domingo, 11 de diciembre de 2011

¿Qué es ARP?

El protocolo ARP (Address Resolution Protocol) es un protocolo a nivel 3 del modelo OSI (Capa de red. Maneja de direcciones IP para abajo: Dirección IP y dirección MAC). Es un protocolo utilizado para descubrir las direcciones IP y direcciones MAC de una red mediante una herramienta llamada tabla ARP.

  • ¿Para qué se usa ARP?

ARP se utiliza para determinar las direcciones IP asociadas a cada tarjeta de red. Aparte de los ordenadores de nuestra propia red, también puede resolver las direcciones IP de otros ordenadores que aun así no esten en nuestra propia red pero sí sean visibles mediante un elemento intermedio, como un router.


  • ¿Qué es la tabla ARP?

La tabla ARP, es una tabla que muestra las direcciones IP y MAC existentes en nuestra red. Así, podemos saber cuántas personas están conectadas al router y sus direcciones físicas y lógicas.

En Windows todos los siguientes apartados

Para ver la tabla ARP, usamos arp -a. arp a secas no hace nada, solo muestra las opciones.

Si ejecutamos arp -a, la tabla será parecida a ésto:

Interfaz: 192.168.1.34 --- 0xc
  Dirección de Internet          Dirección física          Tipo
  192.168.1.1                    00-01-02-03-04-05         dinámico
  192.168.1.36                   11-22-33-44-55-66         dinámico
  192.168.1.255                  ff-ff-ff-ff-ff-ff         estático
  224.0.0.22                     01-00-5e-00-00-16         estático
  224.0.0.252                    01-00-5e-00-00-fc         estático
  239.255.255.250                01-00-5e-7f-ff-fa         estático
  255.255.255.255                ff-ff-ff-ff-ff-ff         estático

Interfaz 192.168.1.34 : Es nuestra dirección IP. Si tenemos dos tarjetas de red, nos deberán aparecer dos interfaces distintas.

Dirección de Internet: Son las direcciones IP presentes en la red.

  • Las redes 192.168.1.X son las de nuestra propia red local. Son las entradas físicas de los ordenadores presentes en la red, con su dirección MAC
  • Las redes 224.0.0.22, 224.0.0.252 y 239.255.255.250 son direcciones IP reservadas para multicast. Multicast o multidifusión son direcciones IP locales en las que el emisor envía un datagrama a la dirección multicast y el router se encargará de hacer copias y enviarlas a todos los receptores que informen su interés por usar multicast. En sí mismo, no es nada útil.
  • La dirección 255.255.255.255 es la dirección de broadcast global. Tampoco sirve de mucho.

Dirección física: Es la dirección MAC de los interfaces presentes en la red.

Tipo: Estático o Dinámico. Significa que las direcciones física y de Internet pueden variar a voluntad del usuario propietario de su propio equipo.

La pregunta que cualquier usuario puede hacerse es ¿Cómo se genera la tabla ARP?

La tabla ARP se genera en nuestro ordenador a partir del Ping de broadcast. Éste ping lo que hace es enviar paquetes a la dirección de broadcast (La cual siempre es la última dirección de una red, la 255. En este caso, en la tabla ARP, la dirección es 192.168.1.255). El ping de broadcast no lo realiza nuestro ordenador, si no el router. Nuestro ordenador realiza un ARP Request a la dirección de broadcast, la cual reenvía un ARP Reply, ofreciéndole los datos que sabe del resto de ordenadores.

  • ¿Puedo renovar la tabla ARP cuando quiera?
No. La tabla ARP se genera una y otra vez, con lo que la renovación de la tabla ARP es constante. Aproximadamente cada minuto o dos minutos se generará de nuevo.

  • ¿Es segura la tabla ARP?

No. La tabla ARP se puede envenenar realizando un ARP Spoofing.

ARP Spoofing: Es una técnica mediante la cual un ordenador atacante envía paquetes ARP falsos por la red, para hacer creer a los ordenadores que él es el gateway predeterminado, para así recibir él los paquetes, enterarse de qué hace la víctima, y reenviar los paquetes al router para que finja que no ha pasado nada.

  • ¿Cómo sé que estoy siendo víctima de ARP Spoofing? 

El método más sencillo es examinar con Wireshark (un analizador de paquetes de red) que no existen excesivas ARP Reply. Si existen, estamos siendo víctimas de un ataque por fuerza bruta a nuestro router y está falseando la MAC para el reenvío de paquetes.
  • ¿Cómo puedo evitar un ARP Spoofing?

Usando Tablas ARP estáticas. Básicamente es que nuestro ordenador asigne a cada dirección IP y dirección MAC una entrada estática, con lo que si hubiera un cambio en la dirección MAC de una dirección IP concreta, el ordenador rechazaría la nueva MAC y seguiría enviándola a la original.

Para añadir una entrada estática, introducimos en línea de comandos:

> arp -s (dirección IP) (dirección MAC)

De esta forma, en vez de tipo Dinámico como aparecía antes, ahora aparecerá Estático. Así, si alguien intenta falsear la MAC, nuestro ordenador se dará cuenta y no aceptará la nueva entrada. Así evitaremos el ARP Spoofing en menor medida.

Éste método en una red local pequeña, como una red doméstica, es segura. Para grandes redes se puede realizar un DHCP snooping, que consiste en que el servidor DHCP que administra las direcciones IP ya tiene la dirección física, con lo que no existe mucha posibilidad. (Es como si habilitáramos un filtro MAC)

  • ¿Existe un ARP Spoofing legítimo?

Sí. A veces, existe la posibilidad de que en redes de pequeñas y medianas empresas, el administrador monitorice lo que hacen los usuarios de la red, así como si entran en sitios que no deberían o usan programas P2P que no deben. Dichos datos no pueden utilizarse a beneficio del administrador (Ésto es, él puede enterarse de todo lo que haces, pero no puede usar tus datos)

  • ¿Existen herramientas para realizar ARP Spoofing?

Sí. Existen en Internet bastantes herramientas dedicadas a realizar ARP Spoofing. Algunos ejemplos de ellas son Cain y Abel, Dsniff, entre otras. De forma evidente, el uso de éstos programas es recomendable para investigación, y nunca orientado a sacar un mal uso del mismo.

Fuente:

Wikipedia.
CCNA 1.
Experiencia propia.

Última edición: Noviembre de 2012
Razón: Formato de la tabla ARP

6 comentarios:

Comenta si te gustó la entrada, algún error que tenga, o simplemente entra a debatir si tienes algún problema, pues recuerda que aquí todo es posible y nada es seguro (Y a lo mejor a mí se me ha podido ir la pinza y escribir algo mal)

Por favor, sé conciso y ten buena escritura, que aquí no se cobra por letras ni palabras a usar. Los comentarios estilo HOYGAN o descalificativos no serán publicados.