El envenenamiento TLDR ARP no cambia el dst de IP en la tabla, entonces, ¿por qué falsificar el MAC bajo otra dirección IP ayuda a redirigir el tráfico?
Cualquier video que encuentre explica que el objetivo del envenenamiento de ARP es enviar un mensaje no solicitado para "sobrescribir" la tabla ARP del host y del enrutador para que la dirección MAC del atacante MitM esté asociada con ambos para que se vean así:
Víctima: aa:bb:cc:dd:ee:ff (192.168.1.100) Enrutador: aa:bb:cc:dd:ee:ff (192.168.1.1) Máquina MitM: aa:bb:cc:dd:ee:ff (192.168.1.199)
De esta manera, ambos terminan enviando al Hombre del Medio quien luego reenviará a los puntos finales 192.168.1.199 y 192.168.1.1, que en realidad tenían otra dirección MAC.
...Mi pregunta es ¿cómo funciona eso? Si está engañando a estos dispositivos para que asocien la MAC incorrecta con la IP correcta, ¿cómo se redirige realmente el tráfico? Lo que quiero decir es que como yo lo veo es así:
¿Víctima > paquete al enrutador en 192.168.1.1 > llega al enrutador y abre el paquete para descubrir que la MAC es incorrecta?
Respuesta1
¿Cómo funciona el envenenamiento ARP si la dirección IP es incorrecta?
Normalmente se denomina ARP Spoofing, pero también se lo conoce como ARP Poison Routing (APR) o ARP Cache Poisoning.
El envenenamiento ARP no cambia el destino IP en la tabla, entonces, ¿por qué falsificar la MAC bajo otra dirección IP ayuda a redirigir el tráfico?
Los concentradores, conmutadores y el lado Lan de un enrutador enrutan datos utilizando la dirección MAC contenida en la trama de datos Ethernet.
Durante el ataque, las entradas de la tabla ARP para la dirección IP de la víctima contendrán la dirección MAC del atacante.
Cuando se envía cualquier dato hacia o desde la dirección IP de la víctima, se enrutará a la dirección MAC del atacante.
El objetivo del envenenamiento de ARP es enviar un mensaje no solicitado para "sobrescribir" la tabla ARP del host y del enrutador para que la dirección MAC del atacante MitM esté asociada con ambos.
No esto no es correcto.
- Las entradas de la tabla ARP para la dirección IP de la víctima contendrán la dirección MAC del atacante.
- Las entradas de la tabla ARP para la IP del enrutador no se modifican.
- El atacante puede optar por reenviar el tráfico desde la dirección IP de la víctima al enrutador, pero no es necesario.
Ver¿Qué pasa después?a continuación para obtener más información.
¿Qué es la suplantación de ARP?
La suplantación de ARP es un tipo de ataque en el que un actor malintencionado envía mensajes ARP (Protocolo de resolución de direcciones) falsificados a través de una red de área local. Esto da como resultado la vinculación de la dirección MAC de un atacante con la dirección IP de una computadora o servidor legítimo en la red.
Una vez que la dirección MAC del atacante esté conectada a una dirección IP auténtica, el atacante comenzará a recibir cualquier dato destinado a esa dirección IP.
La suplantación de ARP puede permitir que partes malintencionadas intercepten, modifiquen o incluso detengan datos en tránsito. Los ataques de suplantación de ARP sólo pueden ocurrir en redes de área local que utilizan el Protocolo de resolución de direcciones.
Fuente VeracodeSuplantación de ARP
¿Como funciona?
Los ataques de suplantación de identidad ARP suelen seguir una progresión similar. Los pasos para un ataque de suplantación de identidad ARP suelen incluir:
El atacante abre una herramienta de suplantación de identidad ARP y configura la dirección IP de la herramienta para que coincida con la subred IP de un objetivo. Ejemplos de software de suplantación de identidad ARP populares incluyen Arpspoof, Cain & Abel, Arpoison y Ettercap.
El atacante utiliza la herramienta de suplantación de identidad ARP para buscar las direcciones IP y MAC de los hosts en la subred del objetivo.
El atacante elige su objetivo y comienza a enviar paquetes ARP a través de la LAN que contienen la dirección MAC del atacante y la dirección IP del objetivo.
Como otros hosts en la LAN almacenan en caché los paquetes ARP falsificados, los datos que esos hosts envían a la víctima irán al atacante. Desde aquí, el atacante puede robar datos o lanzar un ataque de seguimiento más sofisticado.
Fuente VeracodeSuplantación de ARP
¿Qué pasa después?
El atacante puede optar por inspeccionar los paquetes (espionaje), mientras reenvía el tráfico a la puerta de enlace predeterminada real para evitar el descubrimiento, modificar los datos antes de reenviarlos (ataque de intermediario) o lanzar una denegación de servicio. ataque provocando que algunos o todos los paquetes de la red se eliminen.
Fuente WikipediaSuplantación de ARP
Otras lecturas
Respuesta2
Por ejemplo, en una LAN conectada por un conmutador, el conmutador no desencapsulará el paquete hasta la capa de red (Capa 3 de OSI). Solo verificará la MAC de su tabla CAM y reenviará el paquete al puerto adecuado. Es por eso que la IP no se verifica, especialmente cuando la tabla CAM del conmutador ya está completa.
Respuesta3
Cuando el paquete se envía en la red de capa de enlace, se envía a la dirección MAC del atacante, por lo que es el atacante quien lo recibe, no el destinatario previsto.
Hagamos esto un poco más concreto especificando la red de capa de enlace. Tomemos como ejemplo Ethernet. Las NIC Ethernet solo conocen su propia capa (Ethernet). No saben qué es IP, por lo que no tienen idea de cómo se pueden direccionar estos paquetes en la capa IP. Eso es todo un montón de bytes de carga útil opacos para las NIC Ethernet. La NIC emisora simplemente sabe que se le entregó una trama para aa:bb:cc:dd:ee:ff, por lo que le coloca esa dirección de destino y la transmite. Sólo la NIC del atacante está programada para mirar las tramas dirigidas a aa:bb:cc:dd:ee:ff, por lo que solo la NIC del atacante recibe la trama pasándola a la pila de red del sistema operativo de su host.