¡A las raíces! Si sabes lo que hace ARP , las cosas serán más claras.
En una subred (máquinas conectadas al mismo conjunto de concentradores y conmutadores), las máquinas se comunican entre sí con direcciones MAC: la dirección MAC identifica de forma única cada tarjeta Ethernet / WiFi. Las máquinas, a priori , no conocen las direcciones MAC; sólo saben las direcciones IP. Entonces, cuando la máquina A quiere enviar un paquete a la máquina B , envía una trama de difusión siguiendo el protocolo ARP; el paquete dice: "hey, ¿alguien sabe la dirección MAC de B "? Si alguien responde con la información (" B tiene la dirección MAC xx: xx: xx: xx: xx: xx"), entonces A podrá enviar sus datos a < em> B .
Para acelerar el proceso, A mantiene un caché de mapeos conocidos de IP a MAC, pero está listo para eliminar entradas del caché cuando la información no se renueva (la renovación de la información es cuando el paquete llega a A , etiquetado con la dirección IP de B como fuente y, en el nivel de Ethernet, usa la dirección MAC de B ) . Las entradas de la caché ARP no deben durar mucho tiempo porque B tiene permiso para cambiar el hardware (en caso de que el adaptador de Ethernet de B se reemplace, el nuevo adaptador tendrá una dirección MAC distinta, pero puede asumir la misma dirección IP).
Otros usuarios de ARP son switches . Switch no emiten paquetes, pero observan mucho. El punto de un conmutador, a diferencia de un hub más simple, es optimizar las cosas enviando paquetes solo en los cables relevantes, en lugar de eso de transmitir todos los paquetes a través de la subred completa. Un conmutador "sabe" que una máquina determinada (es decir, una dirección MAC) se encuentra en el otro extremo de un enlace específico al observar el tráfico (es decir, el conmutador ha notado que todos los paquetes con esa dirección MAC como origen provienen de un enlace determinado). Por lo tanto, el conmutador mantiene un mapeo MAC- > link en una tabla interna, que es confusamente (y de manera inapropiada) también llamada "caché ARP".
Spoofing es el término que se le ocurrió a algunas personas para designar lo que también se conoce como una falsificación , cuando en el contexto de la seguridad de la red (por alguna razón, las palabras perfectamente utilizables de siglos anteriores nunca parecen ser lo suficientemente buenas para el adicto a la tecnología). Falsificación ARP trata sobre el envío de paquetes que se falsifican a nivel ARP, es decir, paquetes que engañarán otros sistemas en cuanto a las asignaciones que involucran ARP (es decir, los cachés ARP que mantienen las máquinas y los conmutadores). El atacante puede obtener algunas ventajas al hacerlo; por ejemplo, puede convencer a un conmutador para que le envíe a él algunos paquetes que, de lo contrario, se habrían enviado a otra máquina en otro enlace. Este tipo de ataque también se conoce como "envenenamiento de caché ARP" porque en última instancia llena algunos cachés ARP con entradas incorrectas.
Un conflicto de IP es cuando dos máquinas, con direcciones distintas , quieren asumir la misma IP. Cuando se envía una solicitud ARP ("cuál es la dirección MAC de B "), ambas máquinas responderán, con información conflictiva. El solicitante ( A ) recibe ambas respuestas y puede advertir sobre el problema: dos asignaciones simultáneas con una IP y dos direcciones MAC. La falsificación ARP intenta hacer algo diferente: dos direcciones IP (o dos enlaces) que se asignan a una dirección MAC. El ataque ARP exitoso no se distingue realmente de una máquina que cambió su dirección IP, algo que, en general, es normal (cuando las máquinas obtienen direcciones IP dinámicamente con DHCP , su dirección IP puede cambiar de vez en cuando) y, por lo tanto, no activa ninguna advertencia especial.