ARP Spoofing

ARP - Address Resolution Protocol é utilizado para mapear IP address para MAC address em um seguemento de rede local. Normalmente um host envia uma requisição ARP broadcast para encontrar o MAC address de outro host com um IP particular e uma resposta ARP vem do host que possui o endereço MAC

ARPs não solicitados são chamados de GARP = Gratuitous ARP

GARP pode ser explorado por um malicioso Attacker para "spoof" a identidade de um IP address da rede utilizando assim para pegar a identidade entre dois hosts ou todo o tráfego enviado para o default gateway in a man-in-the-middle attack.

Quando uma resposta ARP e enviada, um Attacker pode fazer o seu sistema aparecer como o destino. A resposta ARP causa ao remetente para armazenar o MAC address do Attacker no ARP cache. Esse MAC também é armazenado na tabela CAM. Isso permite que o Attacker intercept os frames destinados ao host que ele esta spoofing.

Arp Spoofing Attackes tentam redirecionar o trafego para um host atacking enviando uma mensagem ARP com um identidade forjada

DAI - Dynamic ARP Inspection:

• Mapeia o IP para MAC bindings das transações do DHCP para proteger contra ARP Poisoning
• DAI associa cada interface com trusted or untrusted state

Exemplo de Configuração:

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 110
Switch(config)# ip arp inspection vlan 110

Switch(config-if)#  ip dhcp snooping trust
Switch(config-if)#  ip arp inspection trust