ARP Una herramienta bastante desconocida


Comando ARP
Muestra y modifica las tablas de conversión de direcciones IP en direcciones físicas que usa el protocolo de resolución de direcciones. El protocolo arp (address resolution protocol) es el encargado de “traducir” las direcciones ip a las correspondientes direcciones de hardware. En ethernet & Token ring estas direcciones suelen tener 48 bits. La traducción inversa la hace el protocolo RARP o (Reverse ARP).





Cuando un computador necesita resolver una dirección IP a una MAC, lo

que hace es efectuar una petición arp (Arp request) a la broadcast de

dicho segmento de red, FF:FF:FF:FF:FF:FF, solicitando que el equipo

con dicha IP responda con su dirección ethernet (MAC).

para conocer el sintax completo de la orden solo debes escribir:

c:>arp /?

Tomemos un ejemplo muy sencillo. Supongamos que tengo una red

compuesta de varias máquinas. Dos de ellas que están en mi red son

team con dirección IP 10.0.0.1 y spy con dirección IP 10.0.0.2. Ahora

team quiere hacer ping hacia spy para ver si está viva, pero, ¡vaya!,

team no tiene idea de dónde está spy. De manera que cuando team decide

hacer ping hacia spy necesita realizar una consulta ARP. Esta consulta

ARP es algo así como si team gritase en la red «¡spy (10.0.0.2)!

¿Dónde estás?» Como resultado de esto, cada máquina de la red

escuchará el grito de team, pero sólo spy (10.0.0.2) responderá. spy

enviará entonces una respuesta ARP directamente a team, que viene a

ser como si spy dijese, «team (10.0.0.1), estoy aquí en

00:60:94:E9:08:12». Después de esta sencilla transacción que sirve

para localizar a su amigo en la red, team es capaz de comunicarse con

spy hasta que olvide (su caché arp) dónde está spy (normalmente tras

15 minutos).



Si deseas conocer las direcciones de otros equipos que conforman la

red, haremos uso de la cache arp de nuestro equipo, mediante el

comando arp -a. Este comando nos mostrará la relación IP/MAC de los

equipos que la cache tiene almacenados en ese momento (Si quieres

obtener la dirección ethernet, de una maquina, primero le hacess un

ping. De esta forma almacenarás la dirección MAC en tu cache y

mediante arp -a podrás obtener su dirección MAC). Cada vez que desees

comunicar con un equipo de la red, debes conocer su dirección MAC.

Para ello enviarás un arp-request a la dirección de Broadcast,

solicitando la MAC de la ip del equipo con el que quieres hacer

contacto. Este responderá con un arp-reply informando de su MAC. La

cual, será almacenada el la cache arp, durante algunos minutos, para

futuros contactos. De esta forma no tendrás que volver a solicitar la

dirección MAC. Aquí es donde comienza el problema.

Con el fin de reducir el tráfico en la red, cada arp-reply que llega a

la tarjeta de red es almacenado en la cache, incluso si la petición no

la realizas tu. Es decir, todo arp-reply que llega es almacenado en la

cache. Este factor es el que usaras para realizar arp-spoofing.


Arp-Spoofing

Este método coloca la interfaz de red en modo promiscuo. En realidad

esto no es necesario porque los paquetes son para tu pc y el switch

enrutará los paquetes hacia ti. Veamos como es la cosa.

El método consiste en “envenenar” la cache arp de las dos máquinas que

quieres sniffear. Una vez que las caches estén envenenadas, los dos

hosts comenzarán la comunicación, pero los paquetes serán para ti, los

sniffeas y los enrutas de nuevo al host apropiado. De esta forma la

comunicación es transparente para los dos hosts. L a única forma de

descubrir que existe “un intruso” en nuestra conexión sería ver la

cache arp de nuestra máquina y comprobar si existen dos maquinas con

la misma dirección MAC. El esquema de la comunicación es sencillo:


Desde nuestra máquina enviaremos paquetes de tipo arp-reply falsos a

las dos host que queremos sniffear. En estos reply’s debemos de

decirle al host 1 que la dirección ethernet del segundo host es la

nuestra, quedando esta información almacenada en su cache arp. Este

equipo enviará ahora los paquetes al host 2 pero con nuestra dirección

MAC. Los paquetes ya son tuyos. :D

Para evitar que se refresque la verdadera coinexión entre los dos host

enviamos un flujo constante de arp-reply al host 1 y host 2 con los

siguientes datos:

HOST 1 : arp-reply informando que 192.168.0.2 tiene dirección MAC

03:03:03:03:03:03

HOST 2 : arp-reply informando que 192.168.0.1 tiene dirección MAC

03:03:03:03:03:03

De esta forma estamos “envenenando” las cache arp. A partir de ahora

lo paquetes que se envíen entre ambas nos llegarán a nosotros, pero

para que ambos hosts no noten nada extraño, deberemos de hacer llegar

los paquetes a su destino final. Para ello deberemos de tratar los

paquetes que recibamos en función del host de origen:


