Conectando Arduino a la WiFi (II)

En el post anterior me quedé en el conexionado del prototipo de lo que va a ser mi futura estación remota. Una vez completada la parte de conexión le toca el turno al software. Voy a empezar con un sketch muy sencillo que adapté mínimamemte de uno obtenido de Internet. La idea es ir probando los comandos AT.

El sketch es el siguiente:

image

Inicialmente establezco la velocidad de comunicación con la consola y con el módulo ESP8266 a 115200 baudios, inicializo la consola serie y el módulo. El proceso es sencillo, si hay caracteres disponibles en uno de los dispositivos (consola o módulo WiFi) los leo y los escribo en el otro módulo.

Lo primero que hago es buscar la documentación del módulo y veo que se encuentra disponible online en GitHub, en concreto aquí.

Conecto el arduino con el cable USB

Imagen3

Aparecen caracteres extraños, los comandos AT funcionan (aparentemente) pero la salida que se ve en la consola, en algunos casos, no se entiende.

Investigo un poco más y encuentro varias pistas para resolver el problema. Al parecer hay dos problemas:

  1. El módulo ESP8266 utiliza niveles de 3,3V y el Arduino los niveles lógicos que emplea son de 5V por lo que es necesario adaptarlos. Probé poniendo un potenciómetro de 10K Ohmios en la línea de transmisión de Arduino al ESP para reducir la tensión a 3,3V y, aparentemente funciona pero, lo que no se puede hacer con resistencias es aumentar la tensión de 3,3 a 5V. Al final, lo que hice fue comprar un convertidor de niveles lógicos (menos de 3€) y me quito el problema de encima.
  2. La segunda parte del problema tiene que ver con el módulo SoftwareSerial de Arduino. Al parecer, no soporta velocidades de transmisión elevadas así que lo que voy a hacer es reducir la velocidad de transferencia hasta que funcione correctamente.

Aprovechando que me acerqué a la tienda de electrónica para comprar el convertidor de niveles lógicos, me compré un Arduino Nano. El esquema del nuevo circuito es:

ESP8266-2_bb

ESP8266-2_schem

Y el aspecto que tiene en la realidad es:

image

Una vez verificadas las conexiones estoy listo para comenzar a tirar comandos AT para probar las capacidades del módulo ESP. La documentación del ESP8266 se encuentra aquí y el manual con el conjunto de comandos AT soportados se puede descargar de aquí (documento pdf).

Tras repasar someramente el manual (leerme el índice) voy a empezar a probar algunos comandos AT. Lo primero que voy a hacer es restaurar la unidad a los parámetros de fábrica (comando AT+RESTORE). El resultado es, obviamente, que deja de funcionar. Probablemente, al restaurar los parámetros de fábrica la velocidad de comunicación se resetea a 115.200 baudios. Por lo tanto, lo que hago es retocar el sketch de Arduino y volverlo a arrancar.

Aparecen caracteres raros en el display así que voy a reducir la velocidad de transmisión a 57.600 baudios. Para ello, lanzo el comando:

AT+UART_DEF=57600,8,1,0,0

Los parámetros son 57.600 baudios, 8 bits de datos, 1 bit de parada, sin paridad (0) y sin control de flujo (0). Tengo que volver a cambiar el sketch para la nueva velocidad.

image

Cargo el nuevo sketch, y una vez descargado al Nano desconecto y conecto la fuente de alimentación a la que tengo conectado el ESP. El resultado es el siguiente:

image

Lo que voy a hacer a continuación es comprobar la versión, conectarme a la WIFI doméstica y verificar que estoy conectado:

  • AT+CWMODE=1. Para establecer el modo estación.
  • AT+CWJAP=”essid”,”passwd” para conectarme a la WiFi doméstica.
  • AT+CIFSR para averiguar la dirección IP asignada.

imageimageImagen8

Al parecer estoy conectado. Voy a comprobar si hay ping tanto dentro de mi red doméstica como en Internet:

image

Parece que hay ping, vamos a ver si responde a ping …

image

Hasta ahora todo correcto, en el siguiente post seguiré avanzando en el setup de comunicaciones.

Conectando Arduino a la WiFi (I)

Una vez decidido a arrancar mi proyecto IoT y, habiendo decidido que la interconexión entre los distintos dispositivos va a implementarse sobre WiFi, necesito ver la forma de conectar los microcontroladores Arduino a la red inalámbrica.

