En las redes informáticas , la suplantación de ARP , el envenenamiento de la caché de ARP o el enrutamiento de envenenamiento de ARP es una técnica mediante la cual un atacante envía mensajes ( falsificados ) del Protocolo de resolución de direcciones (ARP) a una red de área local . Generalmente, el objetivo es asociar la dirección MAC del atacante con la dirección IP de otro host , como la puerta de enlace predeterminada , lo que hace que el tráfico destinado a esa dirección IP se envíe al atacante.
La suplantación de ARP puede permitir que un atacante intercepte tramas de datos en una red, modifique el tráfico o detenga todo el tráfico. A menudo, el ataque se utiliza como una apertura para otros ataques, como denegación de servicio , hombre en el medio o ataques de secuestro de sesión . [1]
El ataque solo se puede usar en redes que usan ARP y requiere que el atacante tenga acceso directo al segmento de la red local para ser atacado. [2]
Vulnerabilidades ARP
El Protocolo de resolución de direcciones (ARP) es un protocolo de comunicaciones ampliamente utilizado para resolver las direcciones de la capa de Internet en direcciones de la capa de enlace .
Cuando se envía un datagrama de Protocolo de Internet (IP) de un host a otro en una red de área local , la dirección IP de destino debe resolverse en una dirección MAC para su transmisión a través de la capa de enlace de datos . Cuando se conoce la dirección IP de otro host y se necesita su dirección MAC, se envía un paquete de difusión a la red local. Este paquete se conoce como solicitud ARP . La máquina de destino con la IP en la solicitud ARP luego responde con una respuesta ARP que contiene la dirección MAC para esa IP. [2]
ARP es un protocolo sin estado . Los hosts de la red almacenarán automáticamente en caché las respuestas ARP que reciban, independientemente de si los hosts de la red las solicitaron. Incluso las entradas ARP que aún no han caducado se sobrescribirán cuando se reciba un nuevo paquete de respuesta ARP. No existe ningún método en el protocolo ARP mediante el cual un host pueda autenticar al par desde el que se originó el paquete. Este comportamiento es la vulnerabilidad que permite que ocurra la suplantación de ARP. [1] [2] [3]
Anatomía del ataque
El principio básico detrás de la suplantación de ARP es aprovechar la falta de autenticación en el protocolo ARP enviando mensajes ARP falsificados a la LAN. Los ataques de suplantación de identidad ARP se pueden ejecutar desde un host comprometido en la LAN o desde la máquina de un atacante que está conectada directamente a la LAN de destino.
Un atacante que utilice ARP spoofing se disfrazará de host para la transmisión de datos en la red entre los usuarios. [4] Entonces los usuarios no sabrían que el atacante no es el anfitrión real en la red. [4]
Generalmente, el objetivo del ataque es asociar la dirección MAC del host del atacante con la dirección IP de un host de destino , de modo que cualquier tráfico destinado al host de destino se envíe al host del atacante. El atacante puede optar por inspeccionar los paquetes (espionaje), mientras reenvía el tráfico al destino predeterminado real para evitar el descubrimiento, modificar los datos antes de reenviarlos ( ataque man-in-the-middle ) o lanzar una denegación de servicio. ataque haciendo que algunos o todos los paquetes de la red se descarten.
Defensas
Entradas ARP estáticas
La forma más simple de certificación es el uso de entradas estáticas de solo lectura para servicios críticos en la caché ARP de un host. Las asignaciones de dirección IP a dirección MAC en la caché ARP local pueden ingresarse estáticamente. Los hosts no necesitan transmitir solicitudes ARP donde existen tales entradas. [5] Si bien las entradas estáticas brindan cierta seguridad contra la suplantación de identidad, resultan en esfuerzos de mantenimiento, ya que deben generarse y distribuirse asignaciones de direcciones para todos los sistemas de la red. Esto no se escala en una red grande, ya que el mapeo debe establecerse para cada par de máquinas, lo que da como resultado n 2 - n entradas ARP que deben configurarse cuando hay n máquinas; En cada máquina debe haber una entrada ARP para todas las demás máquinas de la red; n-1 entradas ARP en cada una de las n máquinas.
Software de detección y prevención
El software que detecta la suplantación de ARP generalmente se basa en alguna forma de certificación o verificación cruzada de las respuestas de ARP. A continuación, se bloquean las respuestas ARP no certificadas. Estas técnicas pueden integrarse con el servidor DHCP para que se certifiquen las direcciones IP tanto dinámicas como estáticas . Esta capacidad puede implementarse en hosts individuales o puede integrarse en conmutadores Ethernet u otros equipos de red. La existencia de varias direcciones IP asociadas con una sola dirección MAC puede indicar un ataque de suplantación de ARP, aunque existen usos legítimos de dicha configuración. En un enfoque más pasivo, un dispositivo escucha las respuestas de ARP en una red y envía una notificación por correo electrónico cuando cambia una entrada de ARP. [6]
AntiARP [7] también proporciona prevención de suplantación de identidad basada en Windows a nivel de kernel. ArpStar es un módulo Linux para kernel 2.6 y enrutadores Linksys que descarta paquetes inválidos que violan el mapeo y contiene una opción para repoison / curar.
Algunos entornos virtualizados, como KVM, también proporcionan mecanismos de seguridad para evitar la suplantación de MAC entre invitados que se ejecutan en el mismo host. [8]
Además, algunos adaptadores ethernet proporcionan funciones anti-spoofing MAC y VLAN. [9]
OpenBSD observa pasivamente los hosts que se hacen pasar por el host local y notifica en caso de cualquier intento de sobrescribir una entrada permanente [10]
Seguridad del sistema operativo
Los sistemas operativos reaccionan de manera diferente. Linux ignora las respuestas no solicitadas, pero, por otro lado, usa las respuestas a las solicitudes de otras máquinas para actualizar su caché. Solaris acepta actualizaciones en las entradas solo después de un tiempo de espera. En Microsoft Windows, el comportamiento de la caché ARP se puede configurar a través de varias entradas de registro en HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters, ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpAlwaysSourceRetryRoute,. [11]
Uso legítimo
Las técnicas que se utilizan en la suplantación de ARP también se pueden utilizar para implementar la redundancia de los servicios de red. Por ejemplo, algún software permite que un servidor de respaldo emita una solicitud ARP gratuita para reemplazar un servidor defectuoso y ofrecer redundancia de manera transparente. [12] [13] Existen dos empresas conocidas hasta la fecha que han intentado comercializar productos centrados en esta estrategia, Circle [14] y CUJO. Este último se ha encontrado recientemente con problemas importantes con su estrategia de suplantación de identidad de ARP en los hogares de los consumidores; ahora han eliminado completamente esa capacidad y la han reemplazado con una estrategia basada en DHCP .
Los desarrolladores suelen utilizar la suplantación de ARP para depurar el tráfico IP entre dos hosts cuando se utiliza un conmutador: si el host A y el host B se comunican a través de un conmutador Ethernet, su tráfico normalmente sería invisible para un tercer host de supervisión M. El desarrollador configura A para tener la dirección MAC de M para B, y B para tener la dirección MAC de M para A; y también configura M para reenviar paquetes. M ahora puede monitorear el tráfico, exactamente como en un ataque man-in-the-middle.
Herramientas
Defensa
Nombre | SO | GUI | Libre | Proteccion | Por interfaz | Activo pasivo | Notas |
---|---|---|---|---|---|---|---|
Cortafuegos del puesto avanzado de Agnitum | Ventanas | sí | No | sí | No | pasivo | |
AntiARP | Ventanas | sí | No | sí | No | activo + pasivo | |
Antídoto [15] | Linux | No | sí | No | ? | pasivo | Demonio de Linux, supervisa las asignaciones, una cantidad inusualmente grande de paquetes ARP. |
Arp_Antidote [16] | Linux | No | sí | No | ? | pasivo | El parche del kernel de Linux para 2.4.18 - 2.4.20, supervisa las asignaciones, puede definir la acción a tomar cuando. |
Arpalert | Linux | No | sí | No | sí | pasivo | Lista predefinida de direcciones MAC permitidas, alerta si MAC no está en la lista. |
ArpON | Linux | No | sí | sí | sí | activo + pasivo | Demonio de controlador portátil para proteger ARP contra suplantación, envenenamiento de caché o ataques de enrutamiento envenenado en redes estáticas, dinámicas e híbridas. |
ArpGuard | Mac | sí | No | sí | sí | activo + pasivo | |
ArpStar | Linux | No | sí | sí | ? | pasivo | |
Arpwatch | Linux | No | sí | No | sí | pasivo | Mantenga asignaciones de pares IP-MAC, informe de cambios a través de Syslog, correo electrónico. |
ArpwatchNG | Linux | No | sí | No | No | pasivo | Mantenga asignaciones de pares IP-MAC, informe de cambios a través de Syslog, correo electrónico. |
Colasoft Capsa | Ventanas | sí | No | No | sí | sin detección, solo análisis con inspección manual | |
cSploit [17] | Android (solo rooteado) | sí | sí | No | sí | pasivo | |
elmoCut [18] | Ventanas | sí | sí | No | ? | pasivo | Spoofer EyeCandy ARP para Windows |
IDS de preludio | ? | ? | ? | ? | ? | ? | Complemento ArpSpoof, comprobaciones básicas de direcciones. |
Panda Security | Ventanas | ? | ? | sí | ? | Activo | Realiza comprobaciones básicas de direcciones |
remarcar | Linux | No | sí | No | No | pasivo | |
Bufido | Windows / Linux | No | sí | No | sí | pasivo | Snort preprocesador Arpspoof, realiza comprobaciones básicas en direcciones |
Winarpwatch | Ventanas | No | sí | No | No | pasivo | Mantenga asignaciones de pares IP-MAC, informe de cambios a través de Syslog, correo electrónico. |
XArp [19] | Windows, Linux | sí | Sí (+ versión pro) | Sí (Linux, pro) | sí | activo + pasivo | Detección avanzada de suplantación de identidad ARP, sondeo activo y comprobaciones pasivas. Dos interfaces de usuario: vista normal con niveles de seguridad predefinidos, vista profesional con configuración por interfaz de módulos de detección y validación activa. Windows y Linux, basado en GUI. |
Seconfig XP | Sólo Windows 2000 / XP / 2003 | sí | sí | sí | No | solo activa la protección incorporada en algunas versiones de Windows | |
zANTI | Android (solo rooteado) | sí | sí | No | ? | pasivo | |
Marco de NetSec | Linux | No | sí | No | No | activo | |
anti-arpspoof [20] | Ventanas | sí | sí | ? | ? | ? | |
DefendARP: [21] | ? | ? | ? | ? | ? | ? | Una herramienta de defensa y monitoreo de tablas ARP basada en host diseñada para usar cuando se conecta a una red wifi pública. DefendARP detecta ataques de envenenamiento ARP, corrige la entrada envenenada e identifica la dirección MAC e IP del atacante. |
NetCutDefender: [22] | Ventanas | ? | ? | ? | ? | ? | GUI para Windows que puede proteger de ataques ARP |
Spoofing
Algunas de las herramientas que se pueden utilizar para realizar ataques de suplantación de identidad ARP:
- Arpspoof (parte del conjunto de herramientas DSniff )
- Arpoison
- Subterfugio [23]
- Ettercap
- Seringe [24]
- ARP-LLENADO -V0.1 [25]
- arp-sk -v0.0.15 [25]
- ARPOc -v1.13 [25]
- arpalert -v0.3.2 [25]
- arping -v2.04 [25]
- arpmitm -v0.2 [25]
- arpoison -v0.5 [25]
- ArpSpyX -v1.1 [25]
- ArpToXin -v 1.0 [25]
- Caín y Abel -v 4.3
- cSploit -v 1.6.2 [17]
- SwitchSniffer [25]
- APE - Motor de envenenamiento ARP [26]
- Simsang [27]
- zANTI -v2
- elmoCut [18]
- Marco NetSec -v1
- Minario [28]
- NetCut [29] (también tiene una función de defensa)
- ARPpySHEAR [30]
Ver también
- Envenenamiento de caché
- Suplantación de DNS
- Suplantación de direcciones IP
- Suplantacion de MAC
- Proxy ARP
Referencias
- ↑ a b Ramachandran, Vivek y Nandi, Sukumar (2005). "Detección de la suplantación de ARP: una técnica activa" . En Jajodia, Suchil & Mazumdar, Chandan (eds.). Seguridad de los sistemas de información: primera conferencia internacional, ICISS 2005, Kolkata, India, 19-21 de diciembre de 2005: actas . Birkhauser. pag. 239. ISBN 978-3-540-30706-8.
- ^ a b c Lockhart, Andrew (2007). Hacks de seguridad de red . O'Reilly. pag. 184 . ISBN 978-0-596-52763-1.
- ^ Steve Gibson (11 de diciembre de 2005). "Envenenamiento de caché ARP" . GRC .
- ^ a b Moon, Daesung; Lee, Jae Dong; Jeong, Young-Sik; Park, Jong Hyuk (19 de diciembre de 2014). "RTNSS: un sistema de seguridad de red basado en rastreo de enrutamiento para prevenir ataques de suplantación de ARP" . El diario de la supercomputación . 72 (5): 1740-1756. doi : 10.1007 / s11227-014-1353-0 . ISSN 0920-8542 . S2CID 18861134 . Archivado desde el original el 23 de enero de 2021 . Consultado el 23 de enero de 2021 .
- ^ Lockhart, Andrew (2007). Hacks de seguridad de red . O'Reilly. pag. 186 . ISBN 978-0-596-52763-1.
- ^ "Un enfoque de seguridad para prevenir el envenenamiento por ARP y herramientas defensivas" . ResearchGate . Archivado desde el original el 3 de mayo de 2019 . Consultado el 22 de marzo de 2019 .
- ^ AntiARP Archivado el 6 de junio de 2011 en Wayback Machine.
- ^ "Copia archivada" . Archivado desde el original el 9 de agosto de 2019 . Consultado el 9 de agosto de 2019 .CS1 maint: copia archivada como título ( enlace )
- ^ "Copia archivada" . Archivado desde el original el 3 de septiembre de 2019 . Consultado el 9 de agosto de 2019 .CS1 maint: copia archivada como título ( enlace )
- ^ "Copia archivada" . Archivado desde el original el 9 de agosto de 2019 . Consultado el 9 de agosto de 2019 .CS1 maint: copia archivada como título ( enlace )
- ^ "Protocolo de resolución de direcciones" . Archivado desde el original el 23 de enero de 2021 . Consultado el 26 de agosto de 2017 .
- ^ "Página de manual de OpenBSD para CARP (4)" . Archivado desde el original el 5 de febrero de 2018 . Consultado el 4 de febrero de 2018 ., consultado el 4 de febrero de 2018
- ^ Simon Horman. "Ultra Monkey: Adquisición de direcciones IP" . Archivado desde el original el 18 de noviembre de 2012 . Consultado el 4 de enero de 2013 ., consultado el 4 de enero de 2013
- ^ "Círculo con dispositivos de Disney Locks Down Kids desde lejos" . Archivado desde el original el 12 de octubre de 2016 . Consultado el 12 de octubre de 2016 ., consultado el 12 de octubre de 2016
- ^ "Antídoto" . Archivado desde el original el 13 de marzo de 2012 . Consultado el 7 de abril de 2014 .
- ^ "Arp_Antidote" . Archivado desde el original el 14 de enero de 2012 . Consultado el 2 de agosto de 2011 .
- ^ a b "cSploit" . tux_mind. Archivado desde el original el 12 de marzo de 2019 . Consultado el 17 de octubre de 2015 .
- ^ a b "elmoCut: EyeCandy ARP Spoofer (página de inicio de GitHub)" .
- ^ "XArp" . Archivado desde el original el 16 de junio de 2020 . Consultado el 23 de enero de 2021 .
- ^ anti-arpspoof Archivado el 31 de agosto de 2008 en la Wayback Machine.
- ^ "Scripts de defensa | Envenenamiento por ARP" . Archivado desde el original el 22 de enero de 2013 . Consultado el 8 de junio de 2013 .
- ^ "Copia archivada" . Archivado desde el original el 8 de abril de 2019 . Consultado el 7 de febrero de 2018 .CS1 maint: copia archivada como título ( enlace )
- ^ "Proyecto Subterfuge" . Archivado desde el original el 27 de abril de 2016 . Consultado el 18 de noviembre de 2013 .
- ^ "Seringe - Herramienta de envenenamiento ARP compilada estáticamente" . Archivado desde el original el 16 de septiembre de 2016 . Consultado el 3 de mayo de 2011 .
- ^ a b c d e f g h yo j "Vulnerabilidades ARP: la documentación completa" . l0T3K. Archivado desde el original el 5 de marzo de 2011 . Consultado el 3 de mayo de 2011 .
- ^ "Herramienta de envenenamiento de caché ARP para Windows" . Archivado desde el original el 9 de julio de 2012 . Consultado el 13 de julio de 2012 .
- ^ "Simsang" . Archivado desde el original el 4 de marzo de 2016 . Consultado el 25 de agosto de 2013 .
- ^ "Minary" . Archivado desde el original el 8 de abril de 2019 . Consultado el 10 de enero de 2018 .
- ^ "NetCut" . Archivado desde el original el 12 de noviembre de 2020 . Consultado el 23 de enero de 2021 .
- ^ "ARPpySHEAR: Una herramienta de envenenamiento de caché ARP para ser utilizada en ataques MITM" . Archivado desde el original el 13 de octubre de 2020 . Consultado el 11 de noviembre de 2019 .
enlaces externos
- Stephanie Reigns (7 de octubre de 2014). "Limpiando su caché ARP en Linux" . Ojo de codificadores . Consultado el 5 de marzo de 2018 .