ARP y PING (Address Resolution Protocol -Protocolo de resolucin de direcciones .) Dada una IP averigua la MAC correspondiente.

El ARP es un protocolo (nivel de red) que permite que los dispositivos de la red se comuniquen con el protocolo TCP/IP. Sin ARP, no hay un mtodo eficiente para construir el datagrama de la direccin de destino de Capa 2. Pero tambin es sabido que representa un riesgo para la seguridad (spoofing ARP) Es el responsable de encontrar la direccin hardware (Ethernet MAC) que corresponde a una determinada direccin IP. Para ello se enva un paquete (ARP request) a la direccin de multidifusin de la red (broadcast (MAC = ff ff ff ff ff ff)) que contiene la direccin IP por la que se pregunta, y se espera a que esa mquina (u otra) responda (ARP reply) con la direccin Ethernet que le corresponde. Cada mquina mantiene una cach con las direcciones traducidas para reducir el retardo y la carga. Por tanto, el comando arp permite hacer la correspondencia entre las direcciones IP y las direcciones MAC. ARP se utiliza para supervisar y modificar la tabla de asignaciones de direcciones IP y direcciones MAC (Media Access Control). ARP utiliza un cache que consiste en una tabla que almacena las asignaciones entre nivel de enlace de datos y las direcciones IP del nivel de red. El nivel de enlace de datos se encarga de gestionar las direcciones MAC y el nivel de red de las direcciones IP. ARP asocia direcciones IP a las direcciones MAC, justo a la inversa del protocolo RARP que asigna direcciones MAC a las direcciones IP. Para reducir el nmero de peticiones ARP, cada sistema operativo que implementa el protocolo ARP mantiene una cache en la memoria RAM de todas las recientes asignaciones. ARP Por qu? (fuente: http://www.slideshare.net/jscruzlambert/redes-protocolo-arp) La MAC es una direccion de la capa de enlace de datos que depende del hardware que se utilice. Tambien se conoce como direccion Ethernet o direccion de control de acceso al medio(MAC). La direccion IP trabaja en la capa de red y no entiende nada acerca de MACs que manejan nodos individuales dentro de la red. Se necesita un protocolo estandar que los relacione para que un datagrama pueda llegar a su destino.

Mecanismo

ARP El mensaje Tipo de HW: Identifica el tipo de hardware que se utiliza: Ethernet, ATM, HDLC. Tipo de protocolo: IPv4 Tamao de direccion HW: Para Ethernet (MAC) son 6 bytes. Tamao de direccion HW: Para la IPv4 Son 4 bytes (32 bits) Operacin ARP: Peticion o respuesta. Ejemplo arp

Funcionamiento Tenemos un host A que quiere mandar un datagrama a la direccion IP pero si no conoce la direccion Ethernet que tiene, por lo que mandara una peticin ARP en difusin y el que tiene la IP de peticin procedera a almacenar el par de direcciones del solicitante y despus contestara. Al llegar al origen el par que se solicitaba se almacenara. El almacenamiento de los pares de direcciones se realizan en una tabla local que cada host tiene que se llama cach ARP. Cache ARP Debido a que la red debe estar continuamente comunicandose para la resolucion de direcciones esta puede convertirse en un problema debido al consumo de recursos en la red. Debido a que la peticin es en difusin todos los host deben de gastar un tiempo de CPU preciado para examinar el paquete de peticin. Se soluciono con una tabla local en la que guardar los pares de direcciones. Existen 2 forman de almacenamiento en la cache: estatico y dinamico. Envenenamiento ARP Este tipo de vulnerabilidad consiste en el envenenamiento de las tablas ARP de los host implicados. Se aprovecha de que las tablas son dinamicas y cambian conforme le llegan las respuestas ARP, aunque no hayan pedido peticin alguna. Envenenamiento ARP: Escenario Tenemos un router y dos host, una la victima y otra el atacante. El objetivo es envenenar la tabla ARP para poder llegar a situarse en medio de la comunicacin entre el router y el

host de la victima. Este metodo es: utilizar un cliente de mensajeria para comprobar la vulnerabilidad a la hora de mandar mensajes. Herramientas para envenenamiento ARP: Por ejemplo, Wireshark. ARP Spoofing Es la suplantacion de identidad por falsificacin de tabla ARP. Se trata de la construccion de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relacion IP-MAC) de una victima y forzarla a que envie los paquetes de un host atacante en lugar de hacerlo a su destino legitimo.

Campos del datagrama ARP

Tipo de Direc. de Hardware: 16bits. Tecnologa de red empleada por debajo de TCP/IP. Tipo de Direc. de Red: 16 bits. Tipo de protocolo empleado a nivel 3. Long. de la direc. de Hardware: 8 bits. Longitud de la direccin de red de hardware. Long. de la direc. de Red: 8 bits. Longitud de la direccin de red (capa 3). Operacin: 16 bits. Tipo de operacin que nos da informacin sobre si se trata de una peticin o de una respuesta ARP. Cdigos de Operacin: para la peticin ARP 2 para la respuesta ARP 1 Direc. de hardware del emisor: 48 bits. Direccin fsica MAC. de la interfaz de red del emisor. Direc. de Red del emisor: 32 bits. Direccin IP del emisor. Direc. de hardware del destinatario: 48 bits. Direccin fsica MAC de la interfaz de red del receptor. Direc. de Red del destinatario: 32 bits. Direccin IP del receptor.

