ARP-POISONING
El ARP Poisoning o tambin ARP Spoofing o ARP Poison Routing, es una tcnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no en hubs), que puede permitir al atacante husmear paquetes de datos en la LAN (red de rea local), modificar el trfico, o incluso detener el trfico (conocido como DoS: Denegacin de Servicio). El principio del ARP Spoofing es enviar mensajes ARP falsos (falsificados, o spoofed) a la Ethernet. Normalmente la finalidad es asociar la direccin MAC del atacante con la direccin IP de otro nodo (el nodo atacado), como por ejemplo la puerta de enlace predeterminada (gateway). Cualquier trfico dirigido a la direccin IP de ese nodo, ser errneamente enviado al atacante, en lugar de a su destino real. El atacante, puede entonces elegir, entre reenviar el trfico a la puerta de enlace predeterminada real (ataque pasivo o escucha), o modificar los datos antes de reenviarlos (ataque activo). El atacante puede incluso lanzar un ataque de tipo DoS (Denegacin de Servicio) contra una vctima, asociando una direccin MAC inexistente con la direccin IP de la puerta de enlace predeterminada de la vctima. El ataque de ARP Spoofing puede ser ejecutado desde una mquina controlada (el atacante ha conseguido previamente hacerse con el control de la misma: intrusin), un Jack Box, o bien la mquina del atacante est conectada directamente a la LAN Ethernet.
Aplicacin
ARP es un protocolo de la capa 2 (enlace). Tanto los paquetes ARP request como los ARP reply pueden ser trfico de difusin (broadcast). Como tales, no estn diseados para proporcionar ninguna validacin de identificacin en la transaccin. Aunque el ARP Spoofing se puede ejecutar en el transcurso de transacciones ARP, creando una condicin de carrera (race condition), el uso ms comn es la distribucin de respuestas ARP no solicitadas, que son almacenadas por los clientes en sus caches ARP, generando de esta manera el escenario ARP Cache Poison, o caches ARP envenenadas.
Defensas
Un mtodo para prevenir el ARP Spoofing, es el uso de tablas ARP estticas, es decir aadir entradas estticas ARP, de forma que no existe cach dinmica, cada entrada de la tabla mapea una direccin MAC con su correspondiente direccin IP. Sin embargo, esta no es una solucin prctica, sobre todo en redes grandes, debido al enorme esfuerzo necesario para mantener las tablas ARP actualizadas: cada vez que se cambie la direccin IP de un equipo, es necesario actualizar todas las tablas de todos los equipos de la red. Por lo tanto, en redes grandes es preferible usar otro mtodo: el DHCP snooping. Mediante DHCP, el dispositivo de red mantiene un registro de las direcciones MAC que estn conectadas a cada puerto, de modo que rpidamente detecta si se recibe una suplantacin ARP. Este mtodo es implementado en el equipamiento de red de fabricantes como Cisco, Extreme Networks y Allied Telesis. Otra forma de
�defenderse contra el ARP Spoofing, es detectarlo. Arpwatch es un programa Unix que escucha respuestas ARP en la red, y enva una notificacin va email al administrador de la red, cuando una entrada ARP cambia. Comprobar la existencia de direcciones MAC clonadas (correspondientes a distintas direcciones IP) puede ser tambin un indicio de la presencia de ARP Spoofing, aunque hay que tener en cuenta, que hay usos legtimos de la clonacin de direcciones MAC. RARP (Reverse ARP, o ARP inverso) es el protocolo usado para consultar, a partir de una direccin MAC, su direccin IP correspondiente. Si ante una consulta, RARP devuelve ms de una direccin IP, significa que esa direccin MAC ha sido clonada.
Usos legtimos
El ARP Spoofing puede ser usado tambin con fines legtimos. Por ejemplo, algunas herramientas de registro de red, pueden redireccionar equipos no registrados a una pgina de registro antes de permitirles el acceso completo a la red. Otra implementacin legtima de ARP Spoofing, se usa en hoteles para permitir el acceso a Internet, a los porttiles de los clientes desde sus habitaciones, usando un dispositivo conocido como HEP (HeadEnd Processor o Procesador de Cabecera), sin tener en cuenta su direccin IP. El ARP Spoofing puede ser usado tambin para implementar redundancia de servicios de red. Un servidor de backup puede usar ARP Spoofing para sustituir a otro servidor que falla, y de esta manera ofrecer redundancia de forma transparente.
Historia
Uno de los primeros artculos del ARP Spoofing fue escrito por Yuri Volobuev en ARP and ICMP redirection games
Herramientas de ARP Spoofing
Arpspoof (parte de las herramientas de DSniff), Arpoison, Cain and Abel, Ettercap, NetCut y SwitchSniffer son algunas de las herramientas que pueden usarse para llevar a cabo los ataques ARP Poisoning.
