Roberto Crdenas

Roberto Crdenas

Qu es resolucin de
direccin?

La traduccin de la direccin de protocolo de

una computadora a una direccin de
hardware equivalente.

Condicin: las mquinas deben estar en la

misma LAN.

Tcnicas de resolucin de
direccin
Bsqueda en tabla: WAN
Clculo en forma cerrada: Redes configurables
Intercambio de mensajes: LAN con direcciones

estticas

Bsqueda en tabla
Las ligas se almacenan en una tabla de la
memoria, en la que el software busca cuando
necesita resolver una direccin.

Bsqueda en tabla

Tcnica de indexacin
directa

Bsqueda secuencial

Promedio de bsquedas = n/2

Bsqueda binaria (>12).

Ej. Buscar 197.15.3.7
197.15.3.2
197.15.3.3
bsquedas
197.15.3.4
= log2n

Mitad

197.15.3.5
197.15.3.6
7>5------ 197.15.3.7 7=7
197.15.3.8

No. de
peor caso

Mitad

Resolucin en forma
cerrada
Direccin IP
Direccin Hardware
220.123.5.1
220.123.5.2

1
2

direccin-hardware = direccin_ip & 0xf

Clculo sencillo, no se necesitan tablas

Intercambio de mensajes
Es un mtodo distribuido en el que las
computadoras que necesitan resolver
direcciones envan mensajes y reciben
respuestas por la red. Cada mensaje lleva una
solicitud que indica la direccin de protocolo,
y la respuesta lleva la direccin de hardware
correspondiente.

Es el proceso de mapeo de la direccin IP

de un host a su direccin de hardware.

Funciona en un ambiente de hosts TCP/IP

sobre redes basadas en difusin (broadcast

Se definen dos tipos de mensaje: solicitud

respuesta.

Usa tabla e intercambio de mensajes

Un mensaje de solicitud tiene una direccin

IP del host destino y solicita la direccin de

hardware correspondiente.

La respuesta tiene tanto la direccin enviada c

la solicitud como la direccin de hardware.

La direccin de hardware se almacena como un

entrada en el ARP cache.

Un frame Ethernet con un mensaje ARP deb

tener el hexadecimal 0806 en el campo Fram

Type.

Al hacer la difusin (broadcast) de una solicitu

ARP los bits de la direccin destino son unos.

Formato de la direccin
fsica
El formato de una direccin fsica utilizada por los
protocolos 802 es el siguiente:
1Byte - 2Byte - 3Byte - 4Byte - 5Byte - 6Byte

Los bytes 1, 2 y 3 pertenecen al identificador OUI

"Identificador nico de la organizacin". Este

identificador es asignado por la IEEE a los fabricantes
de hardware o software que soliciten un OUI. Los bytes
4, 5 y 6 son asignados por el fabricante de hardware.
La IEEE tiene la responsabilidad de asignar un nico
OUI. Esto implica que por cada OUI asignado el
fabricante puede fabricar hasta 224 interfaces de red.

Formato de la direccin
fsica
El formato del primer byte de una direccin
MAC fuente es el siguiente:
+-+-+-+-+-+-+-+-+
|0 1 2 34 5 67|
+-+-+-+-+-+-+-+-+

- Si Bit 1 es igual a 0 implica que la direccin

MAC tiene sentido global (no manipulable por
el administrador).
- Si Bit 1 es igual a 1 implica que la direccin
MAC tiene sentido local (el administrador
puede asignar los bytes 4, 5 y 6.

Encapsulamiento del
mensaje ARP

1 cuando se usa
ARP con Ethernet

0800H cuando se
usa ARP con IP

Cantidad de
bytes de una dir.
de harware: 6
para Ethernet

Cantidad de
bytes de una dir.
de protocolo:
4 para IP

1 si el msg. es una
solicitud, 2 si es una
respuesta

2, 3 o
4
bytes

0x000f

4
bytes

0x800
0

0x000
1

Reverse ARP
El proceso Reverse ARP hace lo inverso que
el proceso ARP. Una estacin de trabajo sin
disco, o un enrutador sin configuracin no
tienen definidas direcciones IP y la definen
con Reverse ARP.
Se debe configurar un servidor ARP local o
se puede acceder a uno remoto usando un
ayudante de direccin (helper address) en el
enrutador que est sobre el segmento de
LAN.

