¿Funciona la suplantación ARP en caso de que el caché ARP de destino tenga la puerta de enlace?

2

Estoy tratando de crear un script que haga un ataque de suplantación ARP básico (elijo este sitio web de StackExchange porque la pregunta es más teórica) y no veo ninguna referencia al ataque en caso de que la computadora ya tenga el IP de la puerta de enlace en su caché (y lo mismo para la IP del destino en la caché de la puerta de enlace).

Tal como lo veo, la computadora la mayor parte del tiempo debería tener la puerta de enlace en su caché, y por lo tanto, un ataque solo será posible si se puede predecir cuándo la tabla ARP se reinicia automáticamente o puede responder antes de la puerta de enlace.

Me gustaría entender qué repetición de ARP debería guardar y cuáles debería descartar; y si hay una forma de usar el ataque incluso si la IP de la puerta de enlace está en el caché del objetivo.

    
pregunta hjsv41 20.04.2018 - 17:23
fuente

2 respuestas

1

La suposición, "los ataques de envenenamiento ARP solo funcionan cuando la dirección MAC de la puerta de enlace no está en el caché ARP de la víctima", es falsa.

Existe un tipo de solicitud o respuesta ARP conocida como "ARP gratuita"; de la Wiki de Wireshark :

  

Gratuitous en este caso significa una solicitud / respuesta que normalmente no es   necesario según la especificación ARP (RFC 826)

     

Una respuesta ARP gratuita es una respuesta a la que no se ha realizado ninguna solicitud.

La página wiki también tiene información sobre el uso legítimo de respuestas ARP gratuitas. Sin embargo, también pueden usarse maliciosamente y son la fuerza impulsora detrás de la mayoría de los ataques de envenenamiento ARP.

Veamos un ejemplo de configuración de red:

Gateway:
IP address: 192.168.1.1
MAC address: 11:11:11:11:11:11

Victim:
IP address: 192.168.1.100
MAC address: 22:22:22:22:22:22

Victim's ARP cache:
192.168.1.1 is at 11:11:11:11:11:11

Attacker:
IP address: 192.168.1.200
MAC address: 33:33:33:33:33:33

En este caso, la dirección MAC de la puerta de enlace ya está en caché por parte de la víctima, y el atacante quiere convencerla de que son la puerta de enlace. El atacante puede enviar una respuesta ARP gratuita a la víctima:

192.168.1.1 is at 33:33:33:33:33:33

A pesar de que la víctima no solicitó esta información, actualizará felizmente su tabla ARP:

Victim's ARP cache:
192.168.1.1 is at 33:33:33:33:33:33

Ahora el tráfico de la víctima irá al atacante en lugar de a la puerta de enlace.

Por lo tanto, la conclusión es que las respuestas gratuitas de ARP se pueden utilizar para actualizar las entradas legítimas existentes a favor de las maliciosas. La víctima no tiene una manera de saber si el ARP gratuito es malicioso o no; ¿Qué sucede si la máquina se acaba de reconfigurar o si se intercambió una NIC? Realmente no hay una manera de decirlo.

  

Me gustaría entender qué respuesta de ARP debería guardar y cuáles debería descartar

Como se indicó anteriormente, la respuesta ARP recibida más recientemente se usa para actualizar la memoria caché, independientemente de si fue gratuita o no.

    
respondido por el multithr3at3d 21.04.2018 - 03:46
fuente
0

Como el término "caché" implica, es un almacenamiento temporal y está sujeto a actualizaciones. Las computadoras pueden actualizar estos valores cuando se produce un tiempo de espera. Estos tiempos de espera son configurables y son diferentes según el sistema operativo.

En caso de ataque, si el objetivo elimina esa entrada de la memoria caché y desea volver a hablar con la puerta de enlace, enviará otra solicitud ARP. Si es más rápido que la puerta de enlace original, podrá redirigir ese tráfico a una dirección que especifique.

    
respondido por el ndrix 20.04.2018 - 19:48
fuente

Lea otras preguntas en las etiquetas