La técnica ARPspoof

ARPspoof es una técnica usada comúnmente por atacantes en redes internas para ataques MITM, DOS o para explotar algún fallo en la victima para obtener acceso al equipo en combinación con técnicas como DNSspoof y sniffing, entre otras.

Address Resolution Protocol (ARP por su siglas en inglés) es un protocolo de capa 2 en el modelo OSI de comunicaciones, que básicamente se encarga de resolver direcciones IP y MAC.

Cuando se envía un paquete de un host a otro hay que indicar en su cabecera la dirección física (MAC), que es un identificador fijo y único asignado a cada tarjeta de red. Cuando una aplicación se quiere comunicar con otra a través de una red usará el protocolo IP para identificar la máquina de destino, pero teniendo en cuenta que las direcciones  IP pueden variar se hace imprescindible asociarlas a las direcciones físicas (MAC). Para ello, se utiliza el protocolo ARP, de modo que cuando un paquete llega a una máquina, esta comprueba que en la cabecera se indique su MAC y si no coincide con la suya, ignorará el paquete.

Todos los datos asociados a las dirección tanto IP como MAC pueden verse en una tabla de ARP, y puede darse el caso de que una aplicación quiera enviar un paquete a una IP que no se encuentra en dicha tabla (al iniciar la PC, esa tabla se encuentra vacía). En ese caso es necesario preguntar quién tiene la IP deseada, y para ello también se usa el ARP. Para realizar dicha pregunta, la máquina enviará un paquete especial dirigido a la MAC ff:ff:ff:ff:ff:ff (broadcast), cuyo contenido será del estilo “¿quién tiene la ip x.x.x.x?”, por lo que cuando las máquinas de la red vean este paquete dirigido a esa dirección MAC especial, leerán el mensaje y únicamente la máquina que tenga la dirección IP por la que se pregunta responderá con otro paquete diciendo “Yo, x:x:x:x:x:x, tengo la dirección IP x.x.x.x”. Lo interesante, es que todas las máquinas de la red recibirán ese paquete, lo leerán y actualizarán sus tablas de IP y MAC con la nueva información, no solo la que hizo la pregunta.

En la siguiente imagen se muestra a modo de ejemplo cómo se ven estas tablas; para poder observar esta información es necesario en Windows ir a: inicio; luego a ejecutar y en el recuadro que aparece escribir cmd;  presionar Enter y una vez en la consola de Windows ejecutar el comando arp -a:



El envenenamiento de las tablas ARP o ARPspoof consiste básicamente en inundar la red con paquetes ARP indicando que nuestra  mac address es la asociada a la IP de nuestra víctima y que nuestra MAC está también asociada a la IP del router (puerta de enlace) de nuestra red. De esta forma, todas las máquinas actualizarán sus tablas con esta nueva información maliciosa.

Así, cada vez que alguien quiera enviar un paquete a través del router, ese paquete no será recogido por el router, sino por la máquina atacante, ya que se dirige a su dirección MAC, y cada vez que el router u otro equipo envíen un paquete a la víctima sucederá lo mismo. Como la máquina atacante sabe que “está envenenando el protocolo ARP” sí conocerá las direcciones MAC reales de todas sus víctimas, por lo que la podremos configurar para que reenvíe esos paquetes a su verdadero destinatario, así nadie notará que se ha metido en medio.

Así se vería la tabla envenenada, en este caso el atacante es el equipo con dirección 192.168.0.7, ya que previamente conocemos la mac address del router y es xx:xx:xx:xx:xx:xx:



Debido a que absolutamente toda la información de la víctima pasa por el equipo del atacante, este es capaz de leer y modificar en tiempo real absolutamente todos los paquetes, desde leer y capturar credenciales, como son las de páginas de e-mails o bancos, pasando por la modificación de conversaciones de chat, solicitudes a páginas web, inclusive hasta redirigir una consulta a un host que contenga código malicioso, para que una vez ejecutado pueda tomar control del equipo víctima.



