Como Evitar Ataques de Envenenamiento ARP by fNiX

[fNiX]

Como Evitar Ataques de Envenenamiento ARP

Aqui explicare de que manera nos podemos defender de este tipo de ataque
Conocimiento Previo:

Para ver este enlace Registrate o Inicia Sesion

ARP en Wikipedia

Para ver este enlace Registrate o Inicia Sesion

Video Tutorial de ARP

Para ver este enlace Registrate o Inicia Sesion

¿Que es un Ataque Envenenamiento ARP?

Herramientas:

Para ver este enlace Registrate o Inicia Sesion

ARP Watch (linux)

Para ver este enlace Registrate o Inicia Sesion

ARP guard

Maneras de defenderse del ataque:

1-ARP Watch (linux)
ARP Watch es una herramienta para sistemas linux que nos puede ayudar a detectar el envenenamiento ARP en nuestro sistema operativo.
con esta herramienta podemos comprovar la correspondenci a entre pares (IP/MAC). en el caso en que se este provocando un ataque ARP Watch manda un correo de notificacion a la cuenta administrador del sistema.
Tambien puede detectar nuevos host en la red
(si alguien falsifica su IP/MAC para hacer un ataque de envenenamiento ARP)

2-ARP Guard (hardware)
ARP guard es un hardware que nos permite reconocer las amenazas
de un posible ataque de enevenenamient o ARP.
esta constantemente observando los paquetes ARP
y si detecta alguna anomalia manda un mensaje a el administrador de la red
con el origen del ataque.

3-Asignacion Estatica en la tabla de entradas ARP

El ataque de envenenamiento ARP consiste en modificar las entradas en las tablas ARP. el sistema es vulnerable por que puede moverse. entonces sencillamente dejemoslo fijo y que nadie lo pueda mover =D

Bien esto es un poco mas complicado, asi que pongan atencion.
existen dos maneras de añadir una entrada a una tabla ARP.

1º Forma Automatica
Es lo que hace nuestro PC todo el tiempo sin que nos demos cuenta

2º Forma Manual
De la manera manual nosotros podemos dejar inmutable incluso apagado el sistema de dicha entrada en la tabla ARP.

Para añadir una ARP en un sistema esta es la Sintaxis:

[Direccion IP] --> Direccion IP del Host
[Direccion MAC] --> Direccion MAC del Host

De esta manera las Direcciones MAC quedan Grabadas.
y por mucho que el PC atacante intente hacer un ataque envenenamiento ARP No lo podria haber logrado =D
Y si ubiesemos tenido el sofware ARP Watch (en linux)
podriamos haber sabido quien fue el que intento hacer el ataque.

Eso si esto tiene Una Falla, al apagar el PC las tablas ARP se encontraran vacias al volver a prender el PC, y eso nos vuelve vulnerables al ataque.
pero sencillamente debemos de crear un .bat que haga que se inicie con windows siempre y nunca mas nos preocuparemos de estos ataques ^^

@echo off
arp -s [Direccion IP del Host] [Direccion MAC del Host]
reg add hkey_local_mac hine\software\microsoft\windows\currentversion\run/v virus.bat/t reg_sz /d C:\windows\system32 /f
exit

Salu2! y espero que les guste

[HolyKnight]

exelente, muy bueno fnix

[Xcross]

exelente manual, creo que ya te emreces otro puesto superior  saludos

[fNiX]

exelente manual, creo que ya te emreces otro puesto superior  saludos

no amigo aun faltan muchas cosas mas pora portar =D
igualmente muchas gracias por decir eso =D
seria bueno ordenar un poco esta seccion
y actualizar mas las "FAQ" bueno eso ya sera visto mas adelante.

exelente, muy bueno fnix

si lo quieres poner en HxS no ai problema holy =D

[rafaelviera]

Hola fNiX .

Hace una semana implemente una  solucion identica a la que propones ya que mi red inalambrica es victima de un ataque de ese tipo producido por un virus llamado ONLINEGAMES . Algunas veces el bat que se ejecuta al iniciar el sistema  falla; no generando una tabla arp fija . No siempre , pero falla. asi que no es una solucion 100 % fiable. Al parecer tiene que ver con el establecimient o de la conexion inalambrica , si se da la conexion antes que se ejecute el bat funciona, de lo contrario no lo hace.
Fui muy optimista al creer que tenia resuelto el problema ya que en mi red ethernet probe el bat y lo hizo sin errores.
Estoy revisando la forma de salvar ese obstaculo, cualquier sugerencia es bienvenida.

