¿Es posible este tipo de ataque de envenenamiento ARP?

Navega tus respuestas
8

Me pregunto si es posible paralizar una red enviando un montón de paquetes de respuesta ARP falsos.

Algunas bases: Hace poco leí una descripción moderadamente detallada de cómo funciona el envenenamiento ARP y ARP (que es here , pdf ). Creo que entiendo cómo funciona el envenenamiento ARP, al menos en el nivel de detalle presentado en ese artículo.

Mi pregunta es sobre un tipo diferente de envenenamiento ARP. En lugar de enviar paquetes de respuesta ARP que dirigen todo el tráfico a la computadora atacante, ¿podría un dispositivo enviar paquetes ARP que simplemente mezclen los cachés ARP de los dispositivos de la víctima? ¿Envía muchos paquetes a cada dispositivo en la red que dan una dirección MAC incorrecta para cada IP que el dispositivo atacante puede encontrar?

¿Es posible este tipo de ataque? ¿Qué contramedidas hay contra eso? ¿Son estas contramedidas de uso común?

Preguntas adicionales: ¿Los paquetes ARP contienen información que permitiría al administrador de la red ubicar un dispositivo de ataque inalámbrico oculto? ¿Habría una forma de desconectar el dispositivo de la red?

    
pregunta Grady S 08.12.2011 - 00:26
fuente

4 respuestas

5

Me parece plausible, aunque los ataques de denegación de servicio en la red local son raros simplemente porque el dispositivo ofensor se puede desconectar fácilmente.

En lugar de ver tráfico ARP aleatorio, es mucho más probable que vea un dispositivo configurado para ARP proxy , Simplemente robando todo el tráfico de la red. Este es un ataque aún más fácil de montar ya que la mayoría de los enrutadores tienen la funcionalidad ya incorporada.

Pero, de nuevo, es raro ver ataques de DOS en redes locales; Por lo general, es una cuestión de mala configuración.

EDITAR: En respuesta a preguntas adicionales:

Los paquetes ARP contienen el MAC del remitente, el MAC de destino y la dirección IP de destino (más alguna contabilidad). Al igual que con todos los paquetes de red, hasta el último bit se puede falsificar. Suponiendo que no hay nada malicioso, al menos obtendrá la dirección MAC del remitente, los primeros bytes de los cuales son específicos del proveedor, y que puede consultar para determinar el proveedor que creó el adaptador de red. Esto podría ayudar a identificar el dispositivo. Por supuesto, se puede falsificar, así que no dependa de ello.

En lo que respecta a las redes WiFi, las redes "abiertas" no cifradas son una especie de entorno "todo vale" en lo que a seguridad se refiere, por lo que no vale la pena asegurarlo. Sin embargo, si se habilita cualquier forma de cifrado, los clientes individuales pueden solo comunicarse con el enrutador, no de igual a igual, lo que significa que el enrutador puede filtrar el ruido de esta manera.

    
respondido por el tylerl 08.12.2011 - 02:37
fuente
6

Esto en realidad se llama inundación ARP. Un sistema infectado / usuario malintencionado envía respuestas de ARP a todos los sistemas conectados a la red, llenándolos con entradas de ARP incorrectas. Esto hace que los sistemas no puedan resolver las direcciones MAC e IP, lo que hace que los sistemas no puedan conectarse a otros sistemas en la red.

    
respondido por el Bassec 08.12.2011 - 04:06
fuente
5

Para abordar la pregunta "qué medidas están disponibles", la autenticación dot1x es probablemente la mejor manera de proteger la capa física de la red. Esto evitará este tipo de ataques físicos y de capa de enlace de datos al requerir que los hosts se autentiquen en la red antes de que se les permita transmitir datos. El conmutador seguirá viendo las direcciones Mac incorrectas provenientes del atacante, pero no alcanzarán ningún otro conmutador ni ninguno de los otros hosts en la red, por lo que el daño que se puede hacer se reduce significativamente. es decir, no tomar la puerta de enlace predeterminada para hacer MITM, etc.

    
respondido por el Paul Ackerman 08.12.2011 - 22:19
fuente
4

Para evitar mucho de esto, puede filtrar la cantidad de direcciones mac que se pueden registrar en un puerto de switch. Cisco llama a este puerto de seguridad, HP y Juniper tienen equivalentes. Al restringir el número de direcciones mac que se pueden enumerar en una tabla de direcciones mac (y cerrar el puerto en respuesta a demasiadas), puede detener esto antes de que se salga de control.

Otra opción (si el dispositivo es un componente crítico) sería usar el comando mac-address-table static en un switch cisco. Esto evitaría que el conmutador registre otra dirección mac para el dispositivo. En combinación con esto, puede configurar una entrada ARP estática para evitar el envenenamiento de arp (al menos para su puerta de enlace adyacente), esto puede implementarse a través de GPO en Windows o en Linux a través de enlaces DHCP. Las entradas de arp estáticas tienen prioridad sobre las recibidas dinámicamente.

En la conexión inalámbrica, realmente no puedes confiar en el arp de la puerta de enlace, la primera vez que estás en una red, así que si es posible codificaré la dirección mac de la puerta de enlace en mi tabla de arp.

Advertencias: cuando estás haciendo este tipo de cosas, hay razones legítimas para tener una dirección mac que flota alrededor. Entornos agrupados, invitados VMWare, portátiles que se mueven. Tenga cuidado con los tiempos de espera de arp y mac-address table. Definitivamente, establecerlos en un nivel bajo puede ayudar, aunque aumenta ligeramente el tráfico de red.

    
respondido por el Ori 08.12.2011 - 23:57
fuente

Lea otras preguntas en las etiquetas

¿Hay alguna forma de detectar paquetes de una dirección IP remota? Definición de seguridad del software