Ataques basados en el protocolo ARP

David Sergio Castilln Domnguez

Instituto Tecnolgico de Piedras Negras

dcastillon@outlook.com

Resumen- Uno de los problemas tpicos que presentan las Para lograr conocer las direccin fsica (Mac Address)
redes de computadoras pueden estar asociados a ataques partiendo de una direccin lgica (IP Address), el protocolo
maliciosos basados en la vulnerabilidad que tiene el protocolo ARP se utiliza para lograr resolver la direccin fsica,
ARP. Este articulo aborda el tema, para comprender el
problema, buscar como detectarlo, y tratar de mitigar sus
creando una tabla con ellas que sirven de memoria, para
consecuencias. minimizar tiempos.
Palabras Clave- redes, computadoras, protocolo, arp Cuando un equipo quiere lograr comunicar con otro,
primero consulta la tabla, si la direccin no se encuentra en la
I. INTRODUCCIN tabla, utiliza el protocolo ARP para enviar una solicitud a la
red, todos los equipos en la red reciben la solicitud,
La vulnerabilidad que presenta el protocolo ARP ha sido
comparan la direccin IP, si alguno de ellos detecta que tiene
fuente de inspiracin de diversos ataques con el fin de generar
esa IP buscada, responde a ese paquete, enviando la MAC
un trfico desmedido en la red, causando problemas de
Address al solicitante. El solicitante almacena la direccin en
comunicacin, y aprovechando este ataque para robo de
la tabla, y ya est listo para establecer la comunicacin.
informacin que circula en la red. El presente artculo estudia
este tema, con el fin de establecer las bases para poder
identificar el problema y buscar soluciones que permitan
afrontarlas.
III. ATAQUE ARP-SPOOFING
II. PROTOCOLO ARP. El ARP Spoofing es un ataque a una red de computadoras
que est basado en enviar mensajes ARP falsos (Spoofed) a la
EL protocolo ARP derivado del ingls (Address
red. La finalidad es asociar una direccin MAC del atacante
Resolution Protocol) es un protocolo de comunicacines
con la direccin IP del nodo atacado. Usualmente el nodo
utilizado en redes de computadoras en la capa de enlace, se
atacado es la puerta de enlace (Gateway). El trfico dirigido a
encarga de resolver la direccin fsica (MAC Address)
la direccin IP del nodo atacado, ser enviado errneamente
correspondiente a una direccin IP conocida. Para lograrlo se
al atacante, en lugar de su destino real[5].
enva un paquete (ARP Request) a la direccin de difusin de
la red, el cual contiene la ip, y espera recibir un paquete de
El atacante puede elegir entre reenviar el trfico a la
respuesta (ARP reply) con la direccin Ethernet
puerta de enlace real (ataque pasivo o escucha), o modificar
correspondiente. Cada mquina cuenta con una memoria
los datos antes de reenviarlos (ataque activo). El atacante
cach en la cual almacena las direcciones resueltas, para
puede incluso lanzar un ataque de tipo DoS (Denegacin de
minimizar los tiempos[4].
servicio) contra una vctima, asociando una direccin MAP
El protocolo ARP est documentado en RFC 826. Existe
inexistente con la direccin IP de la puerta de enlace
un protocolo llamado RARP tambin conocido como
predeterminada de la vctima[5].
protocolo de resolucin de direcciones inverso, el cual realiza
la operacin inversa y est descrito en el RFC 903.
El ataque ARP spoofing se lleva a cabo en la capa 2 del
EL Protocolo ARP entre dos HOST puede ser utilizado
modelo OSI que explota la vulnerabilidad del protocolo para
en cuatro casos :
hacer que los nodos de la red sean susceptibles a ser
1. Cuando estn en la misma red y uno quiere enviar un
atacados[5].
paquete a otro.
2. Cuando estn en redes diferentes y deben de usar una
puerta de enlace o ruteador para alcanzar otro host. IV. HERRAMIENTAS DE INVESTIGACIN.
3. Cuando un ruteador requiere e enviar un paquete a un Para realizar la investigacin de lo que sucede en la red, es
host a travs de otro ruteador. necesario hacer uso de herramientas para analizar el trfico de
4. Cuando un ruteador requiere de enviar un paquete a la red. Existen en el mercado diversas herramientas entre las
un host de la misma red. cuales se destacan las siguientes: TCPDUMP, WIRESHARK,
TCPSTAT, NTOP las cuales pueden ser tiles para
La tarjeta de red tiene una identificacin nica de 48 bits investigar esos ataques ARP. El proceso de investigacin
que fue asignado por el fabricante, y es conocida como la propuesto por Mangut es conocer el estado de la red en tres
direccin fsica. La comunicacin en la red de computadoras estadios: antes del ataque, durante el ataque, y posterior al
se realiza por medio de una IP asignada, que ser utilizada ataque. Esto permite obtener evidencias que sirven para
para conocer la direccin fsica que ser utilizada en la capa encontrar las posibles soluciones que se pueden implementar
de enlace[6]. para mitigar este tipo de ataques[1].
 V. RECOPILAR EVIDENCIAS ANTES DEL ATAQUE.
Para iniciar con la recopilacin de evidencias antes del
ataque es necesario capturar paquetes que fluyen en la red,
para conocer el estado normal que debe prevalecer en la red,
y esto se logra mediante la aplicacin de filtros
concentrndose en el comportamiento de los paquetes arp. Se
puede utilizar WireShark como herramienta de captura de
paquetes, para luego analizarlos con el filtro para visualizar
exclusivamente los paquetes asociados al protocolo ARP.
VI. RECOPILAR EVIDENCIAS DURANTE EL ATAQUE.
Cuando la red presenta problemas de mucho trfico en la
red, la red consume gran cantidad de recursos tanto de
ancho de banda, como las computadoras conectadas
consumen gran cantidad de recursos de procesamiento
(CPU). Se inicia la recopilacin de las evidencias
mediante WireShark poniendo enfsis en la cantidad de
paquetes asociados al protocolo ARP, si es que est
sufriendo un ataque ARP, en la cual puede evidenciarse
una gran cantidad de paquetes ARP, que debern ser
analizados para determinar las computadoras atacantes y
las computadoras o dispositivos de red que estn siendo
atacados.
resolverlos oportunamente. Es indispensable el uso de
herramientas que pueden facilitar la deteccin del problema
que lo est causando y poder comprender el problema, para
buscar las posibles soluciones.
La estrategia propuesta es la bsqueda de evidencias
mediante Wireshark para descubrir quien es el atacante y
quien est siendo atacado, y tomar acciones correctivas para
mitigar el dao [7].
REFERENCIAS
[1] H. A. Mangut, Ameer Al-Nemrat, Chafika Benzad . ARP Cache
Poisoning Mitigation and Forensics Investigation, The 14th IEEE
International Conference on Trust, Security and Privacy in Computing
and Communications (IEEE TrustCom-15), At Helsinki, Finland.
[2] G.A.Sukkar, R.Saifan, S.Khwaldeh, M.Maqableh, I.Jafar, Address
Resolution Protocol (ARP): Spoofing Attack and Proposed Defense,
Communications and Network, 2016, 8, 118-130
[3] Sanjeev Kumar, Orifiel Gomez, Denial of Service Due to Direct and
Indirect ARP Storm Attacks in LAN Environment, Journal of
Information Security, 2010, 1, 88-94
[4] WikipediaARP.
https://es.wikipedia.org/wiki/Protocolo_de_resoluci%C3%B3n_de_dire
cciones
[5] WikipediaARPSPOOFING.
https://es.wikipedia.org/wiki/ARP_Spoofing
[6] CCM. http://es.ccm.net/contents/260-el-protocolo-arp
[7] Wireshark. http://www.wireshark.org/

