GNU/Linux >> Tutoriales Linux >  >> Linux

Ataques TCP/IP:explicación de los fundamentos del envenenamiento de caché ARP

Supongamos que 'A' y 'B' son muy buenos amigos y 'A' comparte todos sus secretos con 'B'.

Ahora, si entra un tipo 'C' y finge como si fuera 'B'. ¿Te imaginas lo que podría pasar? Sí, 'A' podría contarle todos sus secretos a 'C' y 'C' podría hacer un mal uso de ellos.

En lenguaje sencillo, esto es lo que queremos decir con envenenamiento de caché ARP.

El envenenamiento de ARP puede causar muchos problemas de red graves y los administradores de red deben saber cómo funciona este ataque.

Protocolo ARP

Antes de saltar a la descripción de la compensación de caché ARP, primero actualicemos cómo funciona el protocolo ARP. El protocolo ARP consta de los siguientes 4 mensajes básicos:

  1. Solicitud ARP:la computadora 'A' pregunta en la red, "¿quién tiene esta IP?"
  2. Respuesta ARP:todas las demás computadoras ignoran la solicitud excepto la computadora que tiene la IP solicitada. Esta computadora, digamos que 'B' dice, tengo la dirección IP solicitada y aquí está mi dirección MAC.
  3. Solicitud RARP:Esto es más o menos lo mismo que la solicitud ARP, la diferencia es que en este mensaje se transmite una dirección MAC en la red.
  4. Respuesta de RARP:El mismo concepto. La computadora 'B' dice que la MAC solicitada es mía y aquí está mi dirección IP.

Todos los dispositivos que están conectados a la red tienen un caché ARP. Este caché contiene la asignación de todas las direcciones IP y MAC de los dispositivos de red con los que este host ya se ha comunicado.

Concepto de envenenamiento de caché ARP

El protocolo ARP fue diseñado para ser simple y eficiente, pero una falla importante en el protocolo es la falta de autenticación. No se agregó autenticación a su implementación y, como resultado, no hay forma de autenticar la asignación de direcciones IP a MAC en la respuesta ARP. Además, el host ni siquiera verifica si envió una solicitud ARP para la cual está recibiendo un mensaje de respuesta ARP.

En lenguaje sencillo, si la computadora 'A' ha enviado una solicitud ARP y recibe una respuesta ARP, entonces el protocolo ARP de ninguna manera puede verificar si la información o la asignación de IP a MAC en la respuesta ARP es correcta o no. Además, incluso si un host no envió una solicitud ARP y obtiene una respuesta ARP, también confía en la información en respuesta y actualiza su caché ARP. Esto se conoce como envenenamiento de caché ARP.

Entonces puede ver que es fácil explotar esta debilidad del protocolo ARP. Un pirata informático malvado puede crear una respuesta ARP válida en la que cualquier IP se asigna a cualquier dirección MAC de la elección de los piratas informáticos y puede enviar este mensaje a toda la red. Todos los dispositivos en la red aceptarán este mensaje y actualizarán su tabla ARP con nueva información y de esta manera el pirata informático puede obtener el control de la comunicación de ida y vuelta desde cualquier host en la red.

Consecuencias del envenenamiento de caché ARP

Después de que un pirata informático ve una posibilidad de envenenamiento de caché ARP, el atacante puede usar varias técnicas de ataque para dañar o para obtener el control de la máquina de las víctimas. Analicemos algunos de ellos aquí:

1) Denegación de servicio

Un pirata informático puede enviar una respuesta ARP asignando una dirección IP en la red con una dirección MAC incorrecta o inexistente. Por ejemplo, una respuesta ARP falsa que asigna la IP del enrutador de la red con una MAC inexistente reducirá la conectividad de toda la red con el mundo exterior, ya que ahora cualquier paquete enviado a la IP del enrutador se enviará a una máquina con una dirección MAC. eso no existe.

2) Hombre en medio

Como sugiere el nombre, el pirata informático puede hacer que su máquina se sitúe justo en medio de la comunicación entre su sistema y cualquier otro sistema en la red. De esta forma, el hacker puede rastrear todo el tráfico hacia y desde ambas máquinas.