0x000
3

Utilizado para resolver ladireccin IPde una direccin hardware dada (como una
direccinEthernet). Requiere de un servidor en cada subred (gateway).
Reemplazado por BOOTP (UDP).

Ejemplo de Reverse ARP

0x000
4

Inverse ARP (InARP)

Permite a un sistema localizar la direccin IP
asociada con una direccin de la capa de
enlace de datos.
En el caso de Frame Relay la solicitud se
enva
a la direccin DLCI que est asociada con el
circuito especfico que el dispositivo destino
tenga.

Escenario de uso de InARP con

Frame Relay

0x000
8

As como ARP resuelve las direcciones IP a direcciones MAC, ARP

inverso resuelve un DLCI conocido a una direccin IP.

0x000
8

As como ARP resuelve las direcciones IP a direcciones MAC, ARP

inverso resuelve un DLCI conocido a una direccin IP.

0x000
9

Una solicitud ARP es iniciada en el momento en que

un host trata de comunicarse con otro host.

Cuando IP determina que la direccin IP es para la red

local, el host fuente revisa su propio ARP cache para

para la direccin de hardware del host destino.

No existe
la liga para
131.107.7.
29

Si no hay mapeo, ARP construye una solicitud

que incluye direcciones IP de fuente y destino

y de hardware de la fuente.

La solicitud ARP es mandada como un broadcas

para que todos los host locales lo reciban y

procesen.

1: se usa
ARP con
Ethernet

0x0800:se
usa ARP con
IP

1: el msg.
es una
solicitud

0x06: #
bytes de
direccin
Ethernet

0x0800
4_ _ _

0x04: #
bytes de
direccin
IP
0x_ _ _
_

7.28=
0x071
c

131.107.7.29=
0x836b071d

0x000000
00

131.10
7=0x8
36b
0x000
0

Solicitud
ARP

Cada host en la red local recibe el broadcast y

revisa si su direccin IP coincide con la solicitu

ARP.
Si no coincide, se ignora la solicitud.
Si coincide, el host destino actualiza su ARP

cach con las direcciones IP y hardware del ho

fuente.

Se
actualiza el
ARP Cach

Si el host destino determina que la direccin

IP de la solicitud coincide con su direccin

IP propia, manda una respuesta ARP
directamente al host fuente.
Cuando el host fuente recibe la respuesta, la

comunicacin se establece.

Respuesta
ARP

1: se usa
ARP con
Ethernet

0x0800:se
usa ARP con
IP

2: el msg.
es una
respuesta

0x06: #
bytes de
direccin
Ethernet

0x0800
7_ _ _

0x04: #
bytes de
direccin
IP
0x_ _ _
_

7.29=
0x071
d

131.107.7.28=
0x836b071c

0x4_ _ _ _
___

131.10
7=0x8
36b
0x080
0

Ejemplo de solicitud/respuesta
ARP

Source

Target

Target

Source

Cuando la solicitud de comunicaciones se inicia

la direccin IP destino es identificada como una

direccin remota.

El host fuente revisa su tabla local de enrutami

buscando una ruta hacia el host o red destino.

Si no hay mapeo, el host fuente determina la

direccin IP del dafault gateway.

El host fuente revisa el ARP cache buscando el

mapeo direccin IP/hardware del gateway.

No hay liga para

el Default
Gateway

Si no se encuentra ningn mapeo para el

gateway especificado, se hace un broadcast

de la solicitud ARP preguntando por la
direccin del gateway en lugar del host
destino.
El enrutador responde al host fuente con su

direccin.
El host fuente enva un paquete de datos al

enrutador para lo entregue en la red destino y

finalmente al host destino.

Solicitud ARP al
enrutador

En el enrutador, IP determina si la direccin

IP destino es local o remota (Puerto B). Si es l

el enrutador usa ARP (ya sea cache o broadca
para obtener la direccin.
Si la direccin IP es remota, el enrutador

revisa su tabla para buscar el gateway

especfico y usa ARP (ya sea cache o broadca
para obtener la direccin de hardware del
gateway.

El paquete es enviado directamente al siguien

host destino.

El enrutador
examina si el
destino est
sobre B o es
remoto

Se actualiza ARP
Cache de target

Si el destino es local, el
enrutador usa ARP para
obtener dir. hardw. de
destino

Despus de que el host destino recibe la solicit

formula una respuesta de eco ICMP. A causa de

que el host fuente est en una red remota, la
tabla de enrutamiento local es revisada para
encontrar el gateway hacia la red del host fuen

Cuando se encuentra el gateway, se usa ARP p

encontrar la direccin de hardware.

El destino usa ARP para

encontrar dir. hardw. de
destino de puerto B del
enrutador, para enviar eco.

Si la direccin del gateway especificado no est

en el ARP cache, se usa un ARP broadcast par

obtenerla.

Una vez obtenida, se enva una respuesta de e

ICMP hacia en enrutador para que la enrute ha

el host fuente.

Debe guardarse indefinidamente

las entradas dinmicas en ARP
cach?

Temporizadores del ARP

cach
Cada entrada tiene un tiempo de vida

potencial de 10 minutos. As como se

adicionen entradas al cach ARP, cada
vez se estampa el tiempo. Si no se usa
dentro de un periodo de 2 minutos, la
entrada es borrada; de otra forma se
borra despus de 10 minutos.
Si el cach ARP alcanza su mxima
capacidad antes de que el tiempo expire,
la entrada ms vieja es borrada para que
la nueva sea adicionada.

Proxy ARP
El enrutador acta en nombre del sistema
remoto y en este caso el sistema de red es
configurado para que se piense que todos los
destinos estn sobre el segmento de LAN
local.

Proxy ARP
Con Proxy ARP se publican manualmente las

entradas ARP en una interfaz para mquinas

en otra interfaz. De esta manera, las
mquinas en un segmento de red saben que
pueden alcanzar las mquinas en el otro
segmento a travs de esta mquina
intermediario.

Proxy ARP
Esto requiere que las direcciones IP estn en

la misma subred, por supuesto. Ethernet (en

la capa 2) no entiende de enrutamiento en
absoluto. Cuando se enva un paquete a una
direccin IP que no est en una subred local,
la tabla de enrutamiento se consulta para
encontrar una mquina en la red local que
puede alcanzar la red de destino, y los
paquetes se envan usando el MAC del router.

Proxy ARP

ARP Gratuito
El dispositivo difunde sus direcciones de
hardware e IP con el nico propsito que los
dems tengan su informacin en el ARP
cach.
No se espera ninguna respuesta. Si la hay es
porque hay una duplicacin de direccin IP.

ARP Gratuito
Cada vez que un computador inicia la

configuracin de una interface de red que hace

uso del protocolo ARP.
El protocolo ARP enva un paquete ARP con el
fin de determinar si su direccin IP o direccin
fsica est siendo utilizada por otro computador
y as ofrecer la oportunidad a los dems
computadores de actualizar su ARP Cache.
En un paquete ARP gratuito la direccin IP
destino es igual a la direccin IP fuente.

ARP Gratuito
Si algn computador de la red local detecta

un paquete ARP gratuito cuya direccin IP es

la misma que la configurada en su interface
de red, ste computador enva un paquete
ARP indicando su direccin IP y direccin fsica
al computador que transmiti el ARP gratuito.
De esta manera el computador que envi el
ARP gratuito genera un mensaje de
advertencia indicando que dicha direccin IP
est siendo utilizada por otro computador.

ARP Gratuito

Comando ARP de
Windows

Obtener ARP cach

Solicitud ARP Broadcast a nivel

Ethernet

Direccin de hardware
administrada localmente? Es LG=1
a causa del broadcast.

Direccin de hardware de fuente

administrada globalmente. Tarjeta
producida por Elite Group

Direcciones MAC de Elite

Group
http://www.base64online.co
m/mac_address.php?ven=elit
egro

Trama Ethernet con

mensaje ARP:0x0806

Solicitud ARP

Respuesta ARP. A nivel 2

la fuente enva su dir. de
hardware

Respuesta ARP

Respuesta ARP. A nivel 2

la fuente enva su dir. de
hardware

Por qu el Trailer a
nivel 2?

Trailer=18 bytes

Bytes de trama Ethernet

Direccin MAC destino (bytes):
Direccin MAC fuente (bytes):
Type (bytes):
Mensaje ARP (bytes):
Trailer (bytes):
CRC (bytes):

Por qu?