VII. TOMAR ACCIONES CORRECTIVAS.

Las acciones correctivas deben de realizarse para
recuperar la normalidad de la red, y que no se vuelva a
repetir en un futuro este tipo de ataque. Para lograrlo es
necesario identificar los dispositivos que atacaron, y los
dispositivos que fueron atacados. Una vez identificados
buscar la fuente de este ataque, ya sea un virus, o una
persona que maliciosamente utiliz una computadora para
atacar a otras. Uno de los dispositivos que usualmente se
atacan son las puertas de enlace, por lo que se deber
reconfigurar estos dispositivos para evitar este tipo de
ataques. La reconfiguracin de DHCP Snooping y DAI
puede ser un buen inicio[5].

VIII. RECOPILAR EVIDENCIAS DESPUS DEL ATAQUE

Una vez aplicadas las acciones correctivas, se debe de
realizar una recopilacin de las evidencias, analizando de
nuevo la red, para visualizar que el trafico de paquetes ARP
ha vuelto a la normalidad, si no es as, no han sido suficientes
las acciones correctivas aplicadas, y debe realizarse un
anlisis para descubrir si persiste el ataque, y la identificacin
de los atacantes y los atacados.

IX. CONCLUSIONES
Los problemas en las redes de computadoras son
comunes en la actualidad, y las soluciones dependen
bsicamente de un anlisis exhaustivo para determinar las
causas que lo provocan, los ataques basados en el protocolo
ARP generan un bajo rendimiento en una red y robos de
datos, y es necesario que el administrador de la red tenga los
elementos para poder detectar estos problemas y poder