Ataques arp
Descargar como PPT, PDF0 recomendaciones430 vistas
Un ataque man-in-the-middle involucra la inserción de la computadora de un hacker entre dos máquinas objetivo para envenenar sus tablas ARP y hacer que todo el tráfico pase primero por el hacker, quien puede leer y modificar los mensajes a su antojo antes de reenviarlos a su destino real.
Ataques arp
- 1. Man-in-the-Middle Un hacker inserta su computadora en el camino (comunicaciones) entre dos máquinas objetivo. El hacker hará el envio de los frames entre estas dos computadoras y así las comunicaciones no se interrumpirán. Por ejemplo Hunt, Ettercap, etc. Se consiguen facilmente en la web.
- 2. Man-in-the-Middle El ataque se efectúa de la siguiente forma: Sea X la máquina del hacker. Sean T1 y T2 las máquinas objetivo. X envenena las caches ARP de T1 y de T2. T1 asocia el IP de T2 con la MAC de X. T2 asocia el IP de T1 con la MAC de X. Todo el tráfico entre T1 y T2 pasa primero por X.
- 3. T1 IP:10.0.0.1 MAC:aa:aa:aa:aa T2 IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc switch ARP cache ARP cache IP MAC 10.0.0.2 bb:bb:bb:bb IP MAC 10.0.0.1 aa:aa:aa:aa ARP reply falso IP:10.0.0.2 MAC:cc:cc:cc:cc ARP reply falso IP:10.0.0.2 MAC:cc:cc:cc:cc ARP reply falso IP:10.0.0.2 MAC:cc:cc:cc:cc
- 4. T1 IP:10.0.0.1 MAC:aa:aa:aa:aa T2 IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc switch ARP cache ARP cache La cache de T1 fue envenenada. IP MAC 10.0.0.2 cc:cc:cc:cc IP MAC 10.0.0.1 aa:aa:aa:aa
- 5. T1 IP:10.0.0.1 MAC:aa:aa:aa:aa T2 IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc switch ARP cache ARP cache IP MAC 10.0.0.2 cc:cc:cc:cc IP MAC 10.0.0.1 aa:aa:aa:aa ARP replies falsas IP:10.0.0.1 MAC:cc:cc:cc:cc ARP replies falsas IP:10.0.0.1 MAC:cc:cc:cc:cc
- 6. T1 IP:10.0.0.1 MAC:aa:aa:aa:aa T2 IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc switch ARP cache ARP cache La cache de T2 fue envenenada. IP MAC 10.0.0.2 cc:cc:cc:cc IP MAC 10.0.0.1 cc:cc:cc:cc
- 7. T1 IP:10.0.0.1 MAC:aa:aa:aa:aa T2 IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc switch ARP cache ARP cache Mensaje que debería haber ido a T2 El Hacker hará el envio del mensaje IP MAC 10.0.0.2 cc:cc:cc:cc IP MAC 10.0.0.1 cc:cc:cc:cc
- 8. T1 IP:10.0.0.1 MAC:aa:aa:aa:aa T2 IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc switch ARP cache ARP cache El hacker hará el envio del mensaje Mensaje que debería ir a T1 IP MAC 10.0.0.2 cc:cc:cc:cc IP MAC 10.0.0.1 cc:cc:cc:cc
- 9. Ataques Sniffing Al utilizar ARP spoofing todo el tráfico puede dirigirse hacia el hacker. Ahora es posible hacer sniffing en una red switcheada . DoS (Denial of Service) Actualizar una cache ARP con MAC no existentes puede provocar que se descarten frames. Estas MAC inexistentes pueden enviarse a todos los clientes en la red con el objetivo de causar un DoS.
- 10. Esto también puede llevar a un ataque post-MiM: las computadoras objetivo seguirán enviando frames a la MAC del atacante aún despues de haber sido removidas del camino de comunicación. El hacker debe restaurar las entradas ARP para lograr un ataque MiM “limpio”. Hijacking Utilizando el ataque MiM todo el tráfico de una conexión TCP pasará primero por el hacker. Comparado con los exploits TCP ahora es mucho más sencillo hacer el hijack (apropiación) de una sesión TCP. Ataques
- 11. Broadcasting Se pueden mandar frames por broadcast (a toda la red) simplemente seteando la dirección destino a FF:FF:FF:FF:FF:FF (broadcast MAC). Si se inunda la red con respuestas ARP falsificadas capaces de setear la MAC del gateway a la dirección de broadcast, toda la información que debería enviarse a redes externas es ahora enviada por broadcast a la red local, habilitando el sniffing. Si un hacker escucha los pedidos ARP y genera respuestas con la dirección broadcast se enviarán grandes volúmenes de información a las redes. Ataques
- 12. Cloning Supuestamente una dirección MAC es única. Es posible cambiar la MAC de una placa de red (quemada en su ROM) En algunos sistemas operativos es posible cambiar (a nivel del S.O.) la MAC. ifconfig Un atacante puede causar un DoS en una máquina objetivo, luego asignarse a sí mismo el IP y la MAC de la máquina objetivo y así recibir todos los frames destinados hacia la máquina que acaba de “reemplazar”. Ataques
- 13. Windows todavía acepta respuestas ARP falsificadas y es capaz de actualizar una entrada estática con la MAC falsa. Port Security También conocido como port binding o MAC Binding . Es una característica presente en los switches de alta calidad. Previene cambios en las tablas MAC de un switch. A menos que un administrador lo haga manualmente. No aplicable ni a redes grandes ni a redes que utilizan DHCP. Defensas
- 14. Arpwatch Programa UNIX gratis que “escucha” respuestas ARP en una red. Construye una tabla donde se asocian IPs y MACs y se almacena en un archivo. Cuando cambia un par MAC/IP (flip-flop) envía un e-mail al administrador. Defensas
- 15. RARP (Reverse ARP) Se pide un IP a partir de una MAC conocida. Detecta el problema de MAC cloning. Se detecta el cloning cuando se reciben múltiples respuestas para un único RARP. Defensas