Para lograr esto, suponga que su máquina es el host 'A' y su enrutador de red es el host 'B'. 'A' tiene IP-A y MAC-A, mientras que 'B' tiene IP-B y MAC-B como dirección IP y dirección MAC respectivamente. Ahora, el pirata informático envía una respuesta ARP al enrutador que asigna su IP (IP-A) con la dirección MAC de su máquina y otra respuesta ARP a su máquina que asigna la IP de los enrutadores con la dirección MAC de su máquina. Ahora cualquier mensaje enviado por su máquina al enrutador o desde el enrutador a su máquina llegará a la máquina del hacker. El pirata informático ahora puede activar la función "Reenvío de IP" en su máquina, lo que permite que la máquina del pirata informático reenvíe todo el tráfico de ida y vuelta a su máquina y enrutador. De esta manera, la máquina del hacker se ubica justo en el medio y puede olfatear o bloquear el tráfico.

3) Inundación de MAC

Para los conmutadores en la red, la inundación de MAC es una técnica de posicionamiento de caché ARP que se utiliza. Muchos conmutadores de red, cuando se sobrecargan, pueden comenzar a actuar como un concentrador y comenzar a transmitir todo el tráfico de la red a todos los hosts conectados a la red. Entonces, un pirata informático puede inundar un conmutador con respuestas ARP falsas y puede hacer que el conmutador comience a comportarse como un centro. En esta función, el conmutador no habilita su función de "seguridad del puerto", por lo que transmite todo el tráfico de la red y, aprovechando esto, el hacker puede detectar paquetes en la red.

Técnicas de mitigación de envenenamiento de caché ARP

Envenenar el caché ARP de forma remota es un poco difícil, ya que requiere acceso físico a la red o el control de una de las máquinas en la red. Dado que no siempre es fácil, los ataques ARP no se escuchan con frecuencia. De todos modos, tomar precauciones es mejor que tomar medicamentos. Los administradores de red deben tener cuidado de que este tipo de ataques no se produzcan. Aquí hay algunos puntos de mitigación:

  • Para redes pequeñas, se pueden mantener entradas ARP estáticas. Estático significa que no cambia, por lo que, como sugiere el nombre, estas entradas no se pueden cambiar y, por lo tanto, cualquier intento de los piratas informáticos de cambiar la asignación falla. Esto es bueno para redes pequeñas, pero no para redes grandes, ya que la asignación de cada nuevo dispositivo agregado a la red debe realizarse manualmente.
  • Para una red grande, se pueden explorar las funciones de seguridad de puerto de los conmutadores de red. Algunas funciones, cuando están activadas, obligan al conmutador a permitir solo una dirección MAC para cada puerto físico en el conmutador. Esta función garantiza que las máquinas no puedan cambiar su dirección MAC y no puedan asignar más de una MAC a su máquina, lo que evita ataques como "man in middle".
  • En general, se puede implementar alguna herramienta de monitoreo como ARPwatch para recibir alertas cuando se produce alguna actividad ARP maliciosa en su red.

Para concluir, en este artículo, estudiamos los conceptos básicos del protocolo ARP, sus lagunas, cómo se pueden explotar estas lagunas y cómo se pueden mitigar.

El siguiente artículo de esta serie es:Predicción de número de secuencia TCP y ataques de restablecimiento de TCP.


Linux

  1. Uso de la comunicación TCP/IP localhost en un programa:¿siempre seguro?

  2. ¿Cómo puedo enumerar todas las IP en la red conectada, preferiblemente a través de la Terminal?

  3. ¿Cuándo las entradas STALE arp se vuelven FALLIDAS cuando nunca se usan?

  4. ¿Por qué se requieren < o > para usar /dev/tcp?

  5. Unix socket vs host TCP/IP:puerto

Cómo conectar NGINX a PHP-FPM usando UNIX o TCP/IP Socket

Conceptos básicos del protocolo TCP/IP explicados con un diagrama

Ataques TCP:Predicción del número de secuencia TCP y Ataques de restablecimiento TCP

Tutorial de Ettercap:Ejemplos de falsificación de DNS y envenenamiento de ARP

¿Qué es DHCP y cómo funciona DHCP? (Explicación de los fundamentos de DHCP)

Comprobar el tráfico de red saliente