Paquetes procedentes de HOST 1 -----------------> reenviar a

02:02:02:02:02:02

Paquetes procedentes de HOST 2 -----------------> reenviar a

01:01:01:01:01:01


De esta forma la comunicación entre ambos no se ve interrumpida, y

puedes “ver” todo el tráfico entre ellos. Solo tienes que utilizar un

sniffer para poder capturar y filtrar el tráfico entre amos, ya sea

login/passwd de telnet, ftp, POP3,..., o incluso la sesión completa.

Eso ya depende de la habilidad y el interés que tengas.

Existen varios programas para usar con el arp-spoofing: Arptool,

Arp-Fun, ettercap. Este último esta muy completo, ya que permite

varios tipos de sniffeo: Por IP, MAC y Arp-Spoofing. Pudiendo

ejecutarse bien en modo comando, o mediante un entorno de ventanas. En

este entorno se mostrará al inicio un listado de los hosts encontrados

en la LAN. Para realizar esta búsqueda, el programa envía un

ARP-REQUEST de las IP teniendo en cuenta la IP del host donde se está

ejecutando y la máscara de red. Obteniendo a continuación los

ARP-REPLYs podremos componer la lista de los hosts presentes en la

red. Hay que tener mucho cuidado con la máscara de red que usemos,

porque si es de clase B (255.255.0.0) el programa realizará

255*255=65025 ARP-REQUEST, lo cual le llevará su tiempo ya que el

retardo entre cada petición es de 1 milisegundo.

Puedes usar el ARP para:
1.- espiar en nuestra red. 2.- ataques DoS (Denegación de servicio)
3.- Cualquier otro :D



Otras noticias de interés:

Detalles sobre la vulnerabilidad de Microsoft Excel
Microsoft ha publicado nuevos detalles sobre la vulnerabilidad que afecta a Microsoft Excel, junto con algunas técnicas para mitigar el posible impacto. El fallo se debe a una validación errónea de memoria que puede derivar en la ejecución de có...
MySQL publica un parche de seguridad
MySQL ha emitido esta semana un parche de seguridad que cubre diversas vulnerabilidades de su base de datos de código abierto MySQL. Aprovechándolas, los atacantes pueden descubrir información corporativa sensible....
El principio del fin para Windows NT... ¿Días contados?
Descubierta una vulnerabilidad en el servicio RCP Endpoint Mapper, presente por defecto en el puerto TCP/135 en Windows NT 4.0, 2000 y XP. Microsoft publica el parche para Windows 2000 y XP, mientras que deja a todos los sistemas Windows NT vulnerabl...
La vulnerabilidad en Firefox pudo ser una broma
La vulnerabilidad anunciada como 0 day para Mozilla Firefox ha podido ser una broma de mal gusto a la que se ha dado demasiada credibilidad. Parece que el error no permite la ejecución de código, y (por ahora) representa un simple fallo que h...
Desbordamiento de buffer en Winamp
Según informó SecurityFocus, se descubrió en Winamp de Nullsoft un problema de seguridad que posibilitaría a un atacante ejecutar código. Según SecurityFocus, Winamp es vulnerable a una condición de desbordamiento de buffer cuando comprueba la...
Nueva versión de EyeOS 2.0 Beta
EyeOS es un escritorio web muy potente con el que se puede trabajar no importa donde estemos garantizando la protección de los datos....
WMF, conspiraciones y Windows Vista
Steve Gibson ha publicado una, cuando menos, curiosa teoría. La famosa vulnerabilidad de los Windows MetaFile (WMF) que ha supuesto una pesadilla para Microsoft (obligándola, quizás por presiones externas, a romper su ciclo...
Geolocalización, aliada de los ciberdelincuentes
Los cada vez más abundantes servicios que utilizan la geolocalización, así como la confianza de los usuarios revelando información a través de las redes sociales, son armas utilizadas por los delincuentes para preparar ataques más concretos y d...
VPN o Redes Privadas Virtuales (Parte II)
Beneficios de una VPN Actualmente, las VPNs pueden aportar grandes beneficios a las empresas, por la diversidad de servicios que ofrecen y que ayudan a fortalecer los objetivos del negocio. Una estrategia de VPN debe estar basada en fun...
Actualizaciones de seguridad para Sun Java
Sun ha anunciado actualizaciones de seguridad para dos vulnerabilidades en Java, que podrían poner en peligro los equipos de los usuarios que tengan instaladas las versiones afectadas (Windows y Linux). ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • arp
  • bastante
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • desconocida
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • herramienta
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra