ARP
¿Qué es ARP?
ARPProtocolo de capa de enlace (RFC 826) que asocia una dirección IPv4 con la dirección MAC de un host del mismo dominio de difusión para poder entregar tramas.
El Address Resolution Protocol está definido en la RFC 826 (1982) y opera en la frontera entre la capa de enlace y la capa de red. Cuando un host necesita enviar un paquete IPv4 a un destino de la misma subred, emite en difusión un ARP request ("¿quién tiene 192.168.1.1?") y el dueño responde con su dirección MAC. La asociación se almacena en la caché de la tabla ARP para las tramas posteriores.
flowchart TD H[Host A quiere 192.168.1.1] -->|"difusión: ¿quién tiene .1?"| LAN[(Dominio de difusión)] LAN --> GW[Gateway .1] LAN --> ATK[Atacante] GW -->|"respuesta: .1 es aa:bb:cc"| H ATK -->|"respuesta gratuita: .1 es mi MAC"| H H -.->|caché envenenada| ATK ATK -->|reenvía / escucha| GW
ARP carece de autenticación, por lo que cualquier host del segmento puede responder o enviar respuestas gratuitas no solicitadas. Esto habilita el ARP spoofing / ARP poisoning, que redirige el tráfico a través de un atacante para su escucha o manipulación: la primitiva clásica de ataque on-path (man-in-the-middle), automatizada por herramientas como arpspoof (de dsniff), Ettercap y Bettercap. Como las respuestas sobrescriben las entradas de la caché sin ningún desafío, bastan unos pocos paquetes por segundo para mantener el secuestro. Entre las defensas en switches gestionados está la Dynamic ARP Inspection (DAI), que valida las respuestas contra la tabla de enlaces (binding table) del DHCP snooping, además de entradas ARP estáticas para hosts críticos, port security y la segmentación de las fronteras de confianza con VLAN. IPv6 abandona ARP en favor de Neighbor Discovery (ICMPv6, RFC 4861), cuya extensión SEND (RFC 3971) añade direcciones generadas criptográficamente para resistir esta misma clase de suplantación.
● Ejemplos
- 01
Wireshark muestra los ARP requests y replies cuando un equipo arranca y aprende la MAC de su gateway predeterminado.
- 02
Un atacante envía ARP replies gratuitos afirmando ser dueño de la IP del gateway y redirige el tráfico de la LAN.
● Preguntas frecuentes
¿Qué es ARP?
Protocolo de capa de enlace (RFC 826) que asocia una dirección IPv4 con la dirección MAC de un host del mismo dominio de difusión para poder entregar tramas. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa ARP?
Protocolo de capa de enlace (RFC 826) que asocia una dirección IPv4 con la dirección MAC de un host del mismo dominio de difusión para poder entregar tramas.
¿Cómo defenderse de ARP?
Las defensas contra ARP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para ARP?
Nombres alternativos comunes: Protocolo de resolución de direcciones.