ARP posion, una tecnica asombrosamente facil de utilizar

Arp poison, también llamado arp spoof, es una técnica usada para atacar una vlan a la que estemos conectados (por ejemplo en un departamento de una empresa). Cabe resaltar que este ataque es valido solo si estamos dentro de la red. Con ella conseguiremos datos de relevancia de los usuarios conectados (como contraseñas, información que no vaya cifrada, envenenar las peticiones DNS, etc) con una facilidad pasmosa. Vamos a ver como. Empezaremos con un poco de teoría.

El ataque arp poison se basa en mandar paquetes ARP falsos para modificar la tabla de ARP del sistema. Pero que son las ARP o el protocolo ARP?
El protocolo ARP (Adress Solution Protocol) es el responsable de encontrar la dirección hardware de la tarjeta de red (la MAC) que corresponda a una dirección ip. Se encuentra en el nivel 2 , en nivel de enlace, de la pila TCP/IP.
Cuando queremos enviar un paquete a otra máquina, el sistema examina su tabla de rutas. Si la maquina que tiene que recibir el paquete esta en el mismo segmento que la maquina origen, entonces se puede entregar el paquete sin pasar por ningún router adicional exterior. Para poder enviar el paquete la maquina origen necesita saber cual es la dirección MAC de la maquina destino. Es el protocolo ARP el que se encarga de averiguar la correspondencia entre las MACs de los host y sus respectivas ips. Para averiguar la MAC de una determinada direccion ip el sistema envía una petición "ARP who-has" preguntando a todos (ya que todavía no sabe que maquina específica tiene esa MAC) los nodos cual es la MAC de esa ip. El que tiene dicha ip contestará con una respuesta "ARP is-at", y el emisor apuntará la correspondencia MAC-ip en su tabla de ARP. Para minimizar el numero de paquetes ARP transmitidos los sistemas, los sistemas mantienen una cache de entradas ARP, así optimizan todo el proceso de comunicación.

Hay que matizar un par de cosas: en los routers las tablas ARP de los nodos mapean direcciones ip con direcciones mac, mientras que cuando se trata de un swicth indican por que puerto del switch se alcanza una determinada MAC (se llaman MAC-adress-table). Son dos tablas diferentes. Los switchs no enrutan paquetes pero tienen la tabla MAC-adress. Recordemos que lo que hace este dispositivo es entregar una trama solo por el puerto donde se encuentre la MAC destino y el resto de los puertos no van a verla. Luego las tablas que nosotros queremos infectar sera la dos ordenadores conectados a la red. La de los swiches no nos interesaran.

El protocolo ARP es un mecanismo bastante viejo y tiene el gran problema de ausencia absoluta de autentificación. Una persona puede modificar la cache ARP de otro ordenador, sin que el otro host pueda determinar de ningún modo la autenticidad de las respuestas que recibe de sus peticiones.

Es aqui donde reside el problema, ya que nosotros podríamos enviar respuestas ARP falsas diciendo que tal MAC (en este caso la nuestra) se corresponde por ejemplo a tal ip (en este caso, otra ip de nuestra misma red), cuando sabemos que esto que no es cierto, e infectar la cache ARP. De esta forma se podría envenenar las diferentes caches de los sistemas y redigir todo el trafico que circule entre dos host (con el consiguiente peligro de la información que no va cifrada....), haciendo que pase por el nuestro ordenador (consiguiendo un ataque Man-in-the-middle) sin que saltara la alarma.

He aquí el eslabón mas débil de la cadena.

Seguiremos en la siguiente entrega poniendo en practica lo aprendido.........