martes, 12 de agosto de 2014

Como defenderse de arp poison


En muchos ataques hemos aprendido como envenenar las tablar ARP para que pase el trafico por un ordenador antes que salga por el router todo el trafico.

Para ver si somos victima, podemos hacer un tracert www.google.com y si vemos que el primer salto no es la ip del router casi seguro estamos ante un MITM (Man In The Midlde).

El arp poison es el ataque mas común de los diferentes tipos MITM, consiste en mandar peticiones a la victima diciendo que el atacante ahora es el router, con lo que el trafico pasara por él antes de salir al exterior.


tracert MITM
Victima de ataque MITM por arp poison


Para evitar esto podemos usar Patriot-ng y Marmita, pero para cortar de raíz el problema lo mejor es poner la dirección del router de forma estática y aunque recibamos un ataque por arp poison no conseguirá cambiar la tabla arp.

Para hacer esto haremos lo siguiente.
Abrir una consola con permisos de administrador.
Ver la tabla actual con arp -a
Ver la ip y mac del router
Hacerla estatica

arp -s [ip router] [mac router]
arp -s 192.168.1.1 00-11-22-33-44-55

arp table
Tabla arp estatica

Con este simple truco estaremos seguros contra este tipo de MITM sobre todo si nos conectamos en redes publicas.

Si queremos revertir el proceso y volverlo dinámico haremos:
arp -d 192.168.1.1


Saludos guerreros!!

No hay comentarios:

Publicar un comentario