El ataque viene a modificar el flujo de los datos enviados desde un PC Víctima que pasa a través de un gateway para hacer un ataque de tipo MITM (Man in the Middle) consiguiendo que el tráfico de la víctima pase por una máquina Atacante de forma inocua para la víctima.
La clave de este ataque es aprovechar la configuración por defecto de la caché ARP. Cuando se quiere entregar un paquete IP a alguien dentro de una LAN, no se hace a través de su dirección IP, sino de su dirección MAC a nivel de trama (en la capa de enlace). Esto supone que debe traducirse esa dirección IP en una dirección MAC y eso es posible entre otras cosas por la existencia del protocolo ARP que construye entradas dinámicas donde se hace corresponder una IP con su MAC asociada dentro de la tabla caché ARP.
Con el comando:
Podremos ver el resultado:
Esta caché tiene entradas estáticas y dinámicas. Estas últimas se van añadiendo en función de los paquetes ARP que viajan por la LAN. Esta circunstancia es la que el Atacante va a aprovechar para engañar tanto a la víctima como al gateway para hacerle creer que él es el extremo adecuado de la comunicación y que le envíe a su MAC lo que va destinado a sendas direcciones IP.
La idea es conseguir que en esa caché se relacionen 2 IP diferentes a la misma dirección MAC, se construyen pues dos paquetes, uno destinado a la víctima y otro al atacante y se envían mediante un bucle de forma continua hacia sus destinatarios. Esto provoca lo que se conoce como «envenenamiento ARP» en las cachés de ambas máquinas y permite colocar a la máquina Atacante en el medio de la comunicación entre la Víctima y el gateway, para que esto funcione correctamente el atacante debe tener activado el redireccionamiento IP.
En este apartado mostraremos el potencial de las herramientas MITMf, Responder y el script en Python Arp poison.
Para comenzar, tenemos que indicar a nuestro sistema operativo que comience a trabajar como forwarder (redireccionamiento) y repita peticiones que no van dirigidas a ella (espiándolas de paso ;) ) echo 1 > /proc/sys/net/ipv4/ip_forward. Esto indicará a nuestro sistema operativo, que participaremos en la distribución del tráfico ya que vamos a retrasmitir el tráfico que no fuese a nuestra máquina.
Como esa técnica se aplica a redes con hubs ahora podemos proceder con las aplicaciones designadas a envenenar la red que trabaje con puertas de enlace o switches.