Envenenamiento ARP

Introducción.

El protocolo ARP (address resolution protocol) opera a nivel de la capa 2. Es ampliamente usado en redes de área local. Su función básica es asociar una dirección lógica (IP) con una dirección física (MAC).  Esta asociación se almacena en cada host de la red y es conocida como ARP-Caché. La ARP-Caché puede consultarse en máquinas Windows bajo el comando: arp –a.

Supóngase el caso de que el Host A (192.168.0.1) desee comunicarse con el Host B (192.168.0.2) para transferir datos. El algoritmo (proceso) a seguir es el siguiente:

• El host A verifica su ARP cache en la búsqueda de la dirección MAC de 192.168.0.2, si no la encuentra, procede a actualizar su ARP-Caché mediante los siguientes pasos:
• El host A(192.168.0.1) envía a todos los equipos de la red un paquete del tipo ARP-Request, preguntando la dirección MAC del IP 192.168.0.2.
•  Todas las maquinas reciben el paquete pero solo responde la que tenga la dirección 192.168.0.2. La respuesta es un paquete ARP-Reply que incluye la dirección MAC de 192.168.0.2
• El host A recibe el paquete ARP-Reply, extrae la dirección MAC de B y la almacena en su ARP-Caché

Lo antes descrito sucede en la capa dos del modelo OSI, posteriormente se procederá con pasos adicionales a nivel de las capas superiores a fin de completar la transmisión.

Desarrollo

De acuerdo al siguiente escenario...

Las ARP-Caché de cada host deberían ser:

Para el Host A:

IP         MAC
192.168.O.2 Y
192.168.O.3 Z

Para el Host B:

IP        MAC
192.168.O.1 X
192.168.O.3 Z

Para el Host C:

IP        MAC
192.168.O.1 X
192.168.O.2 Y

Ahora, suponga que un usuario mal intencionado hace uso del equipo B e instala  el software Cain y Abel, procede a hacer un escaneo de red, y elige a dos víctimas (A y C) para llevar a cabo el ataque de envenenamiento ARP. Luego del envenenamiento exitoso, las ARP-Caché de A, B y  C quedan de la siguiente forma:

Para el Host A:

IP         MAC
192.168.O.2 -
192.168.O.3 Y

Para el Host B:

IP        MAC
192.168.O.1 X
192.168.O.3 Z

Para el Host C:

IP        MAC
192.168.O.1 Y
192.168.O.2 -

Nótese que las tablas de los Host A y C están corruptas, y que solo las tablas de B (el atacante) se mantiene integra. Este envenenamiento se logró gracias a que el software instalado en el host B, fue capaz de generar paquetes ARP-Reply especialmente diseñado para corromper las ARP-Caché de A y C.

ARP es un protocolo que no soporta autenticación  y por lo tanto cualquier host puede actualizar las ARP-Cache de los demás sin necesidad de un paquete ARP-Request.

Efectos Secundarios.

Es a partir de ese momento que B se convierte en un intermediario entre las actuales y futuras comunicaciones entre A y C. Los protocolos que son vulnerables a este tipo de ataques son: ftp, http, imap, pop3, smtp, smb, telnet, mysql, vnc, etc.

Cómo protegerse de estos ataques?

Lamentablemente este tipo de ataque requiere como única solución el desactivar el protocolo ARP. Esto sólo es posible si el administrador escribe manualmente la tabla ARP-Caché en cada equipo de la red.

Otra posible medida de seguridad es implementar versiones seguras de los protocolos afectados, por ejemplo: en vez de http usar https, en vez de telnet usar ssh, y así sucesivamente. Esto no detendrá el ataque, pero el atacante solo tendrá acceso a los Hash de los password. Para decodificarlos deberá hacer uso de ataques de fuerza bruta o diccionarios.