Arp
Click here to load reader
Transcript of Arp
Seguridad en Redes: Capa Seguridad en Redes: Capa de Redde Red
ARP SpoofingARP Spoofing
Oscar Eduardo Sánchez GarcíaOscar Eduardo Sánchez GarcíaCorporación Universitaria AmericanaCorporación Universitaria Americana
Medellin, ColombiaMedellin, Colombia
Introducción• Una computadora conectada a una red Ethernet
tiene dos direcciones– Dirección de MAC
• Globalmente única y no modificable que se almacena en la NIC.
• Un encabezado Ethernet contiene la dirección MAC de las máquinas fuente y destino.
– Dirección IP
• Cada computadora en una red debe tener una dirección IP única.
• Virtual y asignada por software.
2
• Packet: Unidades de transmisión (capa de red)
• Los paquetes se fraccionan en frames (capa enlace)
• Se envían por el cable hacia otro dispositivo (capa fisica)
• Segmentación: Decide cuál puerto debe mandar el frame. Para ello busca la dirección física destino del frame en una tabla interna (CAM table) que mapea número de puertos y direcciones MAC.
3
Introducción
• En el momento en que el frame Ethernet es construido a partir de un paquete IP no se tiene idea de la MAC de la máquina destino.
• La única información disponible es la dirección IP destino.
• Debe existir una forma para que el protocolo Ethernet obtenga la MAC de la máquina destino dado la IP destino.
• Aquí es donde el protocolo ARP (Address Resolution Protocol) aparece en escena. 4
Introducción
5
Address Resolution & Reverse Address Resolution
6
Address Resolution & Reverse Address Resolution
7
8
Encapsulamiento de ARP
Funcionamiento del ARP– Obtener la dirección IP del destino.– Crear un mensaje ARP de solicitud (request).
– Inserta la dirección física del emisor.– Inserta la dirección IP del emisor.
– Inserta la dirección IP del destino.– La dirección física del destino se llena con 0.
– El mensaje se pasa a la capa de enlace donde es encapsulado en un frame.– Dirección fuente: dirección física del emisor.– Dirección destino: dirección broadcast.
9
Funcionamiento del ARP– Cada host o router en la red recibe el frame.
– Todos los equipos lo pasan al ARP.– Todas las máquinas, excepto la destino,
descartan el paquete.– La máquina destino responde con un mensaje
ARP que contiene su dirección física.
– Mensaje unicast.– El emisor recibe el mensaje de respuesta y
obtiene la dirección física de la máquina destino.
10
11
12
Encapsulamiento RARP
– Para evitar el envío de un paquete ARP request cada vez que se necesite un host puede mantener una cache con la dirección IP y su correspondiente dirección física en su tabla ARP (ARP cache).
– Cada entrada en la tabla ARP suele ser “envejecida” para que luego de cierto tiempo de inactividad sea eliminada.
– Cuando una computadora recibe un ARP reply se actualiza su entrada en la tabla ARP.
– El protocolo ARP es stateless, por lo tanto la mayoría de los sistemas operativos actualizarán su cache si reciben una respuesta (reply), sin importar si enviaron o no un pedido (request).
13
ARP Spoofing
• Construir respuestas ARP falsas.
• Una máquina objetivo puede ser “convencida” de enviar frames a la computadora B, frames que originalmente estaban destinados a A.
• La computadora A no tendrá idea de esta redirección.
• Este proceso de actualizar la cache ARP de la máquina objetivo se conoce como
“ARP poisoning”.14
15
AIP:10.0.0.1
MAC:aa:aa:aa:aa
BIP:10.0.0.2
MAC:bb:bb:bb:bb
HackerIP:10.0.0.3
MAC:cc:cc:cc:cc
switch
IP MAC
10.0.0.2 bb:bb:bb:bb
ARP cache
IP MAC
10.0.0.1 aa:aa:aa:aa
ARP cache
ARP reply falsoIP:10.0.0.2
MAC:cc:cc:cc:ccA
RP
re
ply
fals
oIP
:10.
0.0
.2M
AC
:cc:
cc:c
c:cc
ARP reply falsoIP:10.0.0.2
MAC:cc:cc:cc:cc
16
AIP:10.0.0.1
MAC:aa:aa:aa:aa
BIP:10.0.0.2
MAC:bb:bb:bb:bb
HackerIP:10.0.0.3
MAC:cc:cc:cc:cc
switch
IP MAC
10.0.0.2 cc:cc:cc:cc
ARP cache
IP MAC
10.0.0.1 aa:aa:aa:aa
ARP cache
La cache ARP de A fue “envenenada”.
ARP Spoofing
• Desde ahora todos los paquetes que A pretende enviar a B van a la máquina del hacker.
• La entrada en la cache tiende a expirar por lo tanto deberá enviar nuevamente el ARP reply.– ¿Qué tan seguido?
– Depende del sistema particular.– Generalmente cada 40 segundos es suficiente.
17