El Protocolo de Resolución de Direcciones (ARP) es un protocolo sin estado utilizado para resolver las direcciones IP a las direcciones MAC de las máquinas. Todos los dispositivos de red que necesitan comunicarse en la red emiten consultas ARP en el sistema para averiguar las direcciones MAC de otras máquinas. El envenenamiento de ARP también se conoce como ARP Spoofing.
Así es como funciona ARP –
-
Cuando una máquina necesita comunicarse con otra, busca en su tabla ARP.
-
Si la dirección MAC no se encuentra en la tabla, la ARP_request se emite por la red.
-
Todas las máquinas de la red compararán esta dirección IP con la dirección MAC.
-
Si una de las máquinas de la red identifica esta dirección, entonces responderá a la ARP_request con su dirección IP y MAC.
-
El ordenador solicitante almacenará el par de direcciones en su tabla ARP y se producirá la comunicación.
-
El spoofing ARP construye un gran número de paquetes de solicitud y respuesta ARP falsificados para sobrecargar el switch.
-
El conmutador se pone en modo de reenvío y después de que la tabla ARP se inunde con respuestas ARP falsificadas, los atacantes pueden olfatear todos los paquetes de la red.
- Estación de trabajo VMware
- Kali Linux o sistema operativo Linux
- Herramienta Ettercap
- Conexión LAN
¿Qué es el ARP Spoofing?
Los paquetes ARP pueden ser falsificados para enviar datos a la máquina del atacante.
Los atacantes inundan la caché ARP de un ordenador objetivo con entradas falsificadas, lo que también se conoce como envenenamiento. El envenenamiento ARP utiliza el acceso Man-in-the-Middle para envenenar la red.
¿Qué es el MITM?
El ataque Man-in-the-Middle (abreviado MITM, MitM, MIM, MiM, MITMA) implica un ataque activo en el que el adversario se hace pasar por el usuario creando una conexión entre las víctimas y envía mensajes entre ellas. En este caso, las víctimas creen que se están comunicando entre sí, pero en realidad, el actor malicioso controla la comunicación.
Una tercera persona existe para controlar y monitorizar el tráfico de comunicación entre dos partes. Algunos protocolos como SSL sirven para evitar este tipo de ataques.
Envenenamiento ARP – Ejercicio
En este ejercicio, hemos utilizado BetterCAP para realizar envenenamiento ARP en entorno LAN utilizando la estación de trabajo VMware en la que hemos instalado Kali Linux y la herramienta Ettercap para olfatear el tráfico local en LAN.
Para este ejercicio, necesitarás las siguientes herramientas –
Nota – Este ataque es posible en redes cableadas e inalámbricas. Puede realizar este ataque en LAN local.
Paso 1 – Instale la estación de trabajo VMware e instale el sistema operativo Kali Linux.
Paso 2 – Inicie sesión en el Kali Linux utilizando el pase de usuario «root, toor».
Paso 3 – Asegúrese de que está conectado a la LAN local y compruebe la dirección IP escribiendo el comando ifconfig en el terminal.
Paso 4 – Abre el terminal y escribe «Ettercap -G» para iniciar la versión gráfica de Ettercap.
Paso 5 – Ahora haz clic en la pestaña «sniff» en la barra de menú y selecciona «unified sniffing» y haz clic en OK para seleccionar la interfaz. Vamos a utilizar «eth0» que significa conexión Ethernet.
Paso 6 – Ahora haz clic en la pestaña «hosts» en la barra de menú y haz clic en «scan for hosts». Comenzará a escanear toda la red en busca de los hosts vivos.
Paso 7 – A continuación, haga clic en la pestaña «hosts» y seleccione «lista de hosts» para ver el número de hosts disponibles en la red. Esta lista también incluye la dirección de la puerta de enlace predeterminada. Tenemos que tener cuidado al seleccionar los objetivos.
Paso 8 – Ahora tenemos que elegir los objetivos. En MITM, nuestro objetivo es la máquina anfitriona, y la ruta será la dirección del router para reenviar el tráfico. En un ataque MITM, el atacante intercepta la red y husmea los paquetes. Por lo tanto, añadiremos la víctima como «objetivo 1» y la dirección del router como «objetivo 2».
En el entorno VMware, la puerta de enlace por defecto siempre terminará con «2» porque «1» se asigna a la máquina física.
Paso 9 – En este escenario, nuestro objetivo es «192.168.121.129» y el router es «192.168.121.2». Así que añadiremos el objetivo 1 como IP de la víctima y el objetivo 2 como IP del router.
Paso 10 – Ahora haz clic en «MITM» y haz clic en «Envenenamiento ARP». A continuación, marque la opción «Sniff conexiones remotas» y haga clic en Aceptar.
Paso 11 – Haga clic en «start» y seleccione «start sniffing». Esto iniciará el envenenamiento ARP en la red, lo que significa que hemos habilitado nuestra tarjeta de red en «modo promiscuo» y ahora el tráfico local puede ser olfateado.
Nota – Hemos permitido sólo el olfateo HTTP con Ettercap, así que no esperes que los paquetes HTTPS sean olfateados con este proceso.
Paso 12 – Ahora es el momento de ver los resultados; si nuestra víctima inició sesión en algunos sitios web. Puedes ver los resultados en la barra de herramientas de Ettercap.
Así es como funciona el sniffing. Seguro que has entendido lo fácil que es conseguir las credenciales HTTP sólo con activar el envenenamiento ARP.
El envenenamiento ARP tiene el potencial de causar grandes pérdidas en los entornos de las empresas. Este es el lugar donde los hackers éticos son designados para asegurar las redes.
Al igual que el envenenamiento ARP, hay otros ataques como MAC flooding, MAC spoofing, envenenamiento DNS, envenenamiento ICMP, etc. que pueden causar pérdidas significativas a una red.
En el próximo capítulo, hablaremos de otro tipo de ataque conocido como envenenamiento de DNS.
.