El protocolo ARP (address resolution protocol) opera a nivel de la capa
2. Es ampliamente usado en redes de área local. Su función básica es asociar
una dirección lógica (IP) con una dirección física (MAC). Esta asociación se almacena en cada host
de la red y es conocida como ARP-Caché. La ARP-Caché puede consultarse en
máquinas Windows bajo el comando: arp –a. El ARP Spoofing, también conocido
como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse
en una red ethernet conmutada (basada en switches y no en hubs), que puede
permitir al atacante leer paquetes de datos en la LAN (red de área local),
modificar el tráfico, o incluso detenerlo. Una trama modificada tendría una
dirección MAC falsa para engañar a los dispositivos conectados a la red.
¿Cómo evitar el ataque?
Lamentablemente este tipo de ataque requiere como única solución el
desactivar el protocolo ARP. Esto solo es posible si el administrador escribe
manualmente la tabla ARP-Caché en cada equipo de la red. Otra posible medida de
seguridad es implementar versiones seguras de los protocolos afectados, por
ejemplo: en vez de http usar https, en vez de telnet usar ssh, y así
sucesivamente. Esto no detendrá el ataque, pero el atacante solo tendrá acceso
a los Hash de los password. Para decodificarlos deberá hacer uso de ataques de
fuerza bruta o diccionarios.
No hay comentarios:
Publicar un comentario