En la simulación de ARP, ¿hay dos asignaciones de MAC a una dirección IP O dos asignaciones de IP a una dirección MAC?

La respuesta es correcta. Cuando ocurre el envenenamiento ARP, la máquina atacante dice "Hola, soy 10.20.30.40, mi MAC es AABBCCDDEEFF". Y la máquina víctima dice "Hola, soy 10.20.30.40, mi MAC es 112233445566".

Dos máquinas con el mismo MAC. ¿Por qué? Es porque en la capa Ethernet, IP no significa nada. El MAC es la dirección utilizada para enrutar el paquete. Y cuando alguien necesita enviar un paquete a 10.20.30.40, es la dirección MAC que define quién recibirá el paquete, no la IP. Si el MAC ya está en caché, el paquete se envía de inmediato.

De lo contrario, el remitente emitirá un ARP Request: who is 10.20.30.40? Tell 10.20.30.200 , el propietario de la IP responderá y 10.20.30.200 colocará la entrada en su tabla de caché.

Estás viendo esas "direcciones IP duplicadas detectadas" porque 2 (o más) direcciones MAC están respondiendo a la misma IP. Cuando se envía un mensaje ARP Request: who is 10.20.30.40? Tell 10.20.30.200 , tanto el atacante como la víctima le dicen que poseen esa IP y que les dan sus propias direcciones MAC.

Tienes razón: hablando en términos estrechos, realizar la falsificación ARP es provocar confusión entre una dirección IP y dos direcciones MAC. Pero aquí hay dos términos relacionados que se combinan: ARP spoofing y ARP collision .

Una colisión de ARP se produce cuando dos o más computadoras responden a una solicitud de ARP con respuestas diferentes: en otras palabras, es una dirección IP con dos MAC.

ARP spoofing tiene más que ver con la situación y la intención: es un intento de utilizar ARP para que los paquetes se envíen a un destino que el administrador de la red no pretendía. El resultado suele ser colisiones ARP. Pero como "spoofing" describe una situación, en lugar de un evento, es probable que también haya una dirección MAC con dos direcciones IP:

• El spoofer puede tener una dirección IP "legítima" además de la dirección IP que está intentando falsificar. En este caso, hay un MAC con dos direcciones IP. Esto no es relevante para la colisión en sí, pero es una consecuencia probable de la falsificación informal. (Alternativamente, el spoofer podría elegir no configurar una dirección IP a través de métodos normales).
• El spoofer podría estar falsificando más de una dirección IP. En este caso, es una dirección MAC que responde a las solicitudes de varias direcciones IP.
• Si el spoofer tiene suerte, el propietario legítimo de la dirección IP falsificada estará inactivo, en cuyo caso no habrá colisión ARP en absoluto. En este caso, podría haber una dirección MAC y una dirección IP.

Finalmente, una nota al margen: varias direcciones IP se pueden asignar legítimamente a la misma dirección MAC. De hecho, esta es una práctica estándar en IPv6, donde un servidor puede tener una dirección IP generada automáticamente y una asignada por el administrador, ambas asignadas a la misma dirección MAC. Incluso en IPv4, esto puede ser útil: en una red pequeña sin DNS, puede hacer que un servidor existente "A" se haga cargo de otro servidor "B" apagando B y asignando su dirección IP a A como dirección secundaria. Esto puede ser preferible a reconfigurar una gran cantidad de clientes para que apunten a la dirección principal del servidor A.

  

En la simulación de ARP, ¿se trata de dos MACs asignados a una dirección IP O de dos IPs asignados a una dirección MAC?

Ninguno. Sí, deja que eso se hunda por un segundo. La suplantación de ARP puede estar involucrada tanto en las situaciones que está describiendo, sin embargo, las situaciones que está describiendo pueden no incluir la suplantación de ARP.

Entonces, ¿qué es ARP spoofing? La simulación de ARP es simplemente el nombre para cuando un dispositivo / interfaz de red "falsifica" o imita los mensajes de ARP para una dirección IP que el dispositivo no está usando realmente.

  

asignación de dos MAC a una dirección IP

Esto puede ser simplemente una mala configuración. Ambos dispositivos podrían tener configurada la misma dirección IP y, como tal, no se está realizando una falsificación ARP. Esto simplemente sería un conflicto de IP, lo que crea problemas pero no se puede llamar falsificación ARP.

Sin embargo, muchos ataques ARP que utilizan la suplantación de identidad producirán conflictos de IP, ya que el dispositivo de suplantación a menudo falsificará las direcciones IP de otros dispositivos reales.

  

asignación de dos IP a una dirección MAC

Esto es común en muchas redes ya que una sola interfaz puede tener múltiples direcciones IP. Con IPv6 en uso, un dispositivo debe tener varias direcciones (al menos una global y un enlace local). Los dispositivos de doble pila deben tener una dirección IPv4 y varias direcciones IPv6.

Además de eso, hay muchas razones / dispositivos en los que más de una dirección IP se asigna a una sola interfaz. Solo como un ejemplo entre muchos, los balanceadores de carga se configuran típicamente para proporcionar servicios para un número de direcciones IP diferentes en una sola interfaz. Hay muchos más ejemplos, pero en todos estos casos, ningún ARP lo falsifica, ya que los dispositivos usan cada dirección IP.

Una vez más, un dispositivo que realiza algunos tipos de ataques ARP a menudo estará falsificando los mensajes ARP para varias direcciones IP.

Entonces, ¿por qué no decir simplemente que la falsificación de ARP es cuando ARP se utiliza de forma negativa, como algunos tipos de ataques de ARP?

Lanzar esto para completar, aunque no hayas preguntado. El contexto más común donde se discute la falsificación de ARP se asocia con diferentes tipos de ataques en las redes.

Sin embargo, esto no significa que la falsificación de ARP sea siempre negativa. Un ejemplo de un uso legítimo de la falsificación de ARP sería "proxy ARP". Una forma en que esto se puede usar es en configuraciones donde las comunicaciones directas de cliente a cliente están prohibidas y deben pasar a través de algún dispositivo "central" donde se pueden aplicar cosas como reglas de seguridad.