Suplantación de ARP

Ciberataque que asocia la dirección MAC del atacante con la dirección IP de otro host

Un ataque exitoso de suplantación de identidad (envenenamiento) de ARP permite a un atacante alterar el enrutamiento en una red, lo que permite efectivamente un ataque de intermediario.

En las redes de computadoras , la suplantación de ARP , el envenenamiento de la caché ARP o el enrutamiento envenenado de ARP es una técnica mediante la cual un atacante envía ( falsificados ) mensajes del Protocolo de resolución de direcciones (ARP) a una red de área local . Generalmente, el objetivo es asociar la dirección MAC del atacante con la dirección IP de otro host , como la puerta de enlace predeterminada , haciendo que cualquier tráfico destinado a esa dirección IP se envíe al atacante.

La suplantación de ARP puede permitir a un atacante interceptar tramas de datos en una red, modificar el tráfico o detener todo el tráfico. A menudo, el ataque se utiliza como apertura para otros ataques, como ataques de denegación de servicio , hombre en el medio o secuestro de sesión . ^[1]

El ataque sólo se puede utilizar en redes que utilizan ARP y requiere que el atacante tenga acceso directo al segmento de la red local que se va a atacar. ^[2]

Vulnerabilidades ARP

El Protocolo de resolución de direcciones (ARP) es un protocolo de comunicaciones ampliamente utilizado para resolver direcciones de capa de Internet en direcciones de capa de enlace .

Cuando se envía un datagrama de Protocolo de Internet (IP) de un host a otro en una red de área local , la dirección IP de destino debe resolverse en una dirección MAC para la transmisión a través de la capa de enlace de datos . Cuando se conoce la dirección IP de otro host y se necesita su dirección MAC, se envía un paquete de difusión a la red local. Este paquete se conoce como solicitud ARP . La máquina de destino con la IP en la solicitud ARP responde con una respuesta ARP que contiene la dirección MAC para esa IP. ^[2]

ARP es un protocolo sin estado . Los hosts de la red almacenarán en caché automáticamente cualquier respuesta ARP que reciban, independientemente de si los hosts de la red las solicitaron. Incluso las entradas ARP que aún no hayan caducado se sobrescribirán cuando se reciba un nuevo paquete de respuesta ARP. No existe ningún método en el protocolo ARP mediante el cual un host pueda autenticar al igual desde el cual se originó el paquete. Este comportamiento es la vulnerabilidad que permite que se produzca la suplantación de ARP. ^{[1] [2] [3]}

Anatomía del ataque

El principio básico detrás de la suplantación de ARP es explotar la falta de autenticación en el protocolo ARP enviando mensajes ARP falsificados a la LAN. Los ataques de suplantación de ARP se pueden ejecutar desde un host comprometido en la LAN o desde la máquina de un atacante que esté conectada directamente a la LAN de destino.

Un atacante que utilice la suplantación de ARP se disfrazará de host para la transmisión de datos en la red entre los usuarios. ^[4] Entonces los usuarios no sabrían que el atacante no es el verdadero host de la red. ^[4]

Generalmente, el objetivo del ataque es asociar la dirección MAC del host del atacante con la dirección IP de un host objetivo , de modo que cualquier tráfico destinado al host objetivo se envíe al host del atacante. El atacante puede optar por inspeccionar los paquetes (espionaje), mientras reenvía el tráfico al destino predeterminado real para evitar ser descubierto, modificar los datos antes de reenviarlos ( ataque de hombre en el medio ) o lanzar una denegación de servicio. ataque provocando que algunos o todos los paquetes de la red se eliminen.

Defensas

Entradas ARP estáticas

La forma más sencilla de certificación es el uso de entradas estáticas de sólo lectura para servicios críticos en la caché ARP de un host. Las asignaciones de dirección IP a dirección MAC en la caché ARP local se pueden ingresar estáticamente. Los hosts no necesitan transmitir solicitudes ARP donde existen dichas entradas. ^[5] Si bien las entradas estáticas brindan cierta seguridad contra la suplantación de identidad, resultan en esfuerzos de mantenimiento, ya que se deben generar y distribuir asignaciones de direcciones para todos los sistemas en la red. Esto no se escala en una red grande ya que la asignación debe configurarse para cada par de máquinas, lo que da como resultado n ² - n entradas ARP que deben configurarse cuando hay n máquinas presentes; En cada máquina debe haber una entrada ARP para todas las demás máquinas de la red; n-1 entradas ARP en cada una de las n máquinas.