Explorando un poco por Internet descubro que uno de los módulos WiFi más empleados y con más referencias es el ESP8266. El ESP8266 es un sistema en chip (SOC) que tiene integrada la pila de protocolos TCP/IP y que proporciona acceso a la WiFi a los controladores. Este módulo permite, al microcontrolador, externalizar toda la carga de la comunicación. Sin más investigación previa, me decidí a comprar una unidad en mi proveedor habitual (Amazon) su precio (8€ puesto en casa) me pareció adecuado y su funcionalidad, de acuerdo a lo leído, más que apropiada.

image

Lo que más me sorprendió al recibirlo fue su pequeño tamaño. Quitando el espacio dedicado a las conexiones, no es más grande que la uña del dedo pulgar:

image

Una vez recibido, me propongo conectarlo para empezar a hacer pruebas pero, leyendo más en internet, descubro que recomiendan que la unidad no se alimente desde el pin del Arduino UNO ya que, al parecer, si se hace de este modo, se producen cortes en la comunicación con el microcontrolador. Por lo tanto, decido comprar una placa para una fuente de alimentación externa. En este caso se trata de una WINGONEER MB102 3.3V/5V (6,99€ puesta en casa en Amazon).

image

Configuro los jumpers para que dé una salida de 3,3V, la conecto a una fuente de alimentación y compruebo la salida con un polímetro verificando que el voltaje de salida es adecuado. Todo está OK y tengo los materiales necesarios para montar la placa del prototipo. Aquí están en una foto de familia:

image

Voy a proceder a realizar las conexiones. El esquema de pines del módulo ESP8266 es como sigue:

image

Las conexiones a realizar son:

ESP8266 Breadboard/Arduino
GND GND
TXD Pin 3 Arduino
CH_PD 3,3V
VCC 3,3V
RXD Pin 2 Arduino

En algunos sitios recomiendan no conectar directamente TXD y RXD a los correspondientes pines de Arduino. Las salidas de Arduino son de 5V y el ESP8266 funciona a 3,3V. Inicialmente, voy a emplear dos potenciómetros de 10KOhmios para hacer de divisores de tensión. La prueba no funciona y la unidad, como funciona es conectada directamente a los pines del Arduino.

Lo que sí es importante es que todas las masas estén conectadas para tener una referencia común del voltaje.

El esquema queda como sigue:

ESP8266_bb

ESP8266_schem

Reviso las conexiones una vez más y procedo a conectar un cable USB al Arduino y la fuente de alimentación a la placa de alimentación de la placa del prototipo.

image

En el siguiente post entraré con el software.

Reventando la autenticación de sistema abierto WEP

El objetivo de este post es ver cómo se obtiene la clave de una red WiFi protegida por autenticación de sistema abierto (Open System Authentication) mediante un ataque de fragmentación.

En primer lugar, voy a configurar el punto de acceso para que emplee este tipo de seguridad, adicionalmente, para estas pruebas iniciales, voy a quitar el filtrado MAC que, por otra parte, se cómo saltármelo.

Accedo al punto de acceso a través de la interfaz web de gestión y veo las opciones de seguridad:

Imagen20

Las opciones de seguridad tienen que ver, no sólo con la autenticación sino con el cifrado de la comunicación. Voy a establecer la opción WEP Open System y a definir la clave de acceso:

Imagen21

Como se ve voy a usar una clave de 40 bits (5 bytes) bien sencillita. Lo bueno que tiene LuCi es que, según vas escribiendo la clave, el color es rojo y se pone en negro cuando es una clave válida. Salvo y aplico la nueva configuración.

image

Como se ve, la configuración aplicada es cifrado WEP de sistema abierto empleando una clave de 40-bits.

En un post anterior, vimos la secuencia de autenticación y asociación de 802.11, voy a echarle un ojo a las tramas intercambiadas. Para ello, voy a conectarme con el cliente legítimo (Raspberry PI) y voy a capturar la secuencia de paquetes intercambiados con Wireshark.

image

La solicitud de autenticación:

image

La respuesta a autenticación desde el punto de acceso:

image

En la interfaz de administración del punto de acceso, vemos el cliente asociado a la WiFi:

image

Naturalmente, para el resto del ejercicio vamos a asumir que conocemos el BSSID, ESSID y canal del punto de acceso así como lo relativo a las características del cifrado y autenticación empleadas. Hemos visto cómo obtener esta información en posts anteriores.

Lo primero que hago es poner la interfaz en modo monitor en el canal del punto de acceso. Una vez configurada la interfaz lo que voy a hacer es una autenticación falsa con el punto de acceso. Recordemos que el mecanismo de autenticación es Open System lo que, en esencia, significa que no hay autenticación.

image

Para hacer esta autenticación falsa voy a utilizar el comando aireplay-ng con la opción 1 (autenticación falsa):

Screenshot from 2016-11-27 20-09-36

Los parámetros proporcionados al comando aireplay-ng significan:

-1. Autenticación falsa

0. Tiempo de re-asociación (en segundos)

-e HACKME_001. ESSID de la WiFi.

-a <bssid>. Dirección MAC del punto de acceso (BSSID).

-h <MAC>. Dirección MAC de la interfaz WiFi de la máquina atacante.

wlan1mon. Interfaz en modo monitor.

Y vemos, en el punto de acceso, que la estación atacante queda asociada:

image

La estación atacante ya está autenticada con el punto de acceso y asociada al mismo. Para intentar determinar la clave WEP, voy a empezar con un ataque de fragmentación (ya haré un post con la teoría). Para ello, utilizamos el comando aireplay-ng:

image

El resultado del ataque nos indica que hemos obtenido 1500 bytes del PRGA mediante el envío de fragmentos de un paquete. El keystream correspondiente se almacena en el fichero indicado.

Vamos a crear un paquete ARP y cifrarlo con el keystream obtenido en el paso anterior. Para ello usamos el comando packetforge-ng y vamos a cifrarlo (flag –y) con el PRGA obtenido en el paso anterior.

image

Una vez que tenemos el paquete ARP (arp-req) procedemos a inyectarlo en la red. En una nueva ventana de terminal, lanzo el comando airodump-ng para capturar las respuestas a los paquetes ARP que voy a ir inyectando:

image

image

Lanzamos, en la primera ventana de terminal, el comando aireplay-ng para inyectar los paquetes ARP en la red:

image

Vemos que se va incrementando el contador de paquetes enviados y, en la salida del comando airodump-ng (segunda ventana), que aumenta el número de paquetes lanzados por nuestra estación.

Finalmente, abrimos una tercera ventana de terminal y lanzamos el comando aircrack-ng para intentar obtener la clave WEP empleada para el cifrado a partir del fichero de capturas obtenido por airodump-ng:

image

Hemos tenido éxito. Comprobamos que la clave funciona conectándonos a la WiFi desde Kali.

image

image

El cifrado WEP

En el post anterior proporcioné una introducción a la seguridad WEP en redes inalámbricas, en este post vamos a ver el detalle de cómo funciona el cifrado WEP y cuáles son las vías para atacarlo. El cifrado WEP se basa en el algoritmo RC4.

RC4 es un cifrador de flujo (stream cipher) muy simple que emplea dos algoritmos: un algoritmo de planificación de claves (KSA por sus siglas en inglés) y un generador de números seudoaleatorios (PRGA por sus siglas en inglés).

Sin entrar en muchos detalles de funcionamiento, el generador de números seudo-aleatorios se inicializa empleando la clave que es un secreto compartido entre los dos extremos de la comunicación. El cifrado se realiza mediante una operación de disyunción exclusiva (XOR) entre los bytes del mensaje y los bytes seudo-aleatorios de la secuencia generada por el algoritmo RC4. El descifrado en el extremo opuesto se realiza haciendo la operación XOR entre los bytes del mensaje cifrado y la secuencia de bytes seudo-aleatorios generados por el algoritmo RC4 en el extremo receptor que deberá ser la misma que la empleada en el extremo emisor.

El cifrado WEP se aplica, exclusivamente, a la porción de datos contenidas en las tramas de datos 802.11. Las cabeceras y las tramas de gestión se envían en claro. Tal y como vimos, WEP emplea un secreto compartido de 40 bits o 104 bits. A este secreto compartido se le prepone un vector de inicialización (IV) de 24 bits y el conjunto se utiliza como semilla para la inicialización del algoritmo de planificación de claves (KSA) de RC4.