[fNiX]

Hace una semana implemente una  solucion identica a la que propones ya que mi red inalambrica es victima de un ataque de ese tipo producido por un virus llamado ONLINEGAMES . Algunas veces el bat que se ejecuta al iniciar el sistema  falla; no generando una tabla arp fija . No siempre , pero falla. asi que no es una solucion 100 % fiable. Al parecer tiene que ver con el establecimient o de la conexion inalambrica , si se da la conexion antes que se ejecute el bat funciona, de lo contrario no lo hace.
Fui muy optimista al creer que tenia resuelto el problema ya que en mi red ethernet probe el bat y lo hizo sin errores.
Estoy revisando la forma de salvar ese obstaculo, cualquier sugerencia es bienvenida.

el bat si es la solucion, lo se por que lo he visto en computadores
al parecer tu problema es que "aveces" el bat no se inicia con windows
mira la verdad tu problema es bastante curioso. pero si el bat no se inicia con windows tu puedes perfectamente ejecutarlo cuando estes entrando a tu PC, osea vas a donde el archivo .bat y lo ejecutas tu mismo.

ahora si tu estas en una red muy grande
NPYA (Mientras mas grande es la red, mas poderoso es el ataque)
en el caso que estes en una red te recomiendo el Hardware
que es la opcion 100% segura que nunca nos va a fallar.

pero lo del bat amigo si funciona, si no inicia con windows es un poco extraño men pero siempre esta la opcion de ejecutarlo tu mismo ^^

Salu2! 

[odin921]

Muy buenas!!

Una cosilla, si no puedo acceder a la red porque me han hecho el ataque como puedo adivinar la IP?? La IP es la "IP Real" no? Y la MAC es la mac de mi adaptador no?

Gracias

[fNiX]

Muy buenas!!

Una cosilla, si no puedo acceder a la red porque me han hecho el ataque como puedo adivinar la IP?? La IP es la "IP Real" no? Y la MAC es la mac de mi adaptador no?

-pues tu IP de red debe de ser 192.168.x.x
[buscar antes de preguntar]
Aqui te pongo un ejemplo de [ip/mac]

[odin921]

Vale, y otra pregunta...ese tema es para EVITAR pero si ya me han atacado y me han dejado sin internet como puedo solucionarlo o anular el efecto?

Un saludo

[fNiX]

Vale, y otra pregunta...ese tema es para EVITAR pero si ya me han atacado y me han dejado sin internet como puedo solucionarlo o anular el efecto?

Un saludo

bien... supongamos que el atacante te hace el ataque
osea [hace creer que la direccion Mac del router es una inexistente]
de esa manera el PC intentara conectarse a un router que no existe...
y de esa manera no tendras internet.

Como aqui lo explico:

Para ver este enlace Registrate o Inicia Sesion

http://foro.portalhacker.net/index.php/topic,70073.0.html

pues.. lo unico que hace el ataque es cambiar tus tablas de ARP
por lo tanto si las tablas de ARP quedaran fijas [pegadas]
el ataque no funcionaria y de esa manera te libras de ataque.
osea:

inicio --> ejecutar --> cmd:

arp -s [Direccion IP del Host] [Direccion MAC del Host]

y como el mismo manual dice, puedes hacer el .bat para que jamas te afecten estos tipos de ataques.

Salu2! 

[odin921]

En el bat, en donde dices dirección MAc del host...la MAC en que formato debe ir?? con guiones, dos puntos, sin nada....

Un saludo

[odin921]

En el bat, en donde dices dirección MAc del host...la MAC en que formato debe ir?? con guiones, dos puntos, sin nada....

Un saludo

[fNiX]

En el bat, en donde dices dirección MAc del host...la MAC en que formato debe ir?? con guiones, dos puntos, sin nada....

Un saludo

tal como son las Mac adress

[odin921]

hombre,me podías haber respondido "con dos puntos" o "todo seguido sin nada".... la respuesta "tal cual son" no me saca de la duda.....

[fNiX]

hombre,me podías haber respondido "con dos puntos" o "todo seguido sin nada".... la respuesta "tal cual son" no me saca de la duda.....

si la MAC es --> 1234chulo
entonces debes de poner --> 1234chulo

Salu2!