima visualizamos su cache ARP podemos
encontrarnos con lo siguiente:



Donde antes tenamos


Imaginemos que utilizamos un cliente de mensajera, el MSN y
escribimos algunos mensajes a algn contacto:

Envenenamiento ARP
El destape
Ahora utilizando el programa Wireshark y
utilizando como filtro msnms
Envenenamiento ARP
Para curiosos
A este mtodo se le puede aadir la falsificacin
de DNS con dnsspoof por ejemplo de Gmail para
que pase toda la informacin a nuestro host
atacante y despues utilizar ssldump para poder
desencriptar el contenido seguro.
Posibles soluciones
Una posible solucin pasa por insertar de manera
esttica la cach ARP esto puede ser demasiado
costoso cuando hablamos de muchos host en la red.
Otra solucin viene implementada en algunos
dispositivos en los que se evita este tipo de ataque y
se conoce como DHCP Snooping
Para detectarlo puede hacerse uso del protocolo
RARP que es el ARP inverso en el que se pregunta
por una direccin Ethernet y devuelve una IP.
Conclusin
Como hemos visto en el mundo de las redes de la
informacin no siempre todo es seguro.
Hemos visto que el ataque es en una LAN, pero
conocemos muy bien las vulnerabilidades
existentes hoy en da en las redes inalmbricas,
por lo que podran acceder a la red local sin
ningn problema.
Tienen que tomarse medidas preventivas y
curativas para evitar que la seguridad de la
informacin quede vulnerada.
Bibliografa y direcciones de inters
http://www.ietf.org/rfc/rfc826.txt
http://www.tcpipguide.com/free/t_AddressResolutionandtheTCPI
PAddressResolutionProto.htm
http://es.wikipedia.org/wiki/ARP_Spoofing
http://www.oxid.it/downloads/apr-intro.swf
http://technet.microsoft.com/es-es/library/cc758357(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc755489(WS.10).aspx
http://foro.elhacker.net/hacking_avanzado/esnifando_redes_con
mutadasarp_spoof_mitm_sniffer_sobre_ssl-
t223015.0.html;msg1058386
http://www.erg.abdn.ac.uk/users/gorry/course/inet-
pages/arp.html