UNIVERSIDAD TECNOLOGICA PRIVADA DE SANTA CRUZ

FACULTA DE TECNOLOGIA
CARRERA: INGENIERIA EN REDES Y TELECOMUNICACIONES
SAUL CALLE ESPINOZA
Santa Cruz de la Sierra Bolivia
2014
Investigacin: Envenenamiento ARP
Por:
Saul Calle Espinoza
1 Introduccin
ARP (protocolo de resolucin de direcciones)
El acrnimo ARP puede referirse a:
El Address Resolution Protocol (protocolo de resolucin de direcciones) para la
resolucin de direcciones en informtica, es el responsable de encontrar la
direccin de hardware que corresponde a una determinada direccin IP.

2 Ataque de Envenenamiento ARP
EN QU CONSISTE EL ATAQUE?
El ataque viene a modificar el flujo de los datos enviados desde un PC Vctima que
pasa a travs de un Gateway para hacer un ataque de tipo MITM (Man in the
Middle) consiguiendo que el trfico de la vctima pase por una mquina Atacante
de forma inocua para la vctima. De esta forma, el flujo de trfico normal para la
vctima sera el que se muestra en la siguiente figura:

El sistema Atacante, que se debe encontrar en la misma LAN que la vctima, va a
conseguir que el flujo de trfico anterior se transforme en este otro:

Conseguir el Atacante por tanto colocarse en medio del trfico pudiendo
examinar todo lo que acontece entre la mquina Vctima y el Gateway.
Hay que tener en cuenta que, a pesar de que las figuras anteriores slo muestren
una direccin del trfico, se capturar el trfico en ambas direcciones
redirigindolo a sus legtimos dueos (Vctima y Gateway) segn el caso
ARP Spoofing
Una tpica trama Ethernet. Una trama modificada podra tener una direccin
MAC de origen falsa para engaar a los dispositivos que estn en la red.
El ARP Spoofing, tambin conocido como ARP Poisoning o ARP Poison Routing,
es una tcnica usada para infiltrarse en una red ethernet conmutada (basada
en switches y no en hubs), que puede permitir al atacante leer paquetes de datos
en la LAN (red de rea local), modificar el trfico, o incluso detenerlo.
El principio del ARP Spoofing es enviar mensajes ARP falsos (falsificados, o
spoofed) a la Ethernet. Normalmente la finalidad es asociar ladireccin MAC del
atacante con la direccin IP de otro nodo (el nodo atacado), como por ejemplo la
puerta de enlace predeterminada (gateway). Cualquier trfico dirigido a la
direccin IP de ese nodo, ser errneamente enviado al atacante, en lugar de a su
destino real. El atacante, puede entonces elegir, entre reenviar el trfico a la
puerta de enlace predeterminada real (ataque pasivo o escucha), o modificar los
datos antes de reenviarlos (ataque activo). El atacante puede incluso lanzar un
ataque de tipo DoS (Denegacin de Servicio) contra una vctima, asociando una
direccin MAC inexistente con la direccin IP de la puerta de enlace
predeterminada de la vctima.
El ataque de ARP Spoofing puede ser ejecutado desde una mquina controlada
(el atacante ha conseguido previamente hacerse con el control de la misma:
intrusin), o bien la mquina del atacante est conectada directamente a la LAN
Ethernet.

Aplicacin
ARP es un protocolo de la capa 2 (enlace). Tanto los paquetes ARP request
como los ARP reply pueden ser trfico de difusin (broadcast). Como tales, no
estn diseados para proporcionar ninguna validacin de identificacin en la
transaccin.
Aunque el ARP Spoofing se puede ejecutar en el transcurso de transacciones
ARP, creando una condicin de carrera, el uso ms comn es la distribucin de
respuestas ARP no solicitadas, que son almacenadas por los clientes en sus
caches ARP, generando de esta manera el escenario ARP Cache Poison, o
caches ARP envenenadas.

Defensas
Un mtodo para prevenir el ARP Spoofing, es el uso de tablas ARP estticas, es
decir aadir entradas estticas ARP, de forma que no existe cach dinmica, cada
entrada de la tabla mapea una direccin MAC con su correspondiente direccin IP.
Sin embargo, esta no es una solucin prctica, sobre todo en redes grandes,
debido al enorme esfuerzo necesario para mantener las tablas ARP actualizadas:
cada vez que se cambie la direccin IP de un equipo, es necesario actualizar
todas las tablas de todos los equipos de la red.
Por lo tanto, en redes grandes es preferible usar otro mtodo: el DHCP snooping.
Mediante DHCP, el dispositivo de red mantiene un registro de las direcciones MAC
que estn conectadas a cada puerto, de modo que rpidamente detecta si se
recibe una suplantacin ARP. Este mtodo es implementado en el equipamiento
de red de fabricantes como Cisco, Extreme Networks y Allied Telesis.
Otra forma de defenderse contra el ARP Spoofing, es detectarlo. Arpwatch es un
programa Unix que escucha respuestas ARP en la red, y enva una notificacin va
correo electrnico al administrador de la red, cuando una entrada ARP cambia.
Comprobar la existencia de direcciones MAC clonadas (correspondientes a
distintas direcciones IP) puede ser tambin un indicio de la presencia de ARP
Spoofing, aunque hay que tener en cuenta, que hay usos legtimos de la clonacin
de direcciones MAC.
RARP (Reverse ARP, o ARP inverso) es el protocolo usado para consultar, a
partir de una direccin MAC, su direccin IP correspondiente. Si ante una
consulta, RARP devuelve ms de una direccin IP, significa que esa direccin
MAC ha sido clonada.

Usos Legtimos
El ARP Spoofing puede ser usado tambin con fines legtimos. Por ejemplo,
algunas herramientas de registro de red, pueden re direccionar equipos no
registrados a una pgina de registro antes de permitirles el acceso completo a la
red.
Otra implementacin legtima de ARP Spoofing, se usa en hoteles para permitir el
acceso a Internet, a los porttiles de los clientes desde sus habitaciones, usando
un dispositivo conocido como HEP (Head-End Processor o Procesador de
Cabecera), sin tener en cuenta su direccin IP.
El ARP Spoofing puede ser usado tambin para implementar redundancia de
servicios de red. Un servidor de backup puede usar ARP Spoofing para sustituir a
otro servidor que falla, y de esta manera ofrecer redundancia de forma
transparente.










Herramienta para Ataques
Arpspoof (parte de las herramientas de DSniff), Arpoison, Can y
Abel, Ettercap, Netcat, SwitchSniffer y AyCarrumba son algunas de las
herramientas que pueden usarse para llevar a cabo los ataques ARP Poisoning.

Solucion para los Ataques
"Un ataque de envenenamiento de cach DNS" es detectado por el Firewall
personal de ESET

"Un ataque de envenenamiento de cach ARP" es detectado por el Firewall
personal de ESET

El Equipo de soporte de ESET le ha solicitado leer este artculo para limpiar su
cach DNS y restaurar el archivo MS Hosts

Si el Firewall personal de ESET detecta una amenaza en su sistema de parte del
envenenamiento de cach DNS, existen dos posibles soluciones que permitirn
resolver el inconveniente. Por favor, comience con la solucin 1 y solo prosiga con
la solucin 2 si el suceso no es resuelto.
Solucin 1: Crear una excepcin para el trfico IP interno

En algunos casos, el Firewall personal de ESET detectar como una posible
amenaza el trfico IP interno proveniente de una red perifrica tal como un router
o una impresora. Efecte los pasos detallados a continuacin para determinar si la
amenaza ha sido causada por el trfico interno y resolver el suceso.
1. Determine si la direccin IP detectada en la notificacin posee un nmero
comprendido dentro del siguiente rango (en el cual "x" es 0-255):

172.16.x.x - 172.31.x.x
192.168.x.x
10.x.x.x

Importante!
Debera agregar una direccin IP a la zona de confianza solamente si la reconoce
como segura.
2. Si la direccin IP detectada se encuentra dentro del rango seguro especificado
arriba abra la ventana principal del programa haciendo clic en el cono de
ESET ubicado junto al reloj del sistema o acceda a Inicio Todos los
programas ESET ESET Smart Security. Contine con el paso 4.

3. Si la direccin IP que ha sido detectada como una amenaza no se encuentra
dentro del rango seguro especificado arriba, o si actualmente no existen
perifricos en uso dentro de su red, prosiga con la solucin 2.

4. Presione la tecla F5 de su teclado para acceder a la ventana de Configuracin
avanzada.

5. Expanda las opciones Red Firewall personal y haga clic en Reglas y zonas.

6. En el panel del Editor de reglas y zonas haga clic en Configuracin.



Figura 1-1


8 Haga clic en la Zonas, seleccione Direcciones excluidas de la proteccin
activa (IDS) y presione Editar.


Figura 1-2

9 En la ventana Configuracin de la zona, haga clic en Agregar
direccin IPv4.



Figura 1-3
10 Seleccione el casillero Direccin nica, y luego ingrese la direccin IP del
dispositivo que ha sido incorrectamente detectado como una amenaza.


Figura 1-4


11 Presione Aceptar cuatro veces para salir del rbol de Configuracin
avanzada y guardar los cambios. Desde ese momento ya no debera
visualizar ningn mensaje relacionado a ataques provenientes desde una
direccin IP interna que usted reconoce como segura.

Solucin 2: Herramienta DNS Flush

Usted puede utilizar la herramienta DNS Flush de ESET para eliminar el cach
DNS y restaurar los archivos MS Hosts. Siga los pasos descriptos a continuacin
para descargar y ejecutar la herramienta DNS Flush:
1 Haga clic en el enlace que se halla debajo para descargar la
herramienta DNS-Flush.exe. Cuando se le solicite, presione Ejecutar.
DNS-Flush.exe

2 Luego de completar la descarga dirjase hasta el Escritorio, haga clic
derecho sobre el archivo DNS-Flush.exe que acaba de descargar y
seleccione la opcin Ejecutar como administrador dentro del men
contextual.

3 Esta herramienta automticamente eliminar el cach DNS y restaurar
los archivos necesarios. Cuando el proceso se complete, su equipo se
reiniciar automticamente.

4 Luego de que el equipo se reinicie abra su producto de seguridad ESET
y ejecute un Anlisis completo. Acceda al siguiente artculo de nuestra
Base de conocimiento para obtener asistencia:

.
3 - Bibliografa
http://es.wikipedia.org/wiki/ARP_Spoofing
http://linuxgnublog.org/envenamiento-de-las-tablas-arp-arp-spoofing/
http://kb.eset-
la.com/esetkb/index?page=content&id=SOLN2933&querysource=external_es&loc
ale=es_ES
http://www.expresionbinaria.com/ataque-de-tipo-arp-spoofing/
http://endebian.wordpress.com/2013/01/30/arp-poisoning-envenenamiento-arp/