El protocolo ARP (Address Resolution Protocol)

El protocolo ARP ofrece dos funciones básicas:

  • Resolución de direcciones IPv4 a direcciones MAC
  • Mantenimiento de una tabla de las asignaciones

Esta presente en la Capa 3 de Red del modelo OSI.

El proceso de ARP funciona de la siguiente manera:

El solicitante de ARP manda un paquete (frame) de broadcast con la información de IP de destino, la IP origen y la dirección MAC preguntando por la dirección MAC destino.

El cliente con la dirección IP de destino manda un frame directo de regreso al solicitante llenando en el su dirección MAC y guardando la dirección MAC de el en la tabla ARP o caché.

Para minimizar los broadcast debido a requisiciones tipo ARP, las direcciones IP de los clientes y los Gategays guardan tablas de direcciones IP de los clientes y los Gateways guardan tablas de direcciones Mac y direcciones IP llamadas tablas de ARP o caches.

El protocolo ARP se basa en determinados tipos de mensajes Ethernet de broadcast y unicast, denominados “solicitudes ARP” y “respuestas ARP”.

Arp

Para ver la tabla ARP en un entorno Windows se utiliza el comando arp -a en una cosola cmd de windows
arp en cmd

Para ver la tabla ARP en el IOS de un router Cisco se utiliza el comando show ip arp
cisco ios

SEGURIDAD Y ARP
Al igual que ocurre con casi todos los protocolos de comunicación, y en concreto TCP/IP, el protocolo ARP puede ser usado por un atacante para objetivos no deseados.

Una de las técnicas mas usadas en este sentido es la conocida como ARP Spoofing, que como su nombre indica, consiste en el uso del protocolo para hacerse pasar por quien no se es en realidad, es decir, para suplantar a otra persona o equipo

¿CÓMO DETECTAR UN ARP SPOOFING?

Esta es quizá la parte mas complicada, ya que es muy difícil detectarlo, de hecho una persona que sepa hacerlo muy bien puede hacer un ARP Spoofing prácticamente in detectable.

El primer método para detectar un ARP Spoofing es mirar la tabla ARP y comprobar que todas las direcciones MAC son distintas, si hay alguna repetida quiere decir que estamos siendo víctimas de un ARP Spoofing, ya que las direcciones MAC son únicas para cada dispositivo, además es muy probable que la dirección mac duplicada sea la que hace referencia a vuestra puerta de enlace (gateway), ya que casi siempre se intenta redirigir el tráfico que se envía hacia internet.

mac duplicada

 

Autor: Miguel A. Gonzales Alvarez

Curso: Cisco CCNA R&S

Centro: Tajamar

Año académico: 2016-2017.