6
6
2
28
18
4
------64

Deteccin de Sniffers
Las pruebas ARP explotan fallas especficas

encontradas en los sistemas operacionales,

cuando se analizan los paquetes ARP
difundidos.
Cuando se est en modo promiscuo* el
manejador para la tarjeta de red revisa la
direccin MAC destino y la forma como lo
revisa puede ser explotable.
*El modo promiscuo es aquel en el que una computadora conectada a una red compartida,
tanto la basada en cable de cobre como la basada en tecnologa inalmbrica, captura todo el
trfico que circula por ella. Este modo est muy relacionado con los sniffers que se basan en
este modo para realizar su tarea.

Deteccin de Sniffers
Hay casos en que se pueden identificar las

siguientes direcciones como direcciones

broadcast:
- o x FF:00:00:00:00:00

- 0 x FF:FF:FF:FF:FF:00
Por ejemplo, para probar la primera falla, se

enva un paquete con la direccin MAC

ff:00:00:00:00:00 y una direccin IP destino
correcta.

https://www.youtube.com/watch?

Vulnerabilidad de ARP
ARP es un protocolo sin estado. Hosts de la red

almacenan en cach automticamente las

respuestas ARP que reciben, independientemente
de si son o no los solicitaron. Incluso las entradas
ARP que an no han expirado se sobrescribirn
cuando se recibe un nuevo paquete de respuesta
ARP. No existe un mtodo en el protocolo ARP por
el que un host puede autenticar el par desde el
que se origin el paquete. Este comportamiento es
la vulnerabilidad que permite que se produzca la
suplantacin ARP

La suplantacin ARP o el
ARP
poisoning
Es una tcnica que utiliza un atacante para introducir
una asociacin de direcciones MAC incorrecta en una
red emitiendosolicitudes de ARP falsas.
El individuo falsifica la direccin MAC de un
dispositivo y de esta manera las tramas pueden
enviarse a la direccin equivocada.
Este tipo de ataque puede ser molesto en un
escenario local, por ejemplo un cibercaf, y por
supuesto en entornos corporativos donde no se sigan
los procedimientos mnimos de seguridad sugeridos.

Consejo
Una manera de evitar la suplantacin ARP es

configurar asociaciones de ARP

estticasmanualmente. Las direcciones MAC
autorizadas pueden configurarse en algunos
dispositivos de red para que limiten el acceso
a la red para slo los dispositivos indicados.

Envenenamiento de las
tablas
ARP
Consiste bsicamente en inundar la red con
paquetes ARP indicando que la nuestra (atacante)
es la MAC asociada a la IP de nuestra vctima y que
nuestra MAC est tambin asociada a la IP del
router (puerta de enlace) de nuestra red.
De este modo, todas las mquinasactualizaransus
tablas con esta nueva informacin maliciosa.
Nuestra mquina se configura para quereenvelos
paquetes a su verdadero destinatario, as nadie
notar que nos hemos metido en medio (Man-inthe-middle)

Efecto del envenenamiento

de
las
tablas
ARP
Cada vez que alguien quiera enviar un paquete a
travs del router, ese paquete no
serrecogidopor el router, sino por nuestra
mquina, pues se dirige a nuestra direccin MAC,
y cada vez que el router u otra mquina enve un
paquete a nuestra vctima suceder lo mismo.
Los paquetes que nos interesan pasan por
nuestra mquina podremos usar una aplicacin
analizadora de paquetes(sniffer)
comoWiresharkpara ver su contenido y usarlo
con buenos o malos propsitos.

Herramientas
La aplicacin arpspoof est diseada para

realizar envenenamientos de tablas ARP

dirigidos a hosts concretos, por lo que no
realiza un envenenamiento global.

Arpspoff

gateway.sytemadmn.
es
172.16.0.1
MAC: 00-00-00-00-0001

usuario.sytemadmn.e
s
172.16.0.2
MAC: 00-00-00-00-0002

atacante.sytemadmn.
es
172.16.0.3
MAC: 00-00-00-00-0003

Parmetros de arpspoff
-i: interfaz en la que haremos el spoofing
-t: El target a quien le vamos a decir nuestra

MAC
La IP del host que queremos suplantar

Para reenviar el trfico del

target

Envenenamiento

Envenenamiento
Se dice a Gateway
que la dir. MAC del
usuario es la del
atacante 00-00-0000-00-03
Se dice a usuario
que la dir. MAC del
Gateway es la del
atacante
00-00-00-00-00-03