Fundamentos · Módulo 3 de 6

IP, MAC y ARP

Este es el módulo que más se cita en ataques y defensas reales — "ARP spoofing", "ARP poisoning", "IP spoofing" — así que vale la pena entenderlo bien, sin apuro.

Dos direcciones distintas para dos trabajos distintos

Todo dispositivo en una red tiene, al mismo tiempo, dos direcciones diferentes: una dirección IP y una dirección MAC. Que existan las dos al mismo tiempo es justamente lo que más confunde al principio.

Capa 3 · Red

Dirección IP

Como 192.168.1.34. Es la dirección "lógica": puede cambiar, depende de la red a la que te conectás, y sirve para viajar largas distancias (de tu casa a un servidor en otro país).

Capa 2 · Enlace

Dirección MAC

Como 3C:E9:F7:2A:11:9B. Es la dirección "física", grabada en la placa de red de fábrica. Casi nunca cambia, y solo sirve para identificarte dentro de tu red local.

Analogía

Tu dirección IP es como tu dirección postal: "Calle Falsa 123, tal barrio, tal ciudad" — sirve para que una carta te llegue desde cualquier parte del mundo, pero puede cambiar si te mudás. Tu dirección MAC es como tu documento de identidad: es un número único de fábrica que te identifica sin ambigüedad, pero solo lo pide gente que ya está en el mismo edificio que vos (tu red local), no alguien del otro lado del país.

El problema que resuelve ARP

Acá está el quid de la cuestión: cuando tu compu quiere mandarle algo a otro dispositivo de tu misma red (por ejemplo, tu router), sabe su dirección IP... pero dentro de la red local, los switches en realidad reparten el tráfico usando direcciones MAC, no IP. Entonces tu compu necesita preguntar: "¿quién tiene la IP 192.168.1.1? decime tu MAC".

Esa pregunta y esa respuesta son exactamente lo que hace ARP (Address Resolution Protocol, "protocolo de resolución de direcciones"): traduce una IP conocida a la MAC que le corresponde, dentro de la red local.

CÓMO FUNCIONA ARP, PASO A PASO
1

Tu compu quiere hablar con 192.168.1.1 (tu router) pero no sabe su MAC.

2

Manda un mensaje a toda la red local (un "broadcast") preguntando: "¿quién es 192.168.1.1?"

3

Solo el router, que reconoce su propia IP, responde: "Soy yo, mi MAC es 3C:E9:F7:2A:11:9B".

4

Tu compu guarda esa relación IP↔MAC en una tabla temporal (la "tabla ARP") para no tener que volver a preguntar cada vez.

El punto débil: ARP confía ciegamente

ARP fue diseñado en los años 80, cuando nadie pensaba en atacantes. El protocolo no verifica que la respuesta venga realmente de quien dice ser. Si un dispositivo malicioso responde antes que el router diciendo "la IP 192.168.1.1 soy yo", tu compu le va a creer sin cuestionarlo. Esa mentira es la base de un ataque llamado ARP spoofing (o ARP poisoning), que van a ver en detalle en el módulo de Explotación del camino Red Team.

Por qué esto importa para Red Team

Con ARP spoofing, un atacante en la misma red local puede hacerse pasar por el router. Así, todo el tráfico de la víctima pasa primero por la máquina del atacante antes de seguir su camino real — esto se llama ataque de Man-in-the-Middle (hombre en el medio), y permite espiar o modificar tráfico ajeno.

Por qué esto importa para Blue Team

Los defensores monitorean cambios sospechosos en las tablas ARP de la red: si de golpe la IP del router "cambia" de MAC sin razón aparente, es una señal fuerte de un ataque ARP en curso. Herramientas como arpwatch existen específicamente para detectar esto.

LAB GUIADO · ver tu propia tabla ARP
1

Abrí la terminal.

2

Escribí arp -a (funciona en Windows, Mac y Linux).

3

Vas a ver una lista de direcciones IP de tu red local, cada una con su MAC correspondiente. Esa es la "libreta de contactos" que tu compu armó preguntando con ARP.

4

Buscá la fila de tu router (generalmente termina en .1, como 192.168.1.1) y anotá su MAC. Vas a volver a ver este dato en el módulo de Explotación.

Ponete a prueba

1. ¿Para qué sirve ARP?

2. ¿Por qué ARP es vulnerable a ataques?

3. La dirección MAC, a diferencia de la IP...