Borrar la caché ARP en Linux

ARP (Address Protocol Resolution) o Protocolo de resolución de direcciones, es un protocolo de comunicaciones de la capa de enlace de datos, responsable de encontrar la dirección de hardware (MAC) que corresponde a una determinada dirección IP.

Borrar la caché ARP es de utilidad para reparar la conexión de un ordenador o en los casos de envenenamiento de la caché ARP (ARP Spoofing).
Los ataques ARP Spoofing pueden tener efectos graves. En su nivel más básico, se utilizan para robar información sensible, pero pueden utilizarse para facilitar otros ataques como:

• Ataque de denegación de servicios (Denial of Service): Los ataques DoS utilizan ARP Spoofing para enlazar varias direcciones IP con la dirección MAC de un solo objetivo. Todo el tráfico destinado a diferentes direcciones IP será redirigido a la dirección MAC objetivo del atacante.