Tabla de contenido:
- Suplantación de ARP
- Cain & Abel para envenenamiento por ARP
- Suplantación de direcciones MAC
- Sistemas basados en UNIX
- Windows
- Contramedidas contra el envenenamiento por ARP y ataques de suplantación de direcciones MAC
Video: ARP Spoofing - Explicado Fácilmente 2024
Los hackers pueden usar ARP (Protocolo de resolución de direcciones) ejecutándose en su red para hacer que sus sistemas aparezcan como su sistema u otro host autorizado en su red. Tenga esto en cuenta al desarrollar sus contramedidas de seguridad.
Suplantación de ARP
Un número excesivo de solicitudes ARP puede ser un signo de un ataque ARP spoofing en su red.
Un cliente que ejecuta un programa, como dsniff o Cain & Abel, puede cambiar las tablas ARP, las tablas que almacenan direcciones IP a acceso a medios contr ol asignaciones de direcciones en hosts de red. Esto hace que las computadoras de las víctimas crean que necesitan enviar tráfico a la computadora del atacante en lugar de a la verdadera computadora de destino cuando se comunican en la red.
Las respuestas ARP falsificadas pueden enviarse a un interruptor, que revierte el interruptor al modo de transmisión y esencialmente lo convierte en un concentrador. Cuando esto ocurre, un atacante puede olfatear cada paquete que pasa por el interruptor y capturar cualquier cosa de la red.
Aquí hay un típico ataque de suplantación de ARP con la computadora de un hacker (Hacky) y dos computadoras de usuarios legítimos (Joe y Bob):
-
Hacky envenena las cachés ARP de las víctimas Joe y Bob usando dsniff, ettercap o una utilidad que escribió.
-
Joe asocia la dirección MAC de Hacky con la dirección IP de Bob.
-
Bob asocia la dirección MAC de Hacky con la dirección IP de Joe.
-
El tráfico de Joe y Bob se envía primero a la dirección IP de Hacky.
-
El analizador de redes de Hacky captura el tráfico de Joe y Bob.
Cain & Abel para envenenamiento por ARP
Puede realizar una intoxicación por ARP en su red Ethernet conmutada para probar su IPS o para ver qué tan fácil es convertir un interruptor en un concentrador y capturar cualquier cosa con un analizador de red.
Realice los siguientes pasos para usar Cain & Abel para la intoxicación ARP:
-
Cargue Cain & Abel y luego haga clic en la pestaña Sniffer para ingresar al modo analizador de red.
-
Haz clic en el ícono Start / Stop APR.
Comienza el proceso de enrutamiento de veneno ARP y habilita el sniffer incorporado.
-
Si se le solicita, seleccione el adaptador de red en la ventana que aparece y luego haga clic en Aceptar.
-
Haga clic en el icono + azul para agregar hosts para realizar una intoxicación ARP.
-
En la ventana del escáner de direcciones MAC que aparece, asegúrese de que la opción Todos los servidores en mi subred esté seleccionada y luego haga clic en Aceptar.
-
Haga clic en la pestaña APR para cargar la página APR.
-
Haga clic en el espacio en blanco debajo del encabezado de la columna Estado más superior.
Esto vuelve a habilitar el ícono azul +.
-
Haga clic en el icono azul + y la ventana Nuevo enrutamiento de venenos ARP muestra los hosts descubiertos en el paso 3.
-
Seleccione su ruta predeterminada.
La columna de la derecha se llena con todos los hosts restantes.
-
Ctrl + clic en todos los hosts en la columna de la derecha que desea envenenar.
-
Haga clic en Aceptar y se iniciará el proceso de envenenamiento ARP.
Este proceso puede llevar desde unos pocos segundos hasta unos minutos, dependiendo de su hardware de red y de la pila de TCP / IP local de cada servidor.
-
Puede usar la función de contraseñas incorporada de Cain & Abel para capturar las contraseñas que atraviesan la red hacia y desde varios hosts simplemente haciendo clic en la pestaña Contraseñas.
Los pasos anteriores muestran cuán fácil es explotar una vulnerabilidad y demostrar que los switches Ethernet no son lo único que se cree.
Suplantación de direcciones MAC
La suplantación de direcciones MAC engaña al conmutador para que piense que su computadora es otra cosa. Simplemente cambie la dirección MAC de su computadora y enmascare como otro usuario.
Puede usar este truco para probar los sistemas de control de acceso, como su IPS / firewall, e incluso los controles de inicio de sesión de su sistema operativo que verifican las direcciones MAC específicas.
Sistemas basados en UNIX
En UNIX y Linux, puede falsificar direcciones MAC con la utilidad ifconfig. Siga estos pasos:
-
Mientras está conectado como root, use ifconfig para ingresar un comando que deshabilite la interfaz de red.
Inserte el número de interfaz de red que desea deshabilitar en el comando, así:
[raíz @ raíz localhost] # ifconfig eth0 abajo
-
Ingrese un comando para la dirección MAC que desea usar.
Inserte la dirección MAC falsa y el número de interfaz de red (eth0) en el comando de nuevo, así:
[root @ raíz localhost] # ifconfig eth0 hw ether new_mac_address
Puede usar una función más rica utilidad llamada GNU MAC Changer para sistemas Linux.
Windows
Puede usar regedit para editar el Registro de Windows, o puede usar una sencilla utilidad de Windows llamada SMAC, que hace que el spoofing de MAC sea un proceso simple. Siga estos pasos para usar SMAC:
-
Cargue el programa.
-
Seleccione el adaptador para el que desea cambiar la dirección MAC.
-
Ingrese la nueva dirección MAC en los campos Nueva dirección MAC falsificada y haga clic en el botón Actualizar MAC.
-
Detenga y reinicie la tarjeta de red con estos pasos:
-
Haga clic con el botón derecho en la tarjeta de red en Conexiones de red y de acceso telefónico y luego seleccione Deshabilitar.
-
Haz clic con el botón derecho nuevamente y luego selecciona Habilitar para que el cambio surta efecto.
-
-
Haga clic en el botón Actualizar en la interfaz de SMAC.
Para revertir los cambios del Registro con SMAC, siga estos pasos:
-
Seleccione el adaptador para el cual desea cambiar la dirección MAC.
-
Haz clic en el botón Eliminar MAC.
-
Detenga y reinicie la tarjeta de red con estos pasos:
-
Haga clic con el botón derecho en la tarjeta de red en Conexiones de red y de acceso telefónico y luego seleccione Deshabilitar.
-
Haz clic con el botón derecho nuevamente y luego selecciona Habilitar para que el cambio surta efecto.
-
-
Haga clic en el botón Actualizar en la interfaz de SMAC.
Debería volver a ver su dirección MAC original.
Contramedidas contra el envenenamiento por ARP y ataques de suplantación de direcciones MAC
Algunas contramedidas en su red pueden minimizar los efectos de un ataque contra direcciones ARP y MAC:
-
Prevención: Puede evitar la falsificación de direcciones MAC si los switches pueden habilitar la seguridad del puerto para evitar cambios automáticos en las tablas de direcciones MAC.
-
Detección: Puede detectar estos dos tipos de ataques a través de un IPS o una herramienta independiente de monitoreo de direcciones MAC.
Arpwatch es un programa basado en Linux que le avisa por correo electrónico cuando detecta cambios en las direcciones MAC asociadas con direcciones IP específicas en la red.