Año 3 - N°4 | Abril 2007   

- Entrevista

- Las Leyes

- Palabras de Ciso

- Tips para un Ciso

- Punto de Vista

- Hacking bajo la lupa

- Estadísticas

- Productos

- Capacitación

- Toolbox

- Links de Interés

- Lo Sabías?

- Hot Vulnerabilities 

- E-Fraude

- Noticias

- Bolsa de Trabajo

- Agenda & Eventos

- Carta de Lectores

- Libro de Pases

- El Chiste

- Claves del Mes -

ataques capa 3

anonimato

fraude bancario

privacidad

Hacking Bajo la Lupa

NIVEL TÉCNICO

¿Cómo comienzan los ataques capa 3?

Por Christian Vila

Senior Security Consultant
I-SEC Information Security Inc.

La mayoría de los ataques que comienzan en esta capa del modelo OSI (CAPA 3 Networking) se inician debido a una debilidad que posee el protocolo ARP (Address Resolution Protocol): el problema consiste en que es un protocolo diseñado sin autenticación por consiguiente resulta casi imposible evitar que se envíen paquetes malformados o que provoquen anomalías en las negociaciones que realiza este protocolo.

Tanto las placas de red ethernet como cualquier dispositivo de conexión del modelo ethernet utilizan este protocolo para rutear los paquetes entonces realizan entre sí ciertas negociaciones para entablar la comunicación, las negociaciones comienzan cuando el dispositivo recibe un paquete y necesita rutearlo hacia el destino, el header del paquete contiene la dirección IP de destino entonces comienza a buscar en su caché a qué dirección MAC corresponde esa IP. La tabla de Caché de Arp contiene la siguiente información: 

Tabla de CACHE ARP

MACIP
00:0E:2E:85:1D:CB192.168.1.27
00:11:3B:01:F5:38192.168.1.73
00:0E:2E:8A:BA:B0192.168.1.83
00:40:F4:EA:BF:C6192.168.1.23

Si el paquete recibido tiene destino la dirección IP 192.168.1.27 que está en el cache el dispositivo ya posee el valor de la mac correspondiente y entonces puede rutear el paquete, caso contrario si esa IP no se encuentra cacheada envía un mensaje “ARP request” a toda la LAN ethernet esperando recibir un mensaje “ARP reply” de la placa de red con la dirección IP correspondiente y así poder ruetar la información y por supuesto la cachea para el futuro.

Como decíamos al principio el protocolo ARP no posee autenticación entonces  ¿que ocurre si un atacante conectado a la LAN envía un ARP Reply  que contenga la dirección ip 192.168.1.27 y su propia mac? Simplemente se actualiza la tabla de arp y queda su mac y la dirección IP spofeada: 

Tabla de CACHE ARP

MACIP
00:11:3B:01:F5:38192.168.1.73
00:0E:2E:8A:BA:B0192.168.1.83
00:40:F4:EA:BF:C6192.168.1.23

XX:XX:XX:XX:XX:XX(mac del atacante)

192.168.1.27 (IP Spofeada)

Por consiguiente los paquetes que iban dirigidos hacia la ip 192.168.1.27 deberían corresponder a la mac inicial pero ahora no llegarán a ese destino sino que llegarán al atacante.

Este ataque se llama ARP Cache Poisoning y es el inicio de otros ataques posteriores, inclusive que corresponden a otras capas del modelo OSI: Man in the Middle es el más conocido de todos.

Algunas tools que realizan este ataque: Arpoison, dsniff, ettercap, Parasite, WinArpSpoofer

Finalmente les dejo una pregunta:

¿Qué ocurriría si envío múltiples ARP reply con diferentes IP al dispositivo de conexión?

 

Christian Vila / ISEC +

Senior Security Consultant 
I-SEC Information Security Inc.

Patagonia - Argentina

 

 

Copyright © 2007 I-SEC. Todos los derechos reservados

Política de protección de Datos Personales