Manual arp - manipula la cache ARP del sistema SINOPSIS arp [-vn] [-H type] [-i if] -a [hostname] arp [-v] [-i if] -d hostname [pub] arp [-v] [-H type] [-i if] -s hostname hw_addr [temp] arp [-v] [-H type] [-i if] -s hostname hw_addr [netmask nm] pub arp [-v] [-H type] [-i if] -Ds hostname ifa [netmask nm] pub arp [-vnD] [-H type] [-i if] -f filename

OPCIONES -v, --verbose Informa al usuario de lo que ocurre de manera extendida. -n, --umeric muestra direcciones numricas en vez de tratar de determinar nombres simblicos de servidores, puertos o nombres de usuario. -H type, --hw-type type Al configurar o leer la cache ARP, esta opcin le dice a arp qu clase de entradas debe buscar. El valor por defecto es ether (es decir, cdigo hardware 0x01 para IEEE 802.3 10Mbps Ethernet). Otros valores incluyen tecnologas de red como las siguientes ARCnet (arcnet), PROnet (pronet), AX.25 (ax25) y NET/ROM (netrom). -a [hostname], --display [hostname] Muestra las entradas de los servidores especificados. Si no se usa el parmetro hostname, se mostrarn todas las entradas. -d hostname, --delete hostname Elimina toda entrada del servidor que se especifica. Se puede usar esta opcin, por ejemplo, al cerrar el servidor. -D, --use-device Usa la direccin hardware ifa's del interfaz. -i If, --device If Selecciona un interfaz. Al vaciar la cache ARP se mostrarn solamente aquellas entradas que correspondan al interfaz. Se usar una configuracin de entrada ARP

temporal o permanente para el dispositivo especificado. Si no se especifica uno, el kernel lo deducir a partir de la tabla de encaminamiento. Para entradas tipo pub el interfaz especificado ser el usado para responder peticiones ARP. NOTA: Este interfaz ha de ser diferente de aquel al que se encaminen los paquetes IP. -s hostname hw_addr, --set hostname Crea una entrada ARP de asociacin de direcciones para el servidor hostname con una direccin hardware hw_addr El formato de la direccin hardware depende de la clase de hardware, pero para la mayora de las clases se puede asumir la presentacin normal. Para la clase Ethernet, sta supone 6 bytes en formato hexadecimal, separados por dos puntos(:). Al aadir entradas arp tipo proxy (es decir, aquellas con la opcin publish activada), se puede especificar una netmask (mscara de red) para as hacer arp proxy a subredes enteras. El proxy arp no resulta un buen protocolo, pero a veces resulta de utilidad. Si no se proporciona la opcin temp las entradas se almacenarn permanentemente en la cache ARP. -f filename, --file filename Parecida a la opcin -s, pero esta vez la informacin de direcciones se toma del archivo filename. Se puede usar esta opcin si han de configurarse las entradas ARP de muchos servidores. A menudo el nombre del archivo de datos es /etc/ethers, pero esto no es oficial. El formato del archivo es simple; solamente contiene lneas de texto ASCII con un nombre de servidor (hostname) y una direccin hardware separados por un espacio en blanco. Adicionalmente se pueden usar las opciones pub, temp y netmask. En todos los lugares donde se espera un nombre de servidor, se puede proporcionar tambin una direccin IP en notacin decimal separada por puntos. Cada entrada completa de la cache ARP se marcar con la opcin C, las entradas permanentes se marcan con M y las entradas publicadas tienen la marca P.

Uso de comandos -Mostrar ayuda del comando arp h -Pedir datos de protocolo actuales y mostrar entradas en la cache ARP actuales. arp -a Pide los datos de protocolo actuales y muestra las entradas ARP actuales. Si se especifica inet_addr, slo se muestran las direcciones IP y fsica del equipo especificado Si existe ms de una interfaz de red que utilice ARP, se muestran las entradas de cada tabla ARP. R Debe devolver algo similar a lo siguiente, en el caso de tratarse de un solo sistema:
m254.alcancelibre.org (192.168.1.254) at 00:14:95:97:27:E9 [ether] on eth0

-Borrar una entrada especifica de la tabla arp d 192.168.109.1 -Aador nueva entrada a la tabla (set) arp -s 192.168.109.1 00:50:56:c0:00:08 -Especificar una interfaz en particular arp i eth0
Address m254.alcancelibre.org HWtype ether HWaddress 00:14:95:97:27:E9 Flags Mask C Iface eth0

-Aadir un registro manualmente, con -s seguido del nombre de un anfitrin y la direccin MAC correspondiente.
arp -s 192.168.109.1 00:50:56:c0:00:08

-Eliminar un registro de la tabla, solo se utiliza el parmetro -d seguido del nombre del anfitrin a eliminar. Ejemplo:
arp -d m200.redlocal.net

-Limpiar todo el cache, se puede utilizar un bucle como el siguiente:

for i in `arp -n | awk '{print $1}' | grep -v Address` do arp -d $i done

Si se desea aadir un registro manualmente, se puede hacer utilizando el parmetro -s seguido del nombre de un anfitrin y la direccin MAC correspondiente. Ejemplo: -Eliminar registro a eliminar

RARP (Reverse Address Resolution Protocol) -Depende de un Servidor RARP. -Estructura de trama igual a la del ARP. -Campo Operacin: 16 bits. -Cdigos de Operacin: 3 para la peticin RARP 4 para la respuesta RARP