En el cifrado de los datos de las tramas de datos 802.11 se calcula una suma de comprobación (CRC32) sobre los datos a retransmitir y los cuatro bytes resultantes se añaden al final de los datos. El conjunto de datos y suma de comprobación se cifra mediante una operación de disyunción exclusiva (XOR) entre los datos originales (incluyendo la suma de comprobación) y la secuencia de bytes que se obtiene del PRGA de RC4. El descifrado se hace de forma análoga, al descifrar se emplea la suma de comprobación para verificar que el proceso de descifrado ha sido correcto.

Resultado de imagen de WEP Encryption

En teoría, ambos extremos de la comunicación tienen que conocer tanto el secreto compartido como los vectores de inicialización para poder reconstruir el mensaje original.

image

El vector de inicialización viaja en claro en cada trama codificada con WEP mientras que el secreto compartido se establece durante la configuración inicial de los puntos de acceso y estaciones.

Sin embargo, en la práctica, lo que se usa para cifrar son las secuencias de números seudoaleatorios generados por el PRGA por lo que si somos capaces de obtenerlas, podremos descifrar el tráfico de la red sin necesidad de conocer el secreto compartido. El obtener los PRGA es, por lo tanto, uno de los objetivos en los ataques al cifrado WEP.

Para cifrar, lo que se hace es una operación XOR entre los bits del mensaje y los bits generados por el PRGA. En el caso de las operaciones XOR existen las siguientes relaciones:

image

Por lo tanto, si conocemos un texto en claro y el mismo texto cifrado, podemos obtener el PRGA empleado para el cifrado mediante una simple operación XOR. Una vez conocido el PRGA, podremos descifrar los mensajes cifrados con el vector de inicialización usado.

El problema es, por lo tanto, ser capaces de conseguir el suficiente número de PRGAs para poder descifrar las tramas intercambiadas y esto, como veremos, requiere el conocimiento de los mensajes en claro y la obtención de los correspondientes mensajes cifrados.

En los siguientes posts veremos algunas técnicas para obtener esta información.

Atacando WEP. Introducción

El estándar 802.11 define varios servicios que gobiernan la comunicación entre los dispositivos 802.11. Antes de que una estación pueda comunicarse con una red Ethernet a través de una conexión inalámbrica tienen que ocurrir varios eventos.

La secuencia de eventos es más o menos como sigue:

image

  1. Una vez encendida, la estación tiene que descubrir el punto de acceso al que se quiere conectar para obtener los parámetros de conexión. Este descubrimiento puede hacerse de dos formas: escuchando, de forma pasiva las tramas faro (beacon) de los puntos de acceso o bien, de forma activa, enviando sondas (probes) y esperando la respuesta de los puntos de acceso.
  2. Cuando encuentra el punto de acceso al que conectarse (punto de acceso con un SSID que se corresponde a alguno configurado en la estación) la estación, envía una solicitud de autenticación.
  3. El punto de acceso autentica a la estación o rechaza la autenticación (por ejemplo, como veíamos en el filtrado MAC). En este último caso, la comunicación finaliza en este punto.
  4. La estación solicita la asociación con el punto de acceso.
  5. El punto de acceso acepta la asociación con la estación.

A partir de este momento, la estación puede intercambiar datos con los dispositivos conectados a la red Ethernet. El punto de acceso debe, por lo tanto, autenticar a la estación ANTES de que ésta pueda comunicarse con el resto de los dispositivos conectados.

El estándar 802.11 incluye un protocolo: WEP (Wired Equivalent Privacy – Privacidad Equivalente a Cableado) que proporciona mecanismos de seguridad en los procesos de autenticación de las estaciones y de cifrado de los datos intercambiados. El cifrado proporcionado emplea el algoritmo RC4 con claves de 64 bits (40 bits de clave y 24 bits de vector de inicialización) o 128 bits (104 bits de clave y 24 bits de vector de inicialización). Inicialmente concebido para proporcionar un nivel de seguridad equivalente al de las redes cableadas, pronto se vio que era muy vulnerable.

El estándar 802.11 define dos tipos de autenticación WEP:

  1. Autenticación de sistema abierto (Open System Authentication)
  2. Autenticación de clave compartida (Shared Key Authentication)

Autenticación de Sistema Abierto (OSA)

Permite que cualquier dispositivo se una a la red asumiendo que el dispositivo tiene un SSID que coincide con el del punto de acceso. De forma alternativa, la estación puede usar el SSID “ANY” para asociarse con cualquier punto de acceso disponible dentro de su rango con independencia del SSID.

