Académique Documents
Professionnel Documents
Culture Documents
ARP SPOOFING
DETECCION Y PREVENCION
Servidores Seguros
ngel Fernandez Diez
1Ii INTRODUCCION
El ataque se fundamenta en mandar mensajes ARP previamente falseados dentro de una LAN con la finalidad de asociarse con la direccion IP del nodo victima.
Servidores Seguros
1Ii INTRODUCCION
Suplantacion de identidad.
Es el punto de partida de otros ataques mas serios a nivel local.
ngel Fernandez Diez afd675@correo.ugr.es
Servidores Seguros
1Ii INTRODUCCION
Recordando el protocolo ARP Se envia un paquete con la IP referenciada a la direccion de broadcast (arp-request)
La maquina que posee esa IP reponde incluyendo su direccion fisica MAC asociada (arp-reply)
Cada maquina actualiza su cache ARP que esta formada por pares IP-MAC
Servidores Seguros
ARP POISNING
Servidores Seguros
2Ii DETECCION En equipo local El atacante que recibe la informacion debe activar el modo promiscuo que le permite recibir paquetes que no van destinados a el, por lo tanto este modo puede ser un indicador de un actividad maliciosa.
Tanto en windows como linux podemos consultarlo desde linea de comandos (ipconfig/ifconfig)
Servidores Seguros
2Ii DETECCION
En red local
Con un sniffer podremos ver el uso duplicado de una misma direccion MAC para dos IP distintas.
Servidores Seguros
2Ii DETECCION
En red local
Ping drop test: Este modo de deteccion esta basado en el estudio de las latencias medias entre dispositivos, mediante una solicitud ICMP con un paquete grande de datos (ping) veremos que la maquina sospechosa no es capaz de procesar todos los paquetes, incluso descartara muchos de ellos.
Servidores Seguros
Xarp: Es un programa multiplataforma dotado de entorno grafico encargado de la monitorizacion de las caches, actua alertandonos de posibles modificaciones en dichas tablas.
Arpwatch: Es un pequeo daemon para linux que nos avisa via email de cualquier modificacion realizada.
Arpon: Otro daemon para entornos Linux que detecta y bloquea automaticamente las intrusiones.
Servidores Seguros
3Ii BLOQUEO El metodo Tablas ARP estaticas Es un metodo efectivo, consiste en evitar un cache dinamica mapeando directamente direcciones IP con sus correspondientes direcciones fisicas, este metodo resulta inconveniente en redes grandes al tener que editar las tablas a mano.
arp -parametro <direccion_ip> <direccion_fisica> -s Permite editar una entrada de la tabla -d Elimina una entrada
Servidores Seguros
3Ii BLOQUEO El metodo DHCP Snooping Consiste en la aplicacin de una serie de tecnicas sobre el protocolo DHCP para asegurar la integridad de la cache y evitar modificaciones no deseadas. Una de las tecnicas es crear una whitelist que contenga las IP/MAC permitidas en el momento de asignarles una direccion dinamica, evitando asi el uso indebido de direcciones MAC. En la actualidad este metodo esta integrado en diversos switches.
Servidores Seguros
4Ii CASO PRACTICO Descripcion del entorno Host principal OSX 10.5.6 Windows XP sobre VMware (victima) Ubuntu 10.10 sobre VMware (atacante)
Software usado
Ettercap-ng Xarp VMware Fusion
Servidores Seguros
5Ii BIBLIOGRAFIA Publicaciones de la prensa especializada del sector http://electroweb.cujae.edu.cu/revista/index.php/rieac/article/vie w/35/pdf_16 http://www.linux-magazine.com/Issues/2006/73/ARP-WATCH www.rootsecure.net/content/downloads/pdf/arp_spoofing_intro. pdf Libros relacionados con la arquitectura de redes http://librostown.blogspot.com/2009/10/redes-decomputadores-james-f-kurose.html
Siempre habr un gusano ah afuera esperando a que te equivoques.
Servidores Seguros