Primero, aclaremos lo que significa una entrada de arp estática. El Protocolo de resolución de direcciones se utiliza para asignar la dirección de capa 2 a la dirección de capa 3, por lo general esto es Ethernet e IP. Una entrada de arp estática significa que siempre espera que una IP específica esté en una dirección de hardware determinada. Con una implementación predeterminada de Windows o Linux, usarás una pila TCP / IP y no podrás hacer una comunicación directa solo con las direcciones de la capa 2.
El conmutador es un dispositivo relativamente tonto, determina dónde enviar el tráfico, pero qué tráfico recibe. Sin información sobre el destino, el conmutador enviará cualquier entrada dada a todos los demás puertos. Una vez que se envía un mensaje a través de la entrada, el conmutador actualizará su tabla CAM y dirá "cualquiera que busque enviar a esa dirección enviaré ese puerto", es decir, la fuente de una entrada se puede usar como destino para salidas posteriores.
Con este conocimiento, ahora podemos considerar el exploit. La primera posibilidad es romper la funcionalidad que decide enviar solo la salida a un puerto y enviar a todos los puertos del conmutador. Es posible que pueda sobrecargar el interruptor para que siga llenando la tabla CAM, lo que hace que se pierdan las entradas con la ubicación de Alice y Bob. También puede comprometer el conmutador a sí mismo a través de una vulnerabilidad o una configuración incorrecta. Dependiendo del modelo, tal vez pueda instalar las utilidades de rastreo en el propio conmutador, o tal vez pueda convertir su puerto en un puerto de extensión / espejo, y luego puede monitorear el tráfico o redirigir el tráfico.
Para un ataque de desbordamiento, lea más sobre dsniff / macof.
A menos que esté utilizando algunos mecanismos en el conmutador o algún tipo de 802.1x que corrija la dirección MAC en un puerto determinado, debería poder sobrescribir las entradas en la tabla CAM. El conmutador generalmente no asumirá que una pieza de hardware siempre esté conectada a un puerto físico particular. Así que Eve simplemente puede mentir y decirle al conmutador que tiene la dirección MAC de Bob o Alice. Luego, el interruptor actualizará la tabla CAM y dirigirá el tráfico hacia mí. Sin embargo, esto no siempre será efectivo si hay poco más tráfico para actualizar la tabla ARP. Si le dice al conmutador que es Bob, claramente no podrá enviar tráfico a Bob, porque el conmutador cree que su puerto también es el puerto de Bob a menos que Bob envíe tráfico para actualizar la tabla CAM. En ARP, la acción es un ataque al host, pero también puede atacar en el punto del cambio.
Seguimiento