La suposición, "los ataques de envenenamiento ARP solo funcionan cuando la dirección MAC de la puerta de enlace no está en el caché ARP de la víctima", es falsa.
Existe un tipo de solicitud o respuesta ARP conocida como "ARP gratuita"; de la Wiki de Wireshark :
Gratuitous en este caso significa una solicitud / respuesta que normalmente no es
necesario según la especificación ARP (RFC 826)
Una respuesta ARP gratuita es una respuesta a la que no se ha realizado ninguna solicitud.
La página wiki también tiene información sobre el uso legítimo de respuestas ARP gratuitas. Sin embargo, también pueden usarse maliciosamente y son la fuerza impulsora detrás de la mayoría de los ataques de envenenamiento ARP.
Veamos un ejemplo de configuración de red:
Gateway:
IP address: 192.168.1.1
MAC address: 11:11:11:11:11:11
Victim:
IP address: 192.168.1.100
MAC address: 22:22:22:22:22:22
Victim's ARP cache:
192.168.1.1 is at 11:11:11:11:11:11
Attacker:
IP address: 192.168.1.200
MAC address: 33:33:33:33:33:33
En este caso, la dirección MAC de la puerta de enlace ya está en caché por parte de la víctima, y el atacante quiere convencerla de que son la puerta de enlace. El atacante puede enviar una respuesta ARP gratuita a la víctima:
192.168.1.1 is at 33:33:33:33:33:33
A pesar de que la víctima no solicitó esta información, actualizará felizmente su tabla ARP:
Victim's ARP cache:
192.168.1.1 is at 33:33:33:33:33:33
Ahora el tráfico de la víctima irá al atacante en lugar de a la puerta de enlace.
Por lo tanto, la conclusión es que las respuestas gratuitas de ARP se pueden utilizar para actualizar las entradas legítimas existentes a favor de las maliciosas. La víctima no tiene una manera de saber si el ARP gratuito es malicioso o no; ¿Qué sucede si la máquina se acaba de reconfigurar o si se intercambió una NIC? Realmente no hay una manera de decirlo.
Me gustaría entender qué respuesta de ARP debería guardar y cuáles debería descartar
Como se indicó anteriormente, la respuesta ARP recibida más recientemente se usa para actualizar la memoria caché, independientemente de si fue gratuita o no.