ENVENENAMIENTO ARP.
El patrón de ataque típico que se construye sobre un envenenamiento y suplantación ARP permite interceptar/modificar todas las comunicaciones entre dos equipos que se encuentren en el mismo segmento de red que el atacante (o entre un equipo y su puerta de enlace). Este ataque se suele denominar Man in the Middle (MitM). Aunque es un ataque muy frecuente a este nivel, si el envenenamiento y suplantación se producen en una capa superior de la pila de protocolos con el mismo objetivo, también se suele denominar así el ataque.
Primera fase de un ataque MitM típico: envenenamiento de las dos caché ARP de las víctimas.
Si te fijas, en la figura se muestra cómo el atacante consigue ubicarse en medio de las comunicaciones entre los equipos A y B, envenenando sus dos cachés ARP. De esta manera, suplanta al equipo B desde el punto de vista de A, y suplanta al equipo A desde el punto de vista de B. Las tramas ARP Reply con este envenenamiento deben enviarse periódicamente para que se mantenga el engaño en el tiempo.
Segunda fase de un ataque MitM típico: intercepción/modificación de las comunicaciones y re-envío.
En la figura se muestra cómo a partir de este envenenamiento doble el atacante se sitúa en medio de las comunicaciones entre Ay B, pudiendo interceptar (y si entra dentro de sus objetivos, y la integridad de las comunicaciones no está adecuadamente protegida, modificar) el tráfico que va de A a B y el que va de B a A. Si el tráfico está cifrado, será necesario combinar este ataque con uno de CRACKEO para romper el sistema criptográfico empleado para proteger las comunicaciones. Desgraciadamente en redes de área local en las que se confía en el resto de los equipos, la mayoría de las veces el tráfico va en texto claro. Por eso es uno de los patrones más utilizados para robar credenciales (usuarios y contraseñas, que en muchos casos van en claro) y todo tipo de datos e información. Es un ataque que puede afectar a la confidencialidad, a la integridad y al control de acceso (mencionados en el curso); en todos los casos con consecuencias muy severas.
Importante:
Aunque el tráfico por la red y las latencias de las comunicaciones aumentan debido a este tipo ataque, si el atacante envía periódicamente las tramas ARP Reply para mantener el envenenamiento y realiza correctamente los re-envíos para no levantar sospechas, no son grandes alteraciones y, por lo tanto, son ataques difíciles de detectar.
