Disculpa, una pregunta, es que en la explicación dices que quedarían dos mac iguales, la del atacante y la que haría pasar por la del router que es la misma del atacante, entonces es que arp no reconoce esta duplicidad como un fallo?
Veo que no le quedó claro en qué consiste el ARP en su función.
Destacando el detalle (pues se explica en el post):
No está dentro de su protocolo de actuación detectar o filtrar esa peculiaridad.
La funcionalidad del ARP consiste en enviar paquetes “
ARP request” (solicitudes ARP). Se pudiera entender como formas de preguntas (como bien ilustra el post):
-
¿Eres la IP XX:XX:XX:XX? -
Si la tienes: ¿Cuál es tu dirección MAC?Esto se lanza a través del “
Broadcast” a todos los equipos de la red.
Si el equipo adecuado responde (a través de un paquete “
ARP reply”), y confirma los datos, entonces se establece el tráfico.
Para evitar que esto sea constante y se genere tráfico innecesario, se dispone de “
la tabla ARP cache”. Esta tabla se actualiza de manera constante.
Y aquí viene algo a destacar que responde a su interrogante: Esa tabla ARP cache que es el objetivo de este tipo de ataque, tiene un tiempo de vida limitado. Además, el PC suplantado
responderá constantemente con un “
ARP replay” en la red a cualquier máquina; por lo que
nuestra entrada falsa se vería
anulada por una entrada verdadera.
Esta es la única defensa del protocolo. Pero… existen vías para minimizar el “
inconveniente”. La más usada es la de “
envenenar” constantemente a la tabla ARP, del equipo víctima, a ciertos intervalos. Y así, nos mantendríamos en el negocio.
Hay routers que intentan bloquear los paquetes de respuesta de este tipo mediante bloqueos en firewall, pero la solución mas adecuada a mi parecer es la de ingresar de forma manual la dirección IP de el gateway juntamente con su dirección MAC en los clientes de modo estatico en la tabla arp...
Con respecto a la defensa en este tipo de ataque:
En efecto Routers profesionales, así como Switch, filtran a través de firewalls o protocolos para tal finalidad, los pedidos de paquetes en la red (el tráfico, de manera global).
Otra es, como bien se sugiere, el establecer de manera manual, el uso de tablas de caché ARP de forma estáticas, de forma que no exista la caché dinámica. Cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP.
Esto tiene sus pro y contras; sobre todo le sería engorroso a un usuario “poco conocedor”, si su Pc se moviera en entornos dinámicos de conectividad.
Si a alguien le interesara cómo establecer, dichas tablas de manera estática; pues que lo solicite en este hilo, y en tanto pueda le respondería, u algún otro compañero que esté versado.
Otra defensa, para el caso en Windows, sería el uso del programa:
netcut-defender. Que tiene su contrapartida.
Espero no haberme extendido en demasía, y que haya sido interesante, a pesar de la respuesta arribar un poco tarde.
Lamento si esto causara algún inconveniente.