Arp

Saludos:::


Si en la captura de trafico de una red se muestra algo como:

Mac atacante: xx:xx:xx:00:01
Ip atacante: xxx:xxx:xxx:11
Mac victima: xx:xx:xx:00:02
ip victima: xxx.xxx.xxx.00.12

Origen | Destino | Protocolo |Info
xx:xx:xx:00:01 | Broadcast | ARP | Who has xxx.xxx.xxx.10? Tell xxx:xxx:xxx:11
xx:xx:xx:00:01 | Broadcast | ARP | Who has xxx.xxx.xxx.24? Tell xxx:xxx:xxx:11
xx:xx:xx:00:01 | Broadcast | ARP | Who has xxx.xxx.xxx.52? Tell xxx:xxx:xxx:11
xx:xx:xx:00:01 | Broadcast | ARP | Who has xxx.xxx.xxx.57? Tell xxx:xxx:xxx:11
xx:xx:xx:00:01 | Broadcast | ARP | Who has xxx.xxx.xxx.64? Tell xxx:xxx:xxx:11
xx:xx:xx:00:01 | Broadcast | ARP | Who has xxx.xxx.xxx.80? Tell xxx:xxx:xxx:11
xx:xx:xx:00:01 | Broadcast | ARP | Who has xxx.xxx.xxx.82? Tell xxx:xxx:xxx:11
xx:xx:xx:00:01 | Broadcast | ARP | Who has xxx.xxx.xxx.91? Tell xxx:xxx:xxx:11
xx:xx:xx:00:02 | xx:xx:xx:00:01 | ARP | xxx.xxx.xxx.00.12 is at xx:xx:xx:00:02


Que parametros para el comando arp uso el atacante para obtener esta informacion?

Gracias de antemano..

El "atacante" esta haciendo un barrido del segmento de red (escaneando las ips, p.e para un segemento de clase c de la xxx.xxx.xxx.1 a la xxx.xxx.xxx.254), ya sea haciendo un ping o intentando conectarse a cualquier socket de los destinos. En definitiva generando trafico con algun protocolo en la red.

Entonces la capa 2 (enlace de datos - mac - rp - ...) hace un broadcast de capa 2 ( FF:FF:FF:FF:FF:FF ) preguntando a todas las nics del dominio de broadcast quien tiene determinada ip. la nic que la tenga y no tenga ninguna regla de firewall que la impida contestar, contestará al origen de la peticion, diciendo donde esta esa ip:

xx:xx:xx:xx:00:02 | xx:xx:xx:xx:00:01 | ARP | xxx.xxx.xxx.00.12 is at xx:xx:xx:00:02

Es decir que la nic victima le dice a la nic atacante que el tiene la ip xxx.xxx.xxx.00.12

Salu2

dogduck Gracias por responder!!
pero me gustaria saber algo mas a alto nivel, una vez estando el atacante frente a la consola de comandos, cuales fueron los introducidos??
por ejemplo:
arp -a

Salu2.

el tráfico arp (capa 2 o enlace de datos, trabaja con las MACs) se genera por demanda de las capas superiores (aplicacion > presentacion > sesión > transporte > red > enlace de datos > física).

arp -a , te sirve para visualizar la tabla arp de tu host

Si yo simplemente hago un ping desde PC A a PC B, y no tengo en mi tabla arp (la que enlaza MACs con IPs) la mac de PC B, entonces el sistema operativo manda hacer un broadcast de capa 2 (FF:FF:FF:FF:FF:FF) preguntando quien tiene la IP de PC B. Es decir que usa el protocolo arp para averiguar la mac de cierta IP.

Una vez sepa la MAC de PC B (si PC B esta detrás de un router será la mac del interfaz del router) comienza el envío del ping con mac destino la que ha averiguado el protocolo arp e ip destino la de PC B
salu2

ya estoy entendiendo..
gracias por tu tiempo..
ahi te va algo de karma