Herramientas para usar en ARP Spoofing Attack
Hay muchas herramientas como Arpspoof, Cain & Abel, Arpoison y Ettercap que están disponibles para iniciar la suplantación de identidad ARP.
Aquí está la captura de pantalla para mostrar cómo las herramientas mencionadas pueden enviar la solicitud ARP de manera contenciosa:
Ataque de suplantación de identidad ARP en detalles
Veamos algunas capturas de pantalla y entendamos la suplantación de ARP paso a paso:
Paso 1 :
La expectativa del atacante es obtener la respuesta ARP para que pueda conocer la dirección MAC de la víctima. Ahora, si vamos más allá en la captura de pantalla dada, podemos ver que hay 2 respuestas ARP de las direcciones IP 192.168.56.100 y 192.168.56.101. Después de esto, la víctima [192.168.56.100 y 192.168.56.101] actualiza su caché ARP pero no vuelve a consultar. Entonces, la entrada en el caché ARP nunca se corrige.
Los números de paquetes de solicitud ARP son 137 y 138. Los números de paquetes de respuesta ARP son 140 y 143.
Por lo tanto, el atacante encuentra la vulnerabilidad al realizar la suplantación de identidad ARP. Esto se llama como la 'entrada de ataque'.
Paso 2:
Los números de paquete son 141, 142 y 144, 146.
De la actividad anterior, el atacante ahora tiene direcciones MAC válidas de 192.168.56.100 y 192.168.56.101. El siguiente paso para el atacante es enviar el paquete ICMP a la dirección IP de la víctima. Y podemos ver en la captura de pantalla dada que el atacante envió un paquete ICMP y obtuvo una respuesta ICMP de 192.168.56.100 y 192.168.56.101. Esto significa que ambas direcciones IP [192.168.56.100 y 192.168.56.101] son accesibles.
Paso 3:
Podemos ver que existe la última solicitud ARP para la dirección IP 192.168.56.101 para confirmar que el host está activo y tiene la misma dirección MAC de 08:00:27:dd:84:45.
El número de paquete dado es 3358.
Etapa 4:
Hay otra solicitud y respuesta ICMP con la dirección IP 192.168.56.101. Los números de paquete son 3367 y 3368.
Podemos pensar desde aquí que el atacante se dirige a la víctima cuya dirección IP es 192.168.56.101.
Ahora, cualquier información que provenga de la dirección IP 192.168.56.100 o 192.168.56.101 a la IP 192.168.56.1 llega al atacante de la dirección MAC cuya dirección IP es 192.168.56.1.
Paso 5:
Una vez que el atacante tiene acceso, intenta establecer una conexión real. En la captura de pantalla dada, podemos ver que el atacante está intentando establecer la conexión HTTP. Hay una conexión TCP dentro de HTTP, lo que significa que debe haber un apretón de manos de 3 VÍAS. Estos son los intercambios de paquetes para TCP:
SYN -> SYN+ACK -> ACK.
En la captura de pantalla dada, podemos ver que el atacante está reintentando el paquete SYN varias veces en diferentes puertos. El número de trama 3460 a 3469. El número de paquete 3469 SYN es para el puerto 80, que es HTTP.
Paso 6:
El primer protocolo de enlace TCP exitoso se muestra en los siguientes números de paquete de la captura de pantalla dada:
4488: marco SYN del atacante
4489: trama SYN+ACK de 192.168.56.101
4490: marco ACK del atacante
Paso 7:
Una vez que la conexión TCP es exitosa, el atacante puede establecer la conexión HTTP [número de trama 4491 a 4495] seguida de la conexión SSH [número de trama 4500 a 4503].
Ahora, el ataque tiene suficiente control para que pueda hacer lo siguiente:
- Ataque de secuestro de sesión
- Hombre en el ataque medio [MITM]
- Ataque de denegación de servicio (DoS)
Cómo prevenir el ataque de suplantación de identidad ARP
Aquí hay algunas protecciones que se pueden tomar para prevenir el ataque de suplantación de identidad ARP:
- Uso de entradas “ARP estático”
- Software de detección y prevención de suplantación de identidad ARP
- Filtrado de paquetes
- VPN, etc.
Además, podríamos evitar que esto vuelva a suceder si usamos HTTPS en lugar de HTTP y usamos la seguridad de la capa de transporte SSL (Secure Socket Layer). Esto es para que todas las comunicaciones estén encriptadas.
Conclusión
A partir de este artículo, obtuvimos una idea básica sobre el ataque de suplantación de identidad ARP y cómo puede acceder a los recursos de cualquier sistema. Además, ahora sabemos cómo detener este tipo de ataque. Esta información ayuda al administrador de la red oa cualquier usuario del sistema a protegerse del ataque de suplantación de identidad ARP.