Cuando mencionamos el tema de las IPS comente que no era el único dato que componía nuestra identidad en la red y que no era el único rastro por el que se nos puede localizar. Parte de ese registro son las direcciones Mac.Una mac (Media Access Control) es un identificador de 48 bits que se asigna forma única a una ethernet de red de manera singular e intransferible. Cada dirección IP tiene asociada una dirección MAC .El protocolo responsable de traducir las direcciones IPS en direcciones físicas (MAC) es el protocolo ARP.
ARP (Address Resolution Protocol) Es un protocolo de nivel de red responsable de encontrar la dirección hardware (Ethernet MAC) que corresponde a una determinada dirección IP.
Al igual que los DNS se encargan de la traducción de los dominios Web, es decir, cuando una maquina quiere conectar con una determinada dirección Web es el DNS quien se encarga de interpretar la IP resultante de la dirección indicada, Cuando una maquina pretende conectarse con cualquier dirección Web, son las tablas de ARP quienes realizan esta conversión, identificando la dirección ethernet real resultante de la IP identificada.
Realmente la explicación técnica de este proceso de identificación es un poco mas compleja, pero esto es básicamente en lo que consiste es decir, ARP pregunta por una determinada IP enviando paquetes a la dirección de difusión de la red que contiene la dirección IP y la maquina con dicha dirección IP responde con su MAC (dirección ethernet real).
Sintaxis
Arp [-a [direcciónDeInternet] [-N direcciónDeInterfaz]] [-g [direcciónDeInternet] [-N direcciónDeInterfaz]] [-d direcciónDeInternet [direcciónDeInterfaz]] [-s direcciónDeInternet direcciónEthernet [direcciónDeInterfaz]]
Parámetros
-a [direcciónDeInternet] [-N direcciónDeInterfaz]
Muestra las tablas de caché ARP actuales de todas las interfaces. Para mostrar la entrada de la caché ARP para una dirección específica, utilice arp -a con el parámetro direcciónDeInternet, donde direcciónDeInternet es una dirección IP. Para mostrar la tabla de la caché ARP de una interfaz específica, utilice el parámetro -N direcciónDeInterfaz, donde direcciónDeInterfaz es la dirección IP asignada a la interfaz. El parámetro -N distingue entre mayúsculas y minúsculas.
-g [direcciónDeInternet] [-N direcciónDeInterfaz] Igual que -a.
-d direcciónDeInternet [direcciónDeInterfaz] Elimina una entrada con una dirección IP específica, donde direcciónDeInternet es la dirección IP. Para eliminar una entrada de una tabla para una interfaz específica, utilice el parámetro direcciónDeInterfaz, donde direcciónDeInterfaz es la dirección IP asignada a la interfaz. Para eliminar todas las entradas, utilice el carácter comodín asterisco (*) en lugar de direcciónDeInternet.
-s direcciónDeInternet [direcciónDeInterfaz] Agrega una entrada estática a la caché ARP que resuelve la dirección IP direcciónDeInternet en la dirección física direcciónEthernet. Para agregar una entrada de la caché ARP para una interfaz
específica, utilice el parámetro direcciónDeInterfaz, donde direcciónDeInterfaz es la dirección IP asignada a la interfaz.
/? Muestra Ayuda en el símbolo del sistema.
¿Puedo averiguar la MAC de cualquier IP con ARP?
No, para eso tendrías que estar en su red local, primero se debe hacer ping a la IP y una vez hayan respondido todos los dispositivos de ese segmento, utilizaríamos arp –a
También podemos utilizar el comando getmac si sabemos que la otra máquina se encuentra bajo Windows XP.
Getmac
Esta utilidad de línea de comandos habilita al administrador para mostrar la dirección MAC de uno o mas adaptadores de red en un sistema.
Lista de parametros:
/S sistema Especifica el sistema remoto al que conectarse.
/U [dominio\] usuario Especifica el contexto de usuario con en el que el comando se debe ejecutar.
/P contraseña Especifica la contraseña para el contexto de usuario dado.
/FO formato Especifica el formato en el que se va a mostrar la salida.V lido solamente para formatos TABLE y CSV.
/V Específica que la información detallada debe mostrarse en la salida.
/NH Específica que el "encabezado de columna" no debe mostrarse en la salida. Sólo se usa con los formatos TABLE y CSV.
/? Muestra esta ayuda/uso.
Utilidades aplicadas al Hacking
Son muchos los usos que se derivan del extenso manejo y conocimiento de ARP. Aprovechando vulnerabilidades en este protocolo se pueden desde sniffear redes hasta hacer ataques de Dos, no obstante las técnicas de spoffing requieren disponer de conocimientos avanzados de redes. De modo que por ahora nos dedicaremos a estudiar los protocolos principales y sus funciones más básicas.
Protocolo de resolución de direcciones inverso (RARP)
Bien pues si ARP traduce direcciones IPS en direcciones MAC ya os estaréis imaginando que el protocolo RARP (Reverse Address Resolution Protocol) hace justo lo contrario, es decir convierte direcciones MAC a IPS. Para ello a dirección hardware del host es el parámetro conocido, y la dirección IP el parámetro requerido
Mientras que ARP asume únicamente que cada host sabe la correspondencia existente entre su propia dirección hardware y la dirección de protocolo. RARP requiere uno o más hosts de servidores de la red para mantener una base de datos de correspondencias entre direcciones hardware y direcciones de protocolo.
Articulo escrito por S3L3N1TY para Hacker’s Land.
No hay comentarios :