Fuente:welivesecurity.com

Buena explicación... 

Llego un poco tarde  Pero me gustaría decirte que es una gran explicación. Muy entendible, con los conceptos claros y bien redactado.

Gracias!

Y los routers modernos no tienen forma de contrarrestar este tipo de ataque?

Hay routers que intentan bloquear los paquetes de respuesta de este tipo mediante bloqueos en firewall, pero la solución mas adecuada a mi parecer es la de ingresar de forma manual la dirección IP de el gateway juntamente con su dirección MAC en los clientes de modo estatico en la tabla arp, un saludo.

Disculpa, una pregunta, es que en la explicación dices que quedarían dos mac iguales, la del atacante y la que haría pasar por la del router que es la misma del atacante, entonces es que arp no reconoce esta duplicidad como un fallo?

Gracias, disculpa la pregunta es que me encantan las redes pero a pesar de que leo mucho hay cosas que se me escapan.

Saludos.

Disculpa, una pregunta, es que en la explicación dices que quedarían dos mac iguales, la del atacante y la que haría pasar por la del router que es la misma del atacante, entonces es que arp no reconoce esta duplicidad como un fallo?

Veo que no le quedó claro en qué consiste el ARP en su función.

Destacando el detalle (pues se explica en el post):

No está dentro de su protocolo de actuación detectar o filtrar esa peculiaridad.

La funcionalidad del ARP consiste en enviar paquetes “ARP request” (solicitudes ARP). Se pudiera entender como formas de preguntas (como bien ilustra el post):

-¿Eres la IP XX:XX:XX:XX?
-Si la tienes: ¿Cuál es tu dirección MAC?

Esto se lanza a través del “Broadcast” a todos los equipos de la red.
Si el equipo adecuado responde (a través de un paquete “ARP reply”), y confirma los datos, entonces se establece el tráfico.

Para evitar que esto sea constante y se genere tráfico innecesario, se dispone de “la tabla ARP cache”. Esta tabla se actualiza de manera constante.
Y aquí viene algo a destacar que responde a su interrogante: Esa tabla ARP cache que es el objetivo de este tipo de ataque, tiene un tiempo de vida limitado. Además, el PC suplantado responderá constantemente con un “ARP replay” en la red a cualquier máquina; por lo que nuestra entrada falsa se vería anulada por una entrada verdadera. Esta es la única defensa del protocolo.
Pero… existen vías para minimizar el “inconveniente”. La más usada es la de “envenenar” constantemente a la tabla ARP, del equipo víctima, a ciertos intervalos. Y así, nos mantendríamos en el negocio.

Hay routers que intentan bloquear los paquetes de respuesta de este tipo mediante bloqueos en firewall, pero la solución mas adecuada a mi parecer es la de ingresar de forma manual la dirección IP de el gateway juntamente con su dirección MAC en los clientes de modo estatico en la tabla arp...

Con respecto a la defensa en este tipo de ataque:

En efecto Routers profesionales, así como Switch, filtran a través de firewalls o protocolos para tal finalidad, los pedidos de paquetes en la red (el tráfico, de manera global).

Otra es, como bien se sugiere, el establecer de manera manual, el uso de tablas de caché ARP de forma estáticas, de forma que no exista la caché dinámica. Cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP.
Esto tiene sus pro y contras; sobre todo le sería engorroso a un usuario “poco conocedor”, si su Pc se moviera en entornos dinámicos de conectividad.

Si a alguien le interesara cómo establecer, dichas tablas de manera estática; pues que lo solicite en este hilo, y en tanto pueda le respondería, u algún otro compañero que esté versado.

Otra defensa, para el caso en Windows, sería el uso del programa: netcut-defender. Que tiene su contrapartida.

Espero no haberme extendido en demasía, y que haya sido interesante, a pesar de la respuesta arribar un poco tarde.
 
Lamento si esto causara algún inconveniente.