Los pasos en la autenticación de sistema abierto son:

  1. La estación solicita la autenticación al punto de acceso (Authentication request)
  2. El punto de acceso autentica a la estación.
  3. La estación se asocia al punto de acceso y se une a la red

Autenticación de Clave Compartida (SKA)

Requiere que la estación y el punto de acceso tengan la misma clave WEP para autenticarse.

Los pasos en la autenticación de clave compartida serían:

  1. La estación solicita la autenticación al punto de acceso.
  2. El punto de acceso envía a la estación un texto reto.
  3. La estación utiliza su clave por defecto de 64 o 128 bits para cifrar el texto y devuelve el texto reto cifrado al punto de acceso.
  4. El punto de acceso descifra el texto recibido empleando la clave por defecto correspondiente a la estación. El punto de acceso compara el texto descifrado con el reto original enviado, si coinciden, el punto de acceso autentica a la estación. Si no coincide, el punto de acceso deniega la autenticación y la estación no puede asociarse al punto de acceso ni unirse a la red.
  5. La estación se asocia al punto de acceso y se une a la red.

Tamaño de Clave y Configuración

El estándar IEEE 802.11 soporta dos tamaños de clave de cifrado: 64 y 128 bits.

El tamaño de clave de 64 bits permite una clave de 5 caracteres configurada por el usuario (40 bits) y los restantes 24 bits están configurados de fábrica y no son modificables. Esta clave se emplea para cifrar todos los datos transmitidos a través del medio inalámbrico.

En el caso de las claves de 128 bits, 104 (13 caracteres) bits son configurables por el usuario y 24 bits están configurados de fábrica. Algunos proveedores permiten emplear texto ASCII para construir las claves evitando, así, el empleo de códigos hexadecimales.

Los productos soportan, generalmente hasta cuatro claves WEP de 40 bits, expresadas, cada una, como cinco grupos de dos dígitos hexadecimales. Igualmente, algunos productos soportan hasta 4 claves de 128 bits expresadas como 13 grupos de dos dígitos hexadecimales cada uno.

Uso del cifrado WEP

Normalmente hay tres opciones de cifrado cuando se emplea WEP:

  • No usar WEP. La transmisión de datos se hace en claro y para la autenticación se emplea el sistema abierto. En la configuración de los puntos de acceso esta configuración es, normalmente, sin seguridad.
  • Usar WEP para cifrado. La transmisión de datos en la red se hace cifrada mediante la clave WEP (64 o 128 bits) y algoritmo RC4. La autenticación emplea el sistema abierto.
  • Usar WEP para cifrado y autenticación. Se cifran los datos intercambiados y el mecanismo de autenticación es de clave compartida.

Los posts precedentes del lab WiFi se centraron en acceder a una red que no empleaba WEP sino otras medidas de seguridad (ocultamiento de SSID, filtrado MAC). Los siguientes posts tratarán de como acceder a redes que están protegidas por WEP para cifrado y para cifrado y autenticación.

Saltándonos el filtrado MAC

Una medida de protección empleada frecuentemente en las redes WiFi es el filtrado por dirección MAC. Esencialmente, el filtrado MAC consiste en establecer una lista blanca de direcciones MAC que pueden conectarse a la WiFi.

La funcionalidad de filtrado por dirección MAC impide la conexión de equipos, cuyas interfaz WiFi no tengan una dirección MAC que se encuentre en esta lista. Todos los que tenemos y administramos WiFis domésticas, cuando hemos implementado esta medida de seguridad, nos hemos dado cuenta de lo tedioso que es el mantenimiento. Cuando vienen amigos o familiares y te piden conectarse a la WiFi, es necesario dar de alta las correspondientes direcciones MAC.

Sin embargo, el filtrado MAC no proporciona una protección exhaustiva. Como veremos, es relativamente fácil saltárselo con las herramientas adecuadas.

En este caso, voy a usar el router D-Link y la WiFi HACKME_002. La configuración WiFi actual es:

Imagen5

Imagen7

Imagen9

Imagen11

Como vemos, el ESSID está oculto, no hay cifrado y el filtrado MAC está deshabilitado. Habilitamos el filtrado MAC añadiendo, como estación autorizada, la Raspberry:

Imagen13

Salvamos y aplicamos los cambios de configuración y rearrancamos el router. Como vemos, tenemos una única estación asociada que es la Raspberry.

