Ante todo decir que es un requisito indispensable haberse leido/entendido mi anterior artículo sobre los sniffers para poder entender esta tecnica o,en su defecto, tener unos conocimientos básicos sobre redes ethernet, direcciones MAC y el protocolo ARP.
La tecnica conocida como ARP-SPOOFING nace como consecuencia de introducir switches en las redes ethernet.Mediante estos dispositivos se puede lograr que un sniffer montado en uno de los ordenadores de la red no espíe las conexiones de los demás ordenadores,ya que los paquetes pasan por un o varios switch antes de llegar a su destino,lo que evita el funcionamiento de las tarjetas en modo promiscuo(si están bien configurados,claro está).
Esta técnica se aprovecha de una debilidad del protocolo ARP (Address Resolution Protocol) que consiste en "envenenar" el arp cache de la maquina que queramos sniffear mandandole paquetes "arp-reply" falsos diciendo que nuestra dirección MAC corresponde con la IP por la que queremos hacernos pasar.Ahora os preguntaréis:Todo eso es precioso,pero ¿para qué me sirve a mí? No seáis impacientes,todo a su tiempo.
La utilidad más inmediata que se le habrá ocurrido a los más avispados es la de hacernos pasar por el router de la red para que todos los paquetes de la víctima pasen por nosotros antes de salir al exterior y así poder sniffearlos a placer.Es el recurso más utilizado,pero hay que tener en cuenta que después de sniffearlos debemos redirigirlos al router porque si no el ordenador sniffeado se quedará sin conexión a internet.
Con esto enlazo con el siguiente uso de esta técnica: la denegación de servicio (DoS - Denial of Service).Si le hacemos creer a la víctima que la IP del router corresponde a una dirección MAC inexistente,la victima perderá su conexión a internet tanto tiempo como dure nuestro ataque.No recomiendo este uso del arp-spoofing ya que a nadie la agrada que le hagan una denegación de servicio,pero ya somos mayorcitos para saber lo que nos hacemos..
El arp-spoofing también puede utilizarse para interceptar conexiones entre 2 o más ordenadores dentro de la red sin que tengan que salir a internet.La teoría es similar a la de hacerse pasar por el router de la red,sólo que en este caso tenemos que envenenar el arp caché de las 2 máquinas que queremos sniffear y reenviar los mensajes de uno a otro una vez los hayamos logueado,ya que si no habrá fallos en las conexiones en ambas direcciones.
Como último uso quiero señalar el de manipular algunos switches bombardeándolos con numerosas direcciones MAC falsas,con lo que conseguiremos que cuando el switch reciba un paquete lo envíe a todos los ordenadores de la red(ya que no encuentra la dirección del destinatario en su arp caché) esperando el arp-reply del equipo al que realmente va dirigido el paquete,cosa que nosotros no permitiremos al continuar con nuestro bombardeo de arp-reply falsas.Con esto conseguimos que el switch deje de trabajar como tal y se dedique a mandar todos los paquetes a todos los equipos y facilitándole la tarea a nuestro sniffer.
Ahora que ya hemos visto la teoría,vamos a pasar a la práctica,para que veáis lo fácil que resulta comprometer la seguridad de toda una red ethernet.Para ello utilizaré el programa ARP-FUN para LINUX que me pareció bastante bueno,aunque existen muchos programas para nuestros propósitos.
Lo primero de todo es ver como funciona el programa,asi que voy a explicar un poco su manejo con un ejemplo:
[root@AcidBorg]: arp-fun -i eth0 -s 192.168.0.254 -a AA:BB:CC:DD:EE:FF -d 192.168.0.1 -m AA:AA:AA:AA:AA:AA -c 5 -v -x 0
Analicemos cada uno de los argumentos:
-i eth0 -> Indica el interface que se utilizará para mandar el arp-reply falso.En este caso(y en la mayoría) se especifica la red ethernet.
-s 192.168.0.254 -> La dirección IP que queremos falsear(en este caso es la del router de la red)
-a AA:BB:CC:DD:EE:FF -> La dirección MAC que queremos asociar a la IP del router(la asociada con el parámetro -s).Si asignamos una dirección inexistente haremos un DoS a la víctima.
-d 192.168.0.1 -> La dirección IP de nuestra víctima.
-m AA:AA:AA:AA:AA:AA -> La dirección MAC de nuestra víctima.Se puede averiguar haciendo un ping a la victima y mirando después nuestra arp caché con el comando "arp -a",aunque si se omite el propio programa se encarga de hacerlo.
-c 5 -> El numero de paquetes arp falsos que queremos mandarle a la víctima(en este caso 5)
-v -> Modo VERBOSE, es decir, que el programa va explicando los pasos que va dando.Ideal para nosotros que estamos aprendiendo.
-x 0 -> El tiempo que debe esperar después de cada paquete para enviar el siguiente.Se puede omitir este parámetro,aunque es muy útil para ataques complejos.Yo he preferido dejarlo a 0 porque la impaciencia me pudo ;-)
Pues bien,con esto ya tenemos envenenada la arp caché de nuestra víctima para que nos mande a nosotros todos los paquetes que vayan dirigidos al router de la red.Ahora bien,no os olvidéis de reenviar los paquetes recibidos para no cortar su dirección a internet...
Dedico este artículo a todas las personas que me han servido como banco de pruebas para escribir este artículo y en particular a los que han visto su conexión a internet truncada por causas misteriosas(lo siento,no nací sabiendo reenviar los paquetes que me llegan de otros ordenadores al router,pero aprendí rápido).