Antes de empezar a hablar sobre ARP SPOOFING, ¿Que es ARP ?
ARP (Address Resolution Protocol) Es un protocolo de la capa 3 del modelo OSI (Capa de red) responsable de “traducir” las direcciones IP correspondientes a las direcciones físicas (MAC).
Para que quede un poco más claro, vamos a plasmarlo en un ejemplo:
Tenemos 2 host, HOST1 (Dirección ip: 192.168.1.115) y HOST2 (Dirección ip: 192.168.1.102) HOST1 quiere mandar un archivo a HOST2, para que HOST1 cree un vínculo con HOST2 tiene que mandar un ARP request por toda la red.
– HOST1: Soy XX:XX:XX:XX:XX:XX con la dirección IP 192.168.1.115, Quién es: 192.168.1.102
– HOST2: Yo soy 192.168.1.102 con la dirección MAC: yy:yy:yy:yy:yy:yy
Sabiendo esto, HOST1 puede enviar directamente los datos a la dirección física de HOST2 y HOST2 a partir de ahora recuerda la dirección MAC de HOST1. Esto sucede porque se queda almacenada en la caché ARP.
Para más información consultar siempre Wikipedia o Google.
ARP SPOOFING: suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo.
Herramientas ARP SPOOFING
Arpspoof (parte de las herramientas de DSniff), Arpoison, Cain and Abel, Ettercap y netcut son algunas de las herramientas que pueden usarse para llevar a cabo los ataques ARP Poisoning
Para aclararlo, pongamos otro ejemplo:
Escenario:
Router: 192.168.1.1
Víctima: 192.168.1.125
Atacante: 192.168.1.100
Para realizar el ataque mandaríamos repliques ARP al router (sin que el router haya solicitado nada).
¿Con esto qué conseguimos? Que el router asocie la dirección ip de nuestra víctima (192.168.1.125) con nuestra dirección física (MAC) y a su vez la víctima asociará la dirección ip del router 192.168.1.1 con la dirección física del atacante, por lo que la víctima nos estaría enviando sus datos.
Una vez explicado esto, vamos a la práctica:
Instalar Ettercap
sudo apt-get-install ettercap-gtk
una vez instalado vamos a editar el fichero /etc/etter.conf
sudo gedit /etc/etter.conf
y buscar las lineas y descomentarlas
redir_command_on = “iptables -t nat -A PREROUTING -i %iface -p tcp -dport %port -j REDIRECT -to-port %rport”
redir_command_off = “iptables -t nat -D PREROUTING -i %iface -p tcp -dport %port -j REDIRECT -to-port %rport”
sudo gedit /etc/etter.conf
[youtube=http://www.youtube.com/watch?v=ciuv5n5cmzs]
Protección contra ARP SPOOFING