HOla Hebert!

Respondiendo a tus consultas:

«Que pasa en un switch cuando hay 2 dispositivos con la misma IP y la misma MAC (una clonada)? Se hace balanceo de carga?»

Todo depende del sistema operativo, pero generalmente cuando intentas ingresar a la red con la IP que ya existe, ese dispositivo no tendrá comunicación en la red, ¿por qué?… porque primero se envía un mensaje ARP consultando si otro dispositivo ya tiene la IP que quieres utilizar, como otro dispositivo responderá que ya tiene esa IP, tu dispositivo que está intentando utilizar esa IP duplicada no tendrá comunicación en la red. En el caso de un ataque de clonación de IP esto es diferente, porque el programa provoca que no se pregunte si se está utilizando una determinada IP en la red, simplemente envía un mensaje notificando que una IP corresponde a una determinada dirección MAC, provocando que los dispositivos receptores de ese mensaje actualicen sus tablas ARP (ARP cache). En ambos casos solo 1 dispositivo recibirá los paquetes. El balanceo de carga a nivel de paquetes va depender del enrutamiento configurado en el caso que los dispositivos se encuentran separados por un dominio de capa 3.
Respecto a las direcciones MAC clonadas. El problema real se presenta cuando las 2 PCs con la misma dirección MAC se encuentran en el mismo segmento de red o en el mismo switch, en síntesis, el switch va aprender la dirección MAC clonada en diferentes puertos en diferentes momentos, esto va provocar un «MAC flapping» tal cual como lo vimos en los loops de capa 2 en las clases de spanning-tree, las tramas van a ser enviadas a los dispositivos clonados de acuerdo a donde se aprenda la dirección MAC en un determinado momento; si el switch aprendió la dirección MAC clonada en el puerto 1, enviara las tramas destinadas a esa MAC por ese puerto 1… si a continuación recibe una trama de la PC2 con la MAC clonada en el puerto 2, eliminara el aprendizaje de la MAC clonada en el puerto 1, y ahora asumirá que la PC2 con la MAC clonada se encuentra en el puerto 2 y por lo tanto enviara las tramas destinadas a esa MAC por ese puerto 2. En este caso no existe el concepto de balanceo de carga, ya que todo va depender del aprendizaje MAC que haga el switch de acuerdo a las tramas que le van llegando de las PCs con las MAC clonadas, y de esto va depender que se vea afectada la comunicación de ambos dispositivos.

Respecto a tu segunda consulta:

Y cuando tenemos activado DAI e intentamos conectarnos clonando la MAC y la IP del router, DAI compara el puerto?, es decir, se da cuenta de que ya hay esa mac e ip en otro puerto.

En lo que se basa el switch para determinar si una trama es correcta o n (legal o no), es en la tabla DHCP Snooping, el atacante previamente ha tenido que solicitar parámetros de direccionamiento del servidor DHCP… y por lo tanto cuando intente clonar la dirección IP del router, el switch se va dar cuenta que esa MAC no corresponde a esa IP del atacante (basándose en la entrega de DHCP), y por lo tanto va descartar sus tramas. En el caso que intentes clonar la IP y la MAC del gateway, esto quiere decir que has tenido que configurar tus parámetros de direccionamiento de manera estática sin DHCP, y por defecto DAI descarta todos los paquetes/tramas si no encuentra una entrada de DHCP snooping en un puerto en particular. Como la PC del atacante no realizó una solicitud DHCP en el puerto, no existe entrada registrada en su puerto y por lo tanto se descartan todos sus paquetes/tramas.

Respecto a tu última consulta:

Al mandar un mensaje ARP gratuitous, basta con actualizar la mac?, porque la computadora recibiría paquetes con IP de destino del gateway, eso no haría que la computadora descarte el paquete al no ser su ip? (El programa puede quedarse con esos paquetes?)

Tienes que tener en consideración, que en realidad la PC del atacante no está «recibiendo y procesando paquetes destinados a la IP clonada», en realidad lo que hace la computadora es simplemente engañar a la red para que las tramas viajen a su interface y nosotros podamos capturarlas con algún analizador de trafico como Wireshark, esto es lo mismo que ocurre con las tramas multicast que no se encuentran destinadas a nuestro dispositivo, si bien descartamos esas tramas para ser procesadas en el caso que no nos encontremos el mismo grupo multicast, esto no significa que no podamos capturarlas y analizarlas.
La computadora del atacante NO procesa los paquetes con algún tipo de aplicación como lo haría el dispositivo con la IP original. Los paquetes/tramas que se capturan, NO van a ir a algún proceso de aplicación porque el dispositivo atacante no ha sido el que inicio el proceso de aplicación.

Espero que ahora quede más claro el panorama.

Atento a tus comentarios.

• Esta respuesta fue modificada hace 2 años, 7 meses por AlvaroM.

Buenas tardes.. he estado probando DAI en packet tracer, Y en un puerto untrusted conecté una PC configurada con IP estatica, pero sigue haciendo ping a los dispositivos de mi red.

Hola Hebert!

Recibí tu topología, hice las pruebas pertinentes, y definitivamente ese comportamiento NO es correcto, así que como indican de manera general, las funciones de DHCP Snooping y DAI tienen fallas en PT.
Construí 2 topologías totalmente iguales en Packet Tracer y GNS3, y en GNS3 si funciona de manera correcta DAI (VPCs, 7200 Router y Switch IOSvL2), una vez que configuras una IP estática e intentas comunicarte en la red, esta comunicación NO va funcionar debido a las restricciones por defecto de DAI.

Atento a tus comentarios!

Saludos cordiales.