¿Cómo funciona ARP Poisoning si la dirección IP es incorrecta?
Normalmente se llama ARP Spoofing, pero también se conoce como ARP Poison Routing (APR) o ARP Cache Poisoning.
El envenenamiento por ARP no cambia el destino de IP en la tabla, entonces, ¿por qué la suplantación de MAC bajo otra dirección IP ayuda a redirigir el tráfico?
Los concentradores, conmutadores y el lado Lan de un enrutador enrutan datos utilizando la dirección MAC contenida en el marco de datos Ethernet.
Durante el ataque, las entradas de la tabla ARP para la dirección IP de la víctima contendrán la dirección MAC del atacante.
Cuando se envían datos a la dirección IP de la víctima o desde esta, se enrutará a la dirección MAC del atacante.
El objetivo de la intoxicación por ARP es enviar un mensaje no solicitado para 'sobrescribir' la tabla ARP del host y del enrutador para que la dirección MAC del atacante MitM se asocie con ambas.
No esto no es correcto.
- Las entradas de la tabla ARP para la dirección IP de la víctima contendrán la dirección MAC del atacante.
- Las entradas de la tabla ARP para la IP del enrutador no se modifican.
- El atacante puede optar por reenviar el tráfico desde la dirección IP de la víctima al enrutador, pero no tiene que hacerlo.
Vea lo que sucede a continuación para obtener más información.
¿Qué es la suplantación de ARP?
La falsificación de ARP es un tipo de ataque en el que un actor malicioso envía mensajes ARP (Protocolo de resolución de direcciones) falsificados a través de una red de área local. Esto da como resultado la vinculación de la dirección MAC de un atacante con la dirección IP de una computadora o servidor legítimo en la red.
Una vez que la dirección MAC del atacante está conectada a una dirección IP auténtica, el atacante comenzará a recibir los datos destinados a esa dirección IP.
La falsificación de ARP puede permitir que las partes maliciosas intercepten, modifiquen o incluso detengan los datos en tránsito. Los ataques de falsificación de ARP solo pueden ocurrir en redes de área local que utilizan el Protocolo de resolución de direcciones.
Fuente Veracode ARP Spoofing
¿Como funciona?
Los ataques de suplantación de ARP generalmente siguen una progresión similar. Los pasos para un ataque de suplantación de ARP generalmente incluyen:
El atacante abre una herramienta de falsificación de ARP y establece la dirección IP de la herramienta para que coincida con la subred IP de un objetivo. Los ejemplos de software de suplantación de identidad de ARP populares incluyen Arpspoof, Cain & Abel, Arpoison y Ettercap.
El atacante usa la herramienta ARP spoofing para buscar las direcciones IP y MAC de los hosts en la subred del objetivo.
El atacante elige su objetivo y comienza a enviar paquetes ARP a través de la LAN que contienen la dirección MAC del atacante y la dirección IP del objetivo.
Como otros hosts en la LAN almacenan en caché los paquetes ARP falsificados, los datos que esos hosts envían a la víctima irán al atacante. Desde aquí, el atacante puede robar datos o lanzar un ataque de seguimiento más sofisticado.
Fuente Veracode ARP Spoofing
¿Qué pasa después?
El atacante puede optar por inspeccionar los paquetes (espiar), mientras reenvía el tráfico a la puerta de enlace predeterminada real para evitar el descubrimiento, modificar los datos antes de reenviarlos (ataque de hombre en el medio) o lanzar una denegación de servicio ataque causando que algunos o todos los paquetes en la red sean descartados.
Fuente Wikipedia ARP spoofing
Otras lecturas