¿No se produce un conflicto de IP al falsificar ARP?

9

Estoy jugando con Ettercap y Spoofing ARP . Me he dado cuenta de que las computadoras que participan en mi ataque no muestran ningún mensaje que indique que se ha producido un conflicto de IP.

¿No es ese el caso cuando la falsificación ARP? Luego, dos (o más) computadoras compartirán la misma IP. ¿Cuándo ocurre un conflicto de IP?

Las computadoras que falsifico son máquinas con Windows 7 y Ubuntu.

    
pregunta Rox 25.08.2012 - 14:03
fuente

3 respuestas

8

¡A las raíces! Si sabes lo que hace ARP , las cosas serán más claras.

En una subred (máquinas conectadas al mismo conjunto de concentradores y conmutadores), las máquinas se comunican entre sí con direcciones MAC: la dirección MAC identifica de forma única cada tarjeta Ethernet / WiFi. Las máquinas, a priori , no conocen las direcciones MAC; sólo saben las direcciones IP. Entonces, cuando la máquina A quiere enviar un paquete a la máquina B , envía una trama de difusión siguiendo el protocolo ARP; el paquete dice: "hey, ¿alguien sabe la dirección MAC de B "? Si alguien responde con la información (" B tiene la dirección MAC xx: xx: xx: xx: xx: xx"), entonces A podrá enviar sus datos a < em> B .

Para acelerar el proceso, A mantiene un caché de mapeos conocidos de IP a MAC, pero está listo para eliminar entradas del caché cuando la información no se renueva (la renovación de la información es cuando el paquete llega a A , etiquetado con la dirección IP de B como fuente y, en el nivel de Ethernet, usa la dirección MAC de B ) . Las entradas de la caché ARP no deben durar mucho tiempo porque B tiene permiso para cambiar el hardware (en caso de que el adaptador de Ethernet de B se reemplace, el nuevo adaptador tendrá una dirección MAC distinta, pero puede asumir la misma dirección IP).

Otros usuarios de ARP son switches . Switch no emiten paquetes, pero observan mucho. El punto de un conmutador, a diferencia de un hub más simple, es optimizar las cosas enviando paquetes solo en los cables relevantes, en lugar de eso de transmitir todos los paquetes a través de la subred completa. Un conmutador "sabe" que una máquina determinada (es decir, una dirección MAC) se encuentra en el otro extremo de un enlace específico al observar el tráfico (es decir, el conmutador ha notado que todos los paquetes con esa dirección MAC como origen provienen de un enlace determinado). Por lo tanto, el conmutador mantiene un mapeo MAC- > link en una tabla interna, que es confusamente (y de manera inapropiada) también llamada "caché ARP".

Spoofing es el término que se le ocurrió a algunas personas para designar lo que también se conoce como una falsificación , cuando en el contexto de la seguridad de la red (por alguna razón, las palabras perfectamente utilizables de siglos anteriores nunca parecen ser lo suficientemente buenas para el adicto a la tecnología). Falsificación ARP trata sobre el envío de paquetes que se falsifican a nivel ARP, es decir, paquetes que engañarán otros sistemas en cuanto a las asignaciones que involucran ARP (es decir, los cachés ARP que mantienen las máquinas y los conmutadores). El atacante puede obtener algunas ventajas al hacerlo; por ejemplo, puede convencer a un conmutador para que le envíe a él algunos paquetes que, de lo contrario, se habrían enviado a otra máquina en otro enlace. Este tipo de ataque también se conoce como "envenenamiento de caché ARP" porque en última instancia llena algunos cachés ARP con entradas incorrectas.

Un conflicto de IP es cuando dos máquinas, con direcciones distintas , quieren asumir la misma IP. Cuando se envía una solicitud ARP ("cuál es la dirección MAC de B "), ambas máquinas responderán, con información conflictiva. El solicitante ( A ) recibe ambas respuestas y puede advertir sobre el problema: dos asignaciones simultáneas con una IP y dos direcciones MAC. La falsificación ARP intenta hacer algo diferente: dos direcciones IP (o dos enlaces) que se asignan a una dirección MAC. El ataque ARP exitoso no se distingue realmente de una máquina que cambió su dirección IP, algo que, en general, es normal (cuando las máquinas obtienen direcciones IP dinámicamente con DHCP , su dirección IP puede cambiar de vez en cuando) y, por lo tanto, no activa ninguna advertencia especial.

    
respondido por el Tom Leek 25.08.2012 - 19:44
fuente
5

Al envenenamiento ARP Estás envenenando las tablas ARP. Si la computadora 10.1.1.1 necesita llegar a la computadora 10.1.1.2, mantiene la dirección MAC en sus tablas ARP. ARP es un protocolo de confianza , lo que significa que cuando una computadora responde a una solicitud de ARP, no hay nada que requiera que su respuesta sea correcta y que ningún mecanismo para verificarla es correcto.

Así que aquí está el plan de juego.

  1. La víctima envía una solicitud de arp para 10.1.1.1.
  2. El 10.1.1.1 legítimo responde con su dirección MAC, pero yo (el atacante) envío 10 millones de respuestas.
  3. Siempre que una de mis respuestas ARP se envíe después de la legítima, la dirección MAC del atacante se colocará en la tabla ARP de la víctima.

Una cosa interesante acerca de ARP es que la víctima no necesita enviar una solicitud de ARP para envenenarla. Como dije, ARP los está envenenando.

Suplantación de direcciones IP Escogí una dirección IP que ya existe en mi red. Otros hosts tendrán problemas para establecer una conexión TCP. Por ejemplo. El host legítimo que el atacante está falsificando intenta acceder a un servidor web. El host legítimo envía un SYN, el servidor web legítimo envía un ACK al que el atacante Y el host legítimo responden. El host legítimo responde con un SYN-ACK como deberían. El atacante responde con un RST ya que ACK es inesperado. Esto hace que sea realmente difícil (imposible) que una dirección IP falsificada use cualquier servicio TCP.

Tengo problemas para interpretar tu pregunta (soy malo leyendo) pero espero que esto ayude.

    
respondido por el Rell3oT 25.08.2012 - 14:44
fuente
2

ARP Spoofing NO es lo mismo que la dirección IP spoofing.

Lo que hace la falsificación ARP es asociar una dirección MAC con una dirección IP existente. El exploit implica el envío de paquetes falsos de respuesta ARP que asociarán la dirección MAC de los atacantes con una dirección IP legítima. Esto implica hacer uso del hecho de que el protocolo ARP no tiene estado, no hace un seguimiento de los cambios. Los nuevos paquetes de respuesta de ARP anularán las entradas antiguas de ARP en el caché.

Para cualquier host en la red, solo verán una dirección IP asociada a una dirección MAC (los atacantes MAC).

    
respondido por el Ayrx 25.08.2012 - 14:05
fuente

Lea otras preguntas en las etiquetas