se puede desconectar a un equipo de la red

Es relativamente sencillo hacerlo en la subred local (no seria posible desde internet).
Simplemente un paquete ARP a tu maquina engañandola o cambiando las MAC que tiene en la cache ARP.
(es por diseño del tcp, es decir, cualquier maquina, con cualquier sistema operativo y que este en tu sibred local, se la puede dejar ciega siempre -si tienes hub's. con switchs es mas dificil, pero tambien posible-)

Veamos un poco primero como funciona el tcp/ip. Los mensajes que salen de nuestra maquina van dirigidos siempre a una direccion "fisica" (a una MAC). -excepto los mensajes broadcasting, pero vamos a olvidarnos de estos por el momento-

Por tanto, la pila tcp/ip debe resolver la direccion fisica de la maquina destino. El funcionamiento del tcp/ip, siempre intenta resolver direcciones IP pero la salida fisica del mensaje es a una MAC. La manera de resolverlo es:

1) Investigar si la IP destino está en nuestra red local. La manera es realizar un AND (bit a bit) de la direccion origen (la nuestra) y la mascara, y la direccion destino y la mascara de red. Si son iguales, pertenece a nuestra subred.

2) Si *NO* pertenece a nuestra subred, se investiga en la tabla de rutas (verla mediante comando: route print) y se enviará a la puerta de enlace (gateway) correspondiente.

3) Si pertenece a nuestra subred, se envia a la red local.

Ahora bien, cuando decimos *se envia* ¿que queremos decir? simple: que se envia a la direccion FISICA (MAC) correspondiente.

El tema está ¿como se saben estas direcciones MAC?

Para ello existe el protocolo ARP.
Los sistemas operativos tienen una caché de ARP en la cual tienen unas tablas de direcciones IP y sus MAC. Si en nuestra maquina ejecutamos el comando:

arp -a

veremos las que tenemos en este momento.

¿Como se alimenta dicha tabla?: Pues precisamente con el protocolo ARP. A la hora de resolver a donde enviar un mensaje, se mirtra primero en la tabla de ARP. Si no existe, se envia un mensaje ARP por difusion (broadcasting), es decir, dirigido a toda la red y la maquina que tenga esa IP responderá. Automaticamente el sistema operativo se la guardará en la tabla ARP y a partir de ese momento la usará. Estas direcciones MAC, seran tanto de las maquinas de nuestra subred como de la puerta de enlace.

Con esto queda resuleto el tema de envio de mensajes a direcciones fisicas.

Ahora bien... ¿posibles problemas de seguridad en esto?: sencillo: debido a ese mecanismos de funcionamiento, si nuestra maquina recibe un mensaje ARP con una IP y una MAC... se lo creerá (no le queda otro remedio, es precisamente una caracteristica inherente al protocolo y sino no funcionaria el tcp/ip).

Fijemonos, y esto es importante: SOLO se transmiute el ARP en nuestra subred local. Por tanto no es posible un ataque de estos desde internet. (pero pueden ser sensibles las subredes de ciertos proveedores de internet que te dan una direccion privada en vez de una publica).

A lo que ibamos... si alguien desde nuestra subred envia un mensaje ARP dandonos que la direccion del gateway de salida es la MAC de su propia maquina (por ejemplo), todos los mensajes que fuesen a salir de nuestra maquina al gateway, iran a la MAC de esa persiona maliciosa: a su maquina (que a su vezm y una vez analizado el contenido del mensaje puede reenviarlo realmente al gateway y por tanto para nostoros nos funcionará todo: PERO los mensajes han pasado por su maquina, por tanto han sido interceptados y leido su contenido).

Soluciones para esto: bien, lo primero usar SWITCHS en la red, en vez de HUB. Un SWITCH tiene las MAC de la subred y redirige los mensajes a la maquina especifica. Un HUB reenvia los mensajes a todas las bocas... por tanto aparte de perder tiempo y aumentar el trafico en la red... tambien permitiria que nos "escuchasen".

Tampoco es fiable: ya que hay tecnicas de inundar a mensajes con direcciones MAC a un SWITCH de tal manera que se le desborden sus tablas internas y a partir de ese momento podrian pasar limpiamente los mensajes como en un HUB. Pero al menos, algo hace de proteccion.

Espero que esto te ayude a comprender el mecanismo de funcionamiento del tcp.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"chelo" wrote in message news:2612901c462a5$fe025c70$
hola!

una cosa rara que nunca habia visto: un compañero de
trabajo se ha apostado con nosotros que era capaz de
desconectar de la red cualquier maquina con cualquier
sistema operativo y nos ha hecho una demostracion de dejar
sin red a un windows 98, a un XP y a un linux. (todos, que
sepamos, estaban al dia)

no sabemos lo que ha hecho porque no nos ha dejado mirar.
Pero no ha tardado nada. Ha habido que reiniciar las
maquinas para tener red de nuevo.

¿como es esto? y ademñas, ¿no es peligroso ya que nos lo
pueden hacer desde internet?

saludos!

anonadada me he quedado :-)

despues de esto... me voy a estudiar !

muchisimas gracias.!

Es relativamente sencillo hacerlo en la subred local (no

seria posible desde internet).

Simplemente un paquete ARP a tu maquina engañandola o

cambiando las MAC que tiene en la cache ARP.

(es por diseño del tcp, es decir, cualquier maquina, con

cualquier sistema operativo y que este en tu sibred local,
se la puede dejar ciega siempre -si tienes hub's. con
switchs es mas dificil, pero tambien posible-)

Veamos un poco primero como funciona el tcp/ip. Los

mensajes que salen de nuestra maquina van dirigidos
siempre a una direccion "fisica" (a una MAC). -excepto los
mensajes broadcasting, pero vamos a olvidarnos de estos
por el momento-

Por tanto, la pila tcp/ip debe resolver la direccion

fisica de la maquina destino. El funcionamiento del
tcp/ip, siempre intenta resolver direcciones IP pero la
salida fisica del mensaje es a una MAC. La manera de
resolverlo es:

1) Investigar si la IP destino está en nuestra red local.

La manera es realizar un AND (bit a bit) de la direccion
origen (la nuestra) y la mascara, y la direccion destino y
la mascara de red. Si son iguales, pertenece a nuestra
subred.

2) Si *NO* pertenece a nuestra subred, se investiga en la

tabla de rutas (verla mediante comando: route print) y se
enviará a la puerta de enlace (gateway) correspondiente.

3) Si pertenece a nuestra subred, se envia a la red local.

Ahora bien, cuando decimos *se envia* ¿que queremos

decir? simple: que se envia a la direccion FISICA (MAC)
correspondiente.

El tema está ¿como se saben estas direcciones MAC?

Para ello existe el protocolo ARP.
Los sistemas operativos tienen una caché de ARP en la

cual tienen unas tablas de direcciones IP y sus MAC. Si en
nuestra maquina ejecutamos el comando:

arp -a

veremos las que tenemos en este momento.

¿Como se alimenta dicha tabla?: Pues precisamente con el

protocolo ARP. A la hora de resolver a donde enviar un
mensaje, se mirtra primero en la tabla de ARP. Si no
existe, se envia un mensaje ARP por difusion
(broadcasting), es decir, dirigido a toda la red y la
maquina que tenga esa IP responderá. Automaticamente el
sistema operativo se la guardará en la tabla ARP y a
partir de ese momento la usará. Estas direcciones MAC,
seran tanto de las maquinas de nuestra subred como de la
puerta de enlace.

Con esto queda resuleto el tema de envio de mensajes a

direcciones fisicas.

Ahora bien... ¿posibles problemas de seguridad en esto?:

sencillo: debido a ese mecanismos de funcionamiento, si
nuestra maquina recibe un mensaje ARP con una IP y una
MAC... se lo creerá (no le queda otro remedio, es
precisamente una caracteristica inherente al protocolo y
sino no funcionaria el tcp/ip).

Fijemonos, y esto es importante: SOLO se transmiute el

ARP en nuestra subred local. Por tanto no es posible un
ataque de estos desde internet. (pero pueden ser sensibles
las subredes de ciertos proveedores de internet que te dan
una direccion privada en vez de una publica).

A lo que ibamos... si alguien desde nuestra subred envia

un mensaje ARP dandonos que la direccion del gateway de
salida es la MAC de su propia maquina (por ejemplo), todos
los mensajes que fuesen a salir de nuestra maquina al
gateway, iran a la MAC de esa persiona maliciosa: a su
maquina (que a su vezm y una vez analizado el contenido
del mensaje puede reenviarlo realmente al gateway y por
tanto para nostoros nos funcionará todo: PERO los mensajes
han pasado por su maquina, por tanto han sido
interceptados y leido su contenido).

Soluciones para esto: bien, lo primero usar SWITCHS en la

red, en vez de HUB. Un SWITCH tiene las MAC de la subred y
redirige los mensajes a la maquina especifica. Un HUB
reenvia los mensajes a todas las bocas... por tanto aparte
de perder tiempo y aumentar el trafico en la red...
tambien permitiria que nos "escuchasen".

Tampoco es fiable: ya que hay tecnicas de inundar a

mensajes con direcciones MAC a un SWITCH de tal manera que
se le desborden sus tablas internas y a partir de ese
momento podrian pasar limpiamente los mensajes como en un
HUB. Pero al menos, algo hace de proteccion.

Espero que esto te ayude a comprender el mecanismo de

funcionamiento del tcp.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




"chelo" wrote in

message news:2612901c462a5$fe025c70$

hola!

una cosa rara que nunca habia visto: un compañero de
trabajo se ha apostado con nosotros que era capaz de
desconectar de la red cualquier maquina con cualquier
sistema operativo y nos ha hecho una demostracion de

dejar

sin red a un windows 98, a un XP y a un linux. (todos,

que

sepamos, estaban al dia)

no sabemos lo que ha hecho porque no nos ha dejado mirar.
Pero no ha tardado nada. Ha habido que reiniciar las
maquinas para tener red de nuevo.

¿como es esto? y ademñas, ¿no es peligroso ya que nos lo
pueden hacer desde internet?

saludos!
.

chelo formulated on Lunes :

anonadada me he quedado :-)

yo también ;-)

buena explicación la de JM.

Saludos
Caterpillar 1.0