Area FAQ

  • ¿para qué sirve este programa?

Este programa permite proteger a una red de ataques al protocolo arp, en el que se ven afectados:

*Robo de datos

*Denegación de servicio en la red

*Manipulación de datos

*Falseo de direcciones

*Clonación de mac

.

  • ¿cómo funciona NARPA?

NARPA almacena la información de la red en variables y monitoriza la red en espera de paquetes que se hagan pasar por el gateway de la red comparándolos con las variables guardadas y asi obtener su ip.

Tras esto genera paquetes de pregunta (request) que envía a los hosts que han sido atacados y cuyo contenido son las macs verdaderas de los hosts de la red

Después genera varios paquetes de respuesta (reply) para contrarestar los paquetes reply del equipo atacante.

Al mismo tiempo manda paquetes que aislan al atacante de la red, pero su ataque sigue en proceso ya que las direcciones mac del ataque no están en la tabla arp del atacante, sino almacenadas en el programa atacante (cain,ettercap…) con lo cual contra este tipo de programas el ataque no lo solucionamos aislando al equipo, pero al menos tenemos la ventaja de que el atacante está aislado de la red.

Por último,  y a cuenta del caso más común como el anterior,  se queda esperando ataques “reply” del atacante, y al instante que los detecta, NARPA contraataca esos paquetes con las direcciones reales a los hosts, y de esta manera conseguimos derrotar al ataque

.

  • ¿qué tipos de ataques arp hay?

Arp spoofing o Arp poisoning:

Hace creer a otro u otros equipos que tu equipo es otro equipo de la red haciéndose pasar por él.

Esto provoca robo de información al pasar a través del atacante si el mismo la redirecciona al destino a la que estaba dirigida, o una denegación de servicio si se engaña con una dirección que no existe en la red.

DoS (Denegación de servicio):  Mentir sobre una dirección perteneciente a una mac inexistente, con lo que el o los hosts no podrán acceder a ese host falseado.

Man in the Middle: Engañar en ambos sentidos de la conexión, con lo cual se tiene el acceso a la manipulación de la información que pasa por el host atacante.

.

  • ¿qué otras formas existen para protegerse?

-Uso de una tabla arp estática

-Bloqueo del trafico arp entrante (firewall en windows, modificando configuración en linux)

-Uso de un programa detector/protector de ataques arp (winarpwatch, arpon)

.

  • ¿qué defecto tienen las formas actuales de protegerse?

Las formas actuales de proteción involucran a la modificación de todos los hosts de la red lo cual hace que sean soluciones poco factibles y agradables para la administración.

Otro efecto inconveniente que se da con la protección de tablas estáticas es que al cambiar de gateway sería necesario volver a actualizar de nuevo todos los hosts de la red con la nueva mac correspondiente.

Incluso con lo anterior mencionado contamos con que el trafico desde el gw/router hacia los hosts no estaría protegido, ya que el gw/router no estaría contando con estas protecciones.

.

  • ¿qué herramientas existen para realizar este tipo de ataques?

-Cain & abel (windows)

-ettercap (windows/linux)

-dsniff  (linux)

-arp_sk (windows/linux)

-Muchas otras herramientas generadoras de paquetes arp falsos.

.

  • ¿que requisitos son necesarios para usar el programa?

-Sistema operativo Windows *Testeado en XP contra cain y ettercap

-Paquete Winpcap Version 3.0

*Algunos adaptadores de red de pc’s portátiles no son detectados

*[próximamente versión para linux]

.

  • ¿porqué es necesario el winpcap 3.0?

Este paquete es necesario ya que contiene librerías que facilitan el acceso a las interfaces de red, y este proyecto se basa en el programa winarp_sk que también hace uso de las mismas en la versión 3.0.

.

  • ¿qué defectos tiene el contraataque del proyecto?

*Para que el contraataque funcione el atacante debe atacar al host local independientemente de los demás hosts que esté atacando e independientemente de si es un ataque arp request o arp reply.  (normalmente los ataques se realizan contra toda la red).

*Genera 3*Numero_de_hosts_conectados paquetes cada vez que el atacante realiza un ataque, normalmente los ataques son realizados cada 30 segundos (cain y ettercap)

*la versión actual del proyecto trabaja con redes de clase C (máx.253 hosts)

*la versión actual del proyecto no contraataca a mas de un atacante al mismo tiempo.


No comments yet

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: