¿Cómo funciona ARP Poisoning si la dirección IP es incorrecta?

El envenenamiento de TLDR ARP no cambia el IP dst en la tabla, entonces, ¿por qué la suplantación de MAC bajo otra dirección IP ayuda a redirigir el tráfico?

Cualquier video que encuentro explica que el objetivo de la intoxicación por ARP es enviar un mensaje no solicitado para 'sobrescribir' la tabla ARP del host y del enrutador para que la dirección MAC del atacante MitM se asocie con ambas para que se vean así:

Víctima: aa: bb: cc: dd: ee: ff (192.168.1.100) Enrutador: aa: bb: cc: dd: ee: ff (192.168.1.1) Máquina MitM: aa: bb: cc: dd: ee: ff (192.168.1.199)

De esta manera, ambos terminan enviando al Hombre en el Medio que luego reenviará a los puntos finales 192.168.1.199 y 192.168.1.1, que en realidad tenían otra dirección MAC.

... Mi pregunta es ¿cómo funciona eso? Si está engañando a estos dispositivos para que asocien el MAC incorrecto con la IP correcta, ¿cómo se redirige realmente el tráfico? Lo que quiero decir es cómo veo que es así:

¿La víctima> paquete al enrutador en 192.168.1.1> llega al enrutador y abre el paquete para descubrir que el MAC está mal?

¿Cómo funciona ARP Poisoning si la dirección IP es incorrecta?

Normalmente se llama ARP Spoofing, pero también se conoce como ARP Poison Routing (APR) o ARP Cache Poisoning.

El envenenamiento por ARP no cambia el destino de IP en la tabla, entonces, ¿por qué la suplantación de MAC bajo otra dirección IP ayuda a redirigir el tráfico?

• Los concentradores, conmutadores y el lado Lan de un enrutador enrutan datos utilizando la dirección MAC contenida en el marco de datos Ethernet.

• Durante el ataque, las entradas de la tabla ARP para la dirección IP de la víctima contendrán la dirección MAC del atacante.

• Cuando se envían datos a la dirección IP de la víctima o desde esta, se enrutará a la dirección MAC del atacante.

El objetivo de la intoxicación por ARP es enviar un mensaje no solicitado para 'sobrescribir' la tabla ARP del host y del enrutador para que la dirección MAC del atacante MitM se asocie con ambas.

No esto no es correcto.

• Las entradas de la tabla ARP para la dirección IP de la víctima contendrán la dirección MAC del atacante.
• Las entradas de la tabla ARP para la IP del enrutador no se modifican.
• El atacante puede optar por reenviar el tráfico desde la dirección IP de la víctima al enrutador, pero no tiene que hacerlo.

Vea lo que sucede a continuación para obtener más información.

¿Qué es la suplantación de ARP?

La falsificación de ARP es un tipo de ataque en el que un actor malicioso envía mensajes ARP (Protocolo de resolución de direcciones) falsificados a través de una red de área local. Esto da como resultado la vinculación de la dirección MAC de un atacante con la dirección IP de una computadora o servidor legítimo en la red.

Una vez que la dirección MAC del atacante está conectada a una dirección IP auténtica, el atacante comenzará a recibir los datos destinados a esa dirección IP.

La falsificación de ARP puede permitir que las partes maliciosas intercepten, modifiquen o incluso detengan los datos en tránsito. Los ataques de falsificación de ARP solo pueden ocurrir en redes de área local que utilizan el Protocolo de resolución de direcciones.

Fuente Veracode ARP Spoofing

¿Como funciona?

Los ataques de suplantación de ARP generalmente siguen una progresión similar. Los pasos para un ataque de suplantación de ARP generalmente incluyen:

1. El atacante abre una herramienta de falsificación de ARP y establece la dirección IP de la herramienta para que coincida con la subred IP de un objetivo. Los ejemplos de software de suplantación de identidad de ARP populares incluyen Arpspoof, Cain & Abel, Arpoison y Ettercap.

2. El atacante usa la herramienta ARP spoofing para buscar las direcciones IP y MAC de los hosts en la subred del objetivo.

3. El atacante elige su objetivo y comienza a enviar paquetes ARP a través de la LAN que contienen la dirección MAC del atacante y la dirección IP del objetivo.

4. Como otros hosts en la LAN almacenan en caché los paquetes ARP falsificados, los datos que esos hosts envían a la víctima irán al atacante. Desde aquí, el atacante puede robar datos o lanzar un ataque de seguimiento más sofisticado.

Fuente Veracode ARP Spoofing

¿Qué pasa después?

El atacante puede optar por inspeccionar los paquetes (espiar), mientras reenvía el tráfico a la puerta de enlace predeterminada real para evitar el descubrimiento, modificar los datos antes de reenviarlos (ataque de hombre en el medio) o lanzar una denegación de servicio ataque causando que algunos o todos los paquetes en la red sean descartados.

Fuente Wikipedia ARP spoofing

Otras lecturas

• Técnicas de ataque y mitigación de envenenamiento por ARP (hombre en el medio)
• Comprensión de los ataques del hombre en el medio - Envenenamiento por caché ARP (Parte 1)
• ¿Cómo funciona el envenenamiento por ARP?

Por ejemplo, en una LAN conectada por un conmutador, el conmutador no decapsulará el paquete hasta la Capa de red (Capa 3 del OSI). Solo verificará el MAC de su tabla CAM y reenviará el paquete en el puerto adecuado. Es por eso que la IP no se verifica especialmente cuando la tabla CAM del conmutador ya está poblada.

Cuando el paquete se envía en la red de capa de enlace, se envía a la dirección MAC del atacante, por lo que es el atacante el que lo recibe, no el destinatario previsto.

Hagamos esto un poco más concreto especificando la red de capa de enlace. Tomemos Ethernet por ejemplo. Las NIC de Ethernet solo conocen su propia capa (Ethernet). No saben qué es IP, por lo que no tienen idea de cómo se pueden abordar estos paquetes en la capa de IP. Eso es todo un montón de bytes de carga útil opacos para las NIC de Ethernet. La NIC emisora ​​solo sabe que se le entregó un marco para aa: bb: cc: dd: ee: ff, por lo que pone esa dirección de destino y la transmite. Solo la NIC del atacante está programada para mirar las tramas dirigidas a aa: bb: cc: dd: ee: ff, por lo que solo la NIC del atacante recibe la trama pasándola a la pila de red del sistema operativo del host.