Software de detección y prevención

El software que detecta la suplantación de ARP generalmente se basa en algún tipo de certificación o verificación cruzada de las respuestas de ARP. Luego se bloquean las respuestas ARP no certificadas. Estas técnicas se pueden integrar con el servidor DHCP para que se certifiquen direcciones IP tanto dinámicas como estáticas . Esta capacidad puede implementarse en hosts individuales o puede integrarse en conmutadores Ethernet u otros equipos de red. La existencia de múltiples direcciones IP asociadas con una única dirección MAC puede indicar un ataque de suplantación de ARP, aunque existen usos legítimos de dicha configuración. En un enfoque más pasivo, un dispositivo escucha las respuestas ARP en una red y envía una notificación por correo electrónico cuando cambia una entrada ARP. ^[6]

AntiARP ^[7] también proporciona prevención de suplantación de identidad basada en Windows a nivel del kernel. ArpStar es un módulo de Linux para kernel 2.6 y enrutadores Linksys que descarta paquetes no válidos que violan el mapeo y contiene una opción para volver a envenenar o reparar.

Algunos entornos virtualizados, como KVM, también proporcionan mecanismos de seguridad para evitar la suplantación de MAC entre invitados que se ejecutan en el mismo host. ^[8]

Además, algunos adaptadores Ethernet proporcionan funciones antisuplantación de identidad MAC y VLAN. ^[9]

OpenBSD observa pasivamente los hosts que se hacen pasar por el host local y notifica en caso de cualquier intento de sobrescribir una entrada permanente ^[10]

seguridad del sistema operativo

Los sistemas operativos reaccionan de manera diferente. Linux ignora las respuestas no solicitadas, pero, por otro lado, utiliza respuestas a solicitudes de otras máquinas para actualizar su caché. Solaris acepta actualizaciones de entradas sólo después de un tiempo de espera. En Microsoft Windows, el comportamiento de la caché ARP se puede configurar a través de varias entradas de registro en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpAlwaysSourceRoute, ArpRetryCount. ^[11]

Uso legítimo

Las técnicas que se utilizan en la suplantación de ARP también se pueden utilizar para implementar la redundancia de los servicios de red. Por ejemplo, algunos programas permiten que un servidor de respaldo emita una solicitud ARP gratuita para reemplazar un servidor defectuoso y ofrecer redundancia de manera transparente. ^{[12] [13]} Circle ^[14] y CUJO son dos empresas que han comercializado productos centrados en esta estrategia.

Los desarrolladores suelen utilizar la suplantación de ARP para depurar el tráfico IP entre dos hosts cuando se utiliza un conmutador: si el host A y el host B se comunican a través de un conmutador Ethernet, su tráfico normalmente sería invisible para un tercer host de monitoreo M. El desarrollador configura A debe tener la dirección MAC de M para B y B debe tener la dirección MAC de M para A; y también configura M para reenviar paquetes. M ahora puede monitorear el tráfico, exactamente como en un ataque de intermediario.

Herramientas

Defensa

suplantación de identidad

Algunas de las herramientas que se pueden utilizar para realizar ataques de suplantación de identidad ARP:

• Arpspoof (parte del conjunto de herramientas DSniff )
• arpoison
• Subterfugio ^[23]
• Ettercap
• jeringa ^[24]
• ARP-FILLUP -V0.1 ^[25]
• arp-sk-v0.0.15 ^[25]
• ARPOc-v1.13 ^[25]
• arpalert-v0.3.2 ^[25]
• Arping -v2.04 ^[25]
• arpmitm -v0.2 ^[25]
• arpoison -v0.5 ^[25]
• ArpSpyX-v1.1 ^[25]
• ArpToXin -v 1.0 ^[25]
• Caín y Abel -v 4.3
• cSploit -v 1.6.2 ^[17]
• SwitchSniffer ^[25]
• APE – Motor de envenenamiento ARP ^[26]
• Simsang ^[27]
• zANTI -v2
• elmoCorte ^[18]
• Marco NetSec -v1
• Minario ^[28]
• NetCut ^[29] (También tiene una función de defensa)
• ARPYSHEAR ^[30]

Ver también

• Envenenamiento de caché
• Suplantación de DNS
• Suplantación de dirección IP
• Suplantacion de MAC
• Proxy ARP

Referencias

1. Ramachandran, Vivek y Nandi, Sukumar (2005). "Detección de suplantación de identidad de ARP: una técnica activa". En Jajodia, Suchil y Mazumdar, Chandan (eds.). Seguridad de los sistemas de información: primera conferencia internacional, ICISS 2005, Calcuta, India, 19 al 21 de diciembre de 2005: actas . Birkhauser. pag. 239.ISBN​ 978-3-540-30706-8.
2. Lockhart, Andrew (2007). Trucos de seguridad de la red . O'Reilly. pag. 184.ISBN _ 978-0-596-52763-1.
3. Steve Gibson (11 de diciembre de 2005). "Envenenamiento de la caché ARP". GRC .
4. Luna, Daesung; Lee, Jae Dong; Jeong, Young-Sik; Parque, Jong Hyuk (19 de diciembre de 2014). "RTNSS: un sistema de seguridad de red basado en seguimiento de enrutamiento para prevenir ataques de suplantación de ARP". La revista de supercomputación . 72 (5): 1740-1756. doi :10.1007/s11227-014-1353-0. ISSN  0920-8542. S2CID  18861134. Archivado desde el original el 23 de enero de 2021 . Consultado el 23 de enero de 2021 .
5. Lockhart, Andrés (2007). Trucos de seguridad de la red . O'Reilly. pag. 186.ISBN​ 978-0-596-52763-1.
6. "Un enfoque de seguridad para prevenir el envenenamiento por ARP y herramientas defensivas". Puerta de la investigación . Archivado desde el original el 3 de mayo de 2019 . Consultado el 22 de marzo de 2019 .
7. AntiARP Archivado el 6 de junio de 2011 en Wayback Machine .
8. "Daniel P. Berrangé» Archivo del blog »MAC invitado suplantando la denegación de servicio y previniéndola con libvirt y KVM". Archivado desde el original el 9 de agosto de 2019 . Consultado el 9 de agosto de 2019 .
9. "Copia archivada". Archivado desde el original el 3 de septiembre de 2019 . Consultado el 9 de agosto de 2019 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
10. "Arp(4) - Páginas del manual de OpenBSD". Archivado desde el original el 9 de agosto de 2019 . Consultado el 9 de agosto de 2019 .
11. "Protocolo de resolución de direcciones". 18 de julio de 2012. Archivado desde el original el 23 de enero de 2021 . Consultado el 26 de agosto de 2017 .
12. "Página de manual de OpenBSD para CARP (4)". Archivado desde el original el 5 de febrero de 2018 . Consultado el 4 de febrero de 2018 ., recuperado 2018-02-04
13. Simón Horman. "Ultra Monkey: adquisición de dirección IP". Archivado desde el original el 18 de noviembre de 2012 . Consultado el 4 de enero de 2013 ., consultado el 4 de enero de 2013
14. Barrett, Brian. "Círculo con Disney bloquea los dispositivos para niños desde lejos". Cableado . Archivado desde el original el 12 de octubre de 2016 . Consultado el 12 de octubre de 2016 ., consultado el 12 de octubre de 2016
15. "Antídoto". Archivado desde el original el 13 de marzo de 2012 . Consultado el 7 de abril de 2014 .
16. "Arp_Antidoto". Archivado desde el original el 14 de enero de 2012 . Consultado el 2 de agosto de 2011 .
17. "cSploit". tux_mente. Archivado desde el original el 12 de marzo de 2019 . Consultado el 17 de octubre de 2015 .
18. "elmoCut: EyeCandy ARP Spoofer (página de inicio de GitHub)". GitHub .
19. "XArp". Archivado desde el original el 16 de junio de 2020 . Consultado el 23 de enero de 2021 .
20. anti-arpspoof Archivado el 31 de agosto de 2008 en Wayback Machine.
21. "Guiones de defensa | Envenenamiento por ARP". Archivado desde el original el 22 de enero de 2013 . Consultado el 8 de junio de 2013 .
22. "Defensor de Netcut | Arcai.com". Archivado desde el original el 8 de abril de 2019 . Consultado el 7 de febrero de 2018 .
23. "Proyecto Subterfugio". Archivado desde el original el 27 de abril de 2016 . Consultado el 18 de noviembre de 2013 .
24. "Seringe: herramienta de envenenamiento ARP compilada estáticamente". Archivado desde el original el 16 de septiembre de 2016 . Consultado el 3 de mayo de 2011 .
25. "Vulnerabilidades ARP: la documentación completa". l0T3K. Archivado desde el original el 5 de marzo de 2011 . Consultado el 3 de mayo de 2011 .
26. "Herramienta de envenenamiento de caché ARP para Windows". Archivado desde el original el 9 de julio de 2012 . Consultado el 13 de julio de 2012 .
27. "Simsang". Archivado desde el original el 4 de marzo de 2016 . Consultado el 25 de agosto de 2013 .
28. "Minario". Archivado desde el original el 8 de abril de 2019 . Consultado el 10 de enero de 2018 .
29. "NetCut". Archivado desde el original el 12 de noviembre de 2020 . Consultado el 23 de enero de 2021 .
30. "ARPpySHEAR: una herramienta de envenenamiento de caché ARP que se utilizará en ataques MITM". GitHub . Archivado desde el original el 13 de octubre de 2020 . Consultado el 11 de noviembre de 2019 .

enlaces externos

• Stephanie reina (7 de octubre de 2014). "Borrar su caché ARP en Linux". Ojo de codificadores. Archivado desde el original el 8 de abril de 2019 . Consultado el 5 de marzo de 2018 .