En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Técnica de envenenamiento de cache ARP como realizarla y como detectarla.

Esta técnica es una de las muchas vulnerabilidades del protocolo TCP/IP. La técnica de envenenamiento ARP consigue evitar las limitaciones de tráfico broadcast impuestas por los switch. Los switch solo envían paquetes entre los host que están incluidos en su tabla ARP, limitando así el broadcast entre las maquinas de la red, con el envenenamiento ARP se consigue mediante una técnica denominada ataque man-in-the-middle, falsear la MAC del atacante para poder recibir ese broadcast y capturar los paquetes dirigidos a las maquinas en las que se ponga en medio.

Como realizar el ataque en Windows:

Utilizando la herramienta multiusos Cain & Abel. Para comenzar a interceptar el tráfico con Cain & Abel pinchamos en el botón “Start/Stop Sniffer” situado a la izquierda en la barra de herramienta. Si queremos utilizar la técnica de envenenamiento ARP solo tendremos que pinchar con el sniffer activado el botón “Start/Stop APR”, seleccionar la pestaña APR de la zona inferior de la pantalla y pulsar en el signo “+” en la barra de herramientas. Se despliega un menú en el que hay que elegir en la zona izquierda donde se encuentran las IP de los equipos de la red, los equipos que quieres interceptar, que aparecerán en la zona derecha, para finalizar pulsamos OK y ya estaría funcionando el envenenamiento ARP.

Como realizar el ataque en Linux:

Para realizar el envenenamiento ARP podemos usar la herramienta Arpoison.

Sintaxis:

NAME
arpoison -- arp cache update utility
SYNOPSIS
arpoison -i -d -s -t -r
[-a] [-n number of packets] [-w time between packets]
DESCRIPTION
Arpoison constructs an ARP REQUEST or REPLY packet using the
specified hardware and protocol addresses and sends it out the specified interface.
-i Device e.g. eth0
-d Destination IP address in dotted decimal notation.
-s Source IP address in dotted decimal notation
-t Target MAC address e.g. 00:f3:b2:23:17:f5
-r Source MAC address
-a Send ARP REQUEST
-n Number of packets to send
-w Time in seconds between packets

Para averiguar las direcciones MAC solo tenemos que hacer ping a las maquinas que queremos atacar y encontraremos su MAC visualizando nuestra tabla ARP con “arp -nv -i eth0”. Para sniffar el tráfico podemos usar un sniffer, existen sniffers como Ettercap que tienen modulos para envenenamiento ARP.

Como detectar el ataque en Windows.

Es muy fácil utilizando la herramienta XArp 2 que monitoriza la tabla ARP y te avisa de cambios en ella, aunque también se puede hacer manualmente utilizando el comando "arp -a" es fácil detectar el ataque porque aparece otra IP con tu MAC, aunque nunca se esta mirando manualmente la tabla ARP, lo mas practico es la monitorización.

Como detectar el ataque en Linux.

Podemos utilizar Arpwatch para monitorizar la tabla ARP y que nos envié un correo electrónico si cambia. Arpwatch puede correr como demonio y para que nos envié un e-mail usamos esta sentencia “arpwatch -i eth0 -m miemail@aqui.es”. Para detectar el ataque manualmente podemos usar ettercap cargando su modulo ARP con la siguiente sentencia “ettercap –tq –p arp_cop”.

Más información y descarga de XArp 2:
http://www.chrismc.de/#

Más información y descarga de Arpwatch:
http://freequaos.host.sk/arpwatch/

Más información y descarga de Ettercap:
http://ettercap.sourceforge.net/

Más información y descarga de Cain & Abel:
http://www.oxid.it/cain.html

Manual Cain & Abel (Ingles):
http://www.oxid.it/ca_um/

Manual de algunas técnicas con Caín & Abel:
http://www.telefonica.net/web2/telamarinera/facu/faqcain.zip




Técnica de envenenamiento de cache ARP como realizarla y como detectarla. Técnica de envenenamiento de cache ARP como realizarla y como detectarla. Reviewed by Álvaro Paz on martes, diciembre 04, 2007 Rating: 5
Publicar un comentario en la entrada
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.