Envenenamiento de caché ARP: ¿cómo un hacker puede espiar tu Wi-Fi?

Ettercap
Ettercap

Última actualización: 17 de mayo de 2024

A menudo hablamos de vulnerabilidades de aplicaciones relacionadas con errores humanos; en este artículo veremos que las vulnerabilidades también pueden provenir de protocolos de red.

El arpa esconde el envenenamiento es un ataque que consiste en explotar la falla en el protocolo ARP ubicado en la capa 3 del modelo OSI. Consiste en bombardear un router con solicitudes ARP haciéndole creer que eres otra persona. Después de un tiempo, esto hará que la caché ARP se actualice. El objetivo es interponerse entre la víctima y su enrutador para capturar todo el tráfico entre dos máquinas remotas.

¿Para qué se utiliza el protocolo ARP?

Le Protocolo ARP permite conocer la dirección física de una tarjeta de red correspondiente a una dirección IP, por eso se denomina Protocolo de resolución de direcciones.

El protocolo ARP se utiliza para determinar la dirección MAC de una máquina remota. Cuando una máquina quiere saber Dirección MAC por otro lado, envía a todos los miembros de su subred un paquete arp who-as preguntando cuál es la dirección MAC de la máquina que tiene dicha dirección IP.

La máquina que tiene esta dirección IP será la única que responderá enviando a la máquina remitente una respuesta ARP del tipo "Soy una dirección IP y aquí está mi dirección MAC".

La máquina que realizó la solicitud ARP recibe la respuesta, actualiza su caché ARP y, por lo tanto, puede comenzar a enviar mensajes.
El contenido de este caché es temporal. Esto significa que aún será necesario reiterar el envío de solicitud ARP pero con mucha menos frecuencia.

Para ver el contenido del caché en Windows, escriba el siguiente comando:

 arp -a

bajo Linux:

arp-n

¿Dónde está la falla en el protocolo ARP?

Con el protocolo ARP, podemos comunicar nuestra dirección MAC a una máquina en cualquier momento enviándole un simple paquete de respuesta ARP. Esto actualizará su caché ARP. Ahora imagine enviar un paquete de respuesta arp a una máquina con información falsa ... Aquí es cuando interviene el envenenamiento de caché arp. Fácilmente podemos pasar por una máquina que no somos y por lo tanto intercepta el diálogo entre dos hosts.

¿Cómo llevar a cabo este ataque?

Durante la navegación normal por Internet, los datos de un usuario se envían al enrutador, luego desde el enrutador, se envían al servidor web.
Durante un ataque de envenenamiento ARP, el pirata informático se deslizará entre los datos enviados por el usuario y el enrutador.

Para llevar a cabo este tipo de ataques y capturar tráfico entre dos hosts remotos, es posible utilizar diferentes herramientas. Aquí usaremos la herramienta "Ettercap"que se especializa en este tipo de ataque.
Ettercap es software libre. Está preinstalado en la distribución Backtrack (Kali Linux). Para instalarlo en otra distribución linux, ejecute el siguiente comando:

apt-get install ettercap wirehark

Una vez instalado, todo lo que tienes que hacer es escribir el siguiente comando en la terminal:

ettercap -T -q -M arp: remoto /192.168.230.128/ /192.168.230.1/ -w "myfile"

Explicación del comando:

-T : inicia ettercap en modo texto
-M : indica que debemos situarnos entre las dos IPs y que queremos un ataque "Man in the middle"
-w : guarda el resultado de la captura en un archivo

En mi caso, la máquina de destino tiene la dirección IP 192.168.230.128 y el enrutador de salida tiene la dirección IP 192.168.230.1

Para finalizar el ataque y recuperar los datos, presione la tecla q.

Finalmente, puede abrir el archivo de salida "myfile" con un software como "Wireshark"para analizar cada solicitud realizada a través de la red.