¿Qué es el ARP-Spoofing?
El ARP-Spoofing es un ataque informático que engaña al sistema informático objetivo haciéndole creer que es el emisor o receptor de la información en una red Ethernet (red de área local).
Conceptos importantes
Para comprender este ataque informático, antes deberíamos tener unos conceptos presentes:
- Red Ethernet: Estándar de red de área local.
- TCP/IP(Transport Control Protocol/ Internet Protocol): El protocolo TCP/IP es un conjunto de protocolos que se encarga tanto de cómo la comunicación a través de internet se realiza y cómo se envían los paquetes de datos.
- Protocolo ARP (Address Resolution Protocol): Es un protocolo que se encuentra dentro del conjunto de protocolos de TCP/IP y que se encarga de obtener la dirección MAC de los dispositivos con los que se quiere establecer la comunicación.
- MAC (Media Access Control): Identificador de la tarjeta de red de un dispositivo.
- Broadcast: Transmisión de datos a todos los dispositivos conectados a la red.
¿Cómo funciona un ataque ARP-Spoofing?
En primer lugar tenemos que enfocarnos en comprender el funcionamiento del protocolo ARP, para simplificar posteriormente la explicación sobre el funcionamiento de un envenenamiento ARP.
Protocolo ARP
- Cuando un ordenador quiere conectarse con otro dentro de una red de área local, debe de completar la dirección IP con una dirección MAC.
- El ordenador enviará un paquete ARP de solicitud que en su interior estará compuesto por su dirección MAC e IP, la dirección IP del equipo objetivo y una dirección MAC de destino establecido en la dirección broadcast.
- Los ordenadores reciben el paquete y miran si coincide su dirección IP con la dirección IP de destino que contiene el paquete.
- Al coincidir la dirección, el ordenador de destino pasa a ser emisor de un paquete ARP de respuesta que contendrá la misma información que el paquete ARP de solicitud pero con la dirección MAC e IP invertida con la del solicitante.
ARP-Spoofing
Para realizar este ataque utilizaremos ettercap, una herramienta de spoofing que trae instalada la distribución Kali linux ,además, tiene una interfaz gráfica que simplifica el uso de la herramienta.
- Ejecutamos ettercap.
- En el desplegable Sniff pinchamos en la opción Unified sniffing y seleccionamos la interfaz de red.
- Luego realizamos un Escaneo de los Hosts que encontraremos en el desplegable Hosts.
- Vamos a Host List en el desplegable Hosts y seleccionamos los objetivos con la opción Add to Target 1 y Add to Target 2.
- Por último, seleccionamos ARP poisoning en el desplegable Mitm.
De este modo habríamos completado el envenenamiento de red. Podremos comprobarlo observando las direcciones mac de la tabla arp del equipo infectado, utilizando el comando arp -a en windows y mac o arp -n en linux.
¿Para qué se utiliza?
A rasgos generales ya sabemos que se utiliza para falsificar una identidad informática dentro de una red local, pero sí que es verdad que podemos encontrar cierta distinción entre sus funciones. Podemos distinguir entre usos ilegítimos y usos legítimos.
| Legítimos | Ilegítimos |
|---|---|
| Sustitución de servidores | Robar datos de sesión |
| Permitir a ordenadores el uso de internet (HEP Head-end processor) | MITM Man in the middle |
| Redireccionamiento de página web | Ataque DoS |
Cómo defendernos de estos ataques
Para protegernos frente a este tipo de ataques podemos hacer uso de opciones como:
- ARP Watch en Linux.
- ARP Guard.
- Cambio manual de la tabla ARP.
- Switch con medida de seguridad DAI integrada.