Imagen15

Asumo que he obtenido (mediante los mecanismos ya contados en otros posts) el ESSID de la red (HACKME_002) y el canal de transmisión (9). En mi Kali, tengo configurada la interfaz wlan1 en modo monitor y la otra interfaz WiFi (wlan0) conectada a la WiFi doméstica:

Screenshot from 2016-11-10 13-27-51

Arranco Wireshark, pongo a capturar paquetes en la interfaz wlan1 e intento conectarme a la red HACKME_002 a través de la interfaz wlan0 de Kali. Despues de varios reintentos de conexión, la interfaz no logra conectarse:

Screenshot from 2016-11-10 13-33-25

En Wireshark vemos que Kali envía tramas de autenticación y el punto de acceso le devuelve tramas de error. Esta secuencia se reproduce a lo largo de varios intentos hasta que la interfaz wlan0 se vuelve a conectar a la red doméstica.

Imagen18

Imagen19

El filtrado MAC está impidiendo la conexión del equipo a la red. Para saltarnos el filtrado MAC lo que vamos a hacer es enmascarar la dirección MAC de la interfaz wlan0 de Kali con la dirección MAC de un equipo ya conectado a la red.

Para encontrar la dirección MAC de un equipo conectado a la red vamos a utilizar el comando airodump-ng:

Screenshot from 2016-11-10 14-00-27

El parámetro –c especifica el canal y el parámetro –bssid el BSSID del punto de acceso. Al cabo de un rato, cuando alguna estación empieza a transmitir obtenemos la información que necesitamos:

Screenshot from 2016-11-10 14-04-33

Ahora, usamos la utilidad macchanger para cambiar la dirección MAC de la interfaz wlan0. En primer lugar desactivamos la interfaz, lanzamos el enmascaramiento de MAC y volvemos a levantar la interfaz:

Screenshot from 2016-11-10 14-11-09

Una vez que tenemos enmascarada la dirección MAC procedemos a capturar paquetes con Wireshark y a intentar conectarnos a la WiFi:

Screenshot from 2016-11-10 14-19-22

Vemos que nos hemos conectado a la WiFi HACKME_002. Conseguido. En Wireshark se aprecian las tramas de autenticación:

Imagen20

Imagen21

Y el log del punto de acceso también muestra la asociación de la estación enmascarada:

Imagen23

Forzando la desconexión de los clientes WiFi

En el post anterior, vimos como podíamos forzar la desconexión de los clientes WiFi lanzando un broadcast de tramas de desconexión suplantando (spoofing) la dirección MAC del punto de acceso.

En este post vamos a ser más selectivos, vamos a hacer que se desconecte un cliente concreto (la Raspberry) de la red, mediante el envío de una trama de desconexión dirigida en concreto a ese cliente. Esto podría ser una forma de ataque de denegación de servicio, dirigido a ese cliente concreto.

En principio, lo que necesitaríamos conocer es:

  • Dirección MAC del punto de acceso.
  • Canal de conexión
  • Dirección MAC del cliente al que queremos desconectar.

Las dos primeras, como hemos visto, son fáciles de obtener y la tercera la obtendremos escuchando la red WiFi. Por lo tanto, vamos a poner la interface en modo monitor e iniciar la captura con Wireshark. Generaremos tráfico desde la Raspberry para capturarlo:

Screenshot from 2016-11-09 07-22-42

Imagen1

Tras una breve captura vemos las tramas ICMP correspondientes al ping:

Screenshot from 2016-11-09 17-39-41

Averiguamos que la estación a la que queremos forzar la desconexión tiene como dirección IP la 192.168.200.129 y, como dirección MAC la siguiente: 00:0f:60:06:6d:d7.

Lo que tenemos que hacer ahora es lanzar la trama de desconexión a la dirección MAC de la estación a la que queremos desconectar:

Screenshot from 2016-11-09 18-08-46

Vemos en Wireshark, las tramas de desconexión:

Imagen3

Y las tramas DHCP y ARP lo que nos permite ver la dirección IP asignada a la estación atacada:

Imagen6

Imagen5

Imagen7