ARP Una herramienta bastante desconocida




Comando ARP
Muestra y modifica las tablas de conversión de direcciones IP en direcciones físicas que usa el protocolo de resolución de direcciones. El protocolo arp (address resolution protocol) es el encargado de “traducir” las direcciones ip a las correspondientes direcciones de hardware. En ethernet & Token ring estas direcciones suelen tener 48 bits. La traducción inversa la hace el protocolo RARP o (Reverse ARP). Cuando un computador necesita resolver una dirección IP a una MAC, lo que hace es efectuar una petición arp (Arp request) a la broadcast de dicho segmento de red, FF:FF:FF:FF:FF:FF, solicitando que el equipo con dicha IP responda con su dirección ethernet (MAC).
para conocer el sintax completo de la orden solo debes escribir:
c:>arp /?
Tomemos un ejemplo muy sencillo. Supongamos que tengo una red compuesta de varias máquinas. Dos de ellas que están en mi red son team con dirección IP 10.0.0.1 y spy con dirección IP 10.0.0.2. Ahora team quiere hacer ping hacia spy para ver si está viva, pero, ¡vaya!, team no tiene idea de dónde está spy. De manera que cuando team decide hacer ping hacia spy necesita realizar una consulta ARP. Esta consulta ARP es algo así como si team gritase en la red «¡spy (10.0.0.2)! ¿Dónde estás?» Como resultado de esto, cada máquina de la red escuchará el grito de team, pero sólo spy (10.0.0.2) responderá. spy enviará entonces una respuesta ARP directamente a team, que viene a ser como si spy dijese, «team (10.0.0.1), estoy aquí en 00:60:94:E9:08:12». Después de esta sencilla transacción que sirve para localizar a su amigo en la red, team es capaz de comunicarse con spy hasta que olvide (su caché arp) dónde está spy (normalmente tras 15 minutos).
Si deseas conocer las direcciones de otros equipos que conforman la red, haremos uso de la cache arp de nuestro equipo, mediante el comando arp -a. Este comando nos mostrará la relación IP/MAC de los equipos que la cache tiene almacenados en ese momento (Si quieres obtener la dirección ethernet, de una maquina, primero le hacess un ping. De esta forma almacenarás la dirección MAC en tu cache y mediante arp -a podrás obtener su dirección MAC). Cada vez que desees comunicar con un equipo de la red, debes conocer su dirección MAC. Para ello enviarás un arp-request a la dirección de Broadcast, solicitando la MAC de la ip del equipo con el que quieres hacer contacto. Este responderá con un arp-reply informando de su MAC. La cual, será almacenada el la cache arp, durante algunos minutos, para futuros contactos. De esta forma no tendrás que volver a solicitar la dirección MAC. Aquí es donde comienza el problema.
Con el fin de reducir el tráfico en la red, cada arp-reply que llega a la tarjeta de red es almacenado en la cache, incluso si la petición no la realizas tu. Es decir, todo arp-reply que llega es almacenado en la cache. Este factor es el que usaras para realizar arp-spoofing.
Arp-Spoofing
Este método coloca la interfaz de red en modo promiscuo. En realidad esto no es necesario porque los paquetes son para tu pc y el switch enrutará los paquetes hacia ti. Veamos como es la cosa. El método consiste en “envenenar” la cache arp de las dos máquinas que quieres sniffear. Una vez que las caches estén envenenadas, los dos hosts comenzarán la comunicación, pero los paquetes serán para ti, los sniffeas y los enrutas de nuevo al host apropiado. De esta forma la comunicación es transparente para los dos hosts. L a única forma de descubrir que existe “un intruso” en nuestra conexión sería ver la cache arp de nuestra máquina y comprobar si existen dos maquinas con la misma dirección MAC. El esquema de la comunicación es sencillo: Desde nuestra máquina enviaremos paquetes de tipo arp-reply falsos a las dos host que queremos sniffear. En estos reply’s debemos de decirle al host 1 que la dirección ethernet del segundo host es la nuestra, quedando esta información almacenada en su cache arp. Este equipo enviará ahora los paquetes al host 2 pero con nuestra dirección MAC. Los paquetes ya son tuyos. :D
Para evitar que se refresque la verdadera coinexión entre los dos host enviamos un flujo constante de arp-reply al host 1 y host 2 con los siguientes datos:
HOST 1 : arp-reply informando que 192.168.0.2 tiene dirección MAC 03:03:03:03:03:03
HOST 2 : arp-reply informando que 192.168.0.1 tiene dirección MAC 03:03:03:03:03:03
De esta forma estamos “envenenando” las cache arp. A partir de ahora lo paquetes que se envíen entre ambas nos llegarán a nosotros, pero para que ambos hosts no noten nada extraño, deberemos de hacer llegar los paquetes a su destino final. Para ello deberemos de tratar los paquetes que recibamos en función del host de origen:
Paquetes procedentes de HOST 1 -----------------> reenviar a 02:02:02:02:02:02
Paquetes procedentes de HOST 2 -----------------> reenviar a 01:01:01:01:01:01
De esta forma la comunicación entre ambos no se ve interrumpida, y puedes “ver” todo el tráfico entre ellos. Solo tienes que utilizar un sniffer para poder capturar y filtrar el tráfico entre amos, ya sea login/passwd de telnet, ftp, POP3,..., o incluso la sesión completa. Eso ya depende de la habilidad y el interés que tengas. Existen varios programas para usar con el arp-spoofing: Arptool, Arp-Fun, ettercap. Este último esta muy completo, ya que permite varios tipos de sniffeo: Por IP, MAC y Arp-Spoofing. Pudiendo ejecutarse bien en modo comando, o mediante un entorno de ventanas. En este entorno se mostrará al inicio un listado de los hosts encontrados en la LAN. Para realizar esta búsqueda, el programa envía un ARP-REQUEST de las IP teniendo en cuenta la IP del host donde se está ejecutando y la máscara de red. Obteniendo a continuación los ARP-REPLYs podremos componer la lista de los hosts presentes en la red. Hay que tener mucho cuidado con la máscara de red que usemos, porque si es de clase B (255.255.0.0) el programa realizará 255*255=65025 ARP-REQUEST, lo cual le llevará su tiempo ya que el retardo entre cada petición es de 1 milisegundo.
Puedes usar el ARP para:
1.- espiar en nuestra red. 2.- ataques DoS (Denegación de servicio)
3.- Cualquier otro :D


Otras artículos de interés:

Algunas Restricciones en Información de Apache
Editamos el archivo /etc/apache2/conf.d/security sudo su nano /etc/apache2/conf.d/security Cambiamos o agregamos: # Por default viene en ServerTokens OS ...
Como colocar un Navegador por Defecto en UBUNTU
Desde la terminal (consola) usa este comando sudo update-alternatives --config x-www-browser Pedira su clave de root, y aparecera un mensaje similar a este: Hay 2 opciones para la alternativa x-www-browser ( proporc...
Prevenir IP Spoofing Ubuntu / LinuxMint
Por spoofing se conoce a la creación de tramas TCP/IP utilizando una dirección IP falseada. Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente...
errors /var/lib/dpkg/status Ubuntu y derivados
Error occurred while processing install-info (UsePackage2) o algun error similar del dpkg. Este es un error bastante común, ocurre usualmente cuando se instala un paquete y por alguna razón se daña alguna de...
GtkOrphan: Elimina los huerfanos! (Ubuntu/LinuxMint)
GtkOrphan es una aplicacion gráfica para los sistemas Debian o basados en ella (Ubuntu, LinuxMint por ejemplo) que soporten Perl/Gtk2 para analizar el estado de sus instalaciones, en busca de bibliotecas huérfanas. E...
¿Como hago preguntas inteligentes en un foro hacker?
En el mundo de los hackers, el tipo de respuestas que obtengas a tus preguntas técnicas depende tanto de la manera en que formules tus preguntas como de la dificultad de desarrollar la respuesta. En esta guía se enseñará cómo preguntar de manera...
Scam (fraude) en el mundo de las criptomonedas
Desde que se ha popularizado los bitcoins se han generados miles de sitios web para engañar y/o estafar a las personas con ansias de hacer dinero fácil. Esos sitios algunos basados en el sistema ponzi, otros sencillamente con solicitud de gananc...
Instalar pcloud en Debian, Ubuntu, Linux Mint y derivados
pcloud es un sistema de almacenaje en la nube similar a Mega y Dropbox, te otorga 10 GB gratis. Es una alternativa más para mantener tus archivos respaldados en la nube, uno nunca sabe cuando el disco duro pueda dañarse o cualquier otro problema...
Windows vs. Linux, Mitos y Realidades
En un enlace en los servidores de Microsoft, que data del 2003 y para esa fecha "probablemente" el autor tendría algunos aciertos sobre lo que escribe. El enlace fue enviado a la lista de seguridad0.com donde los integrantes...
centOS: ERROR! MySQL is not running, but lock file (/var/lock/subsys/mysql)
Se soluciona facilmente con: rm /var/lock/subsys/mysql Ojo, debe ser root ahora; /etc/init.d/mysql start luego /etc/init.d/mysql stat...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • arp
  • bastante
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • desconocida
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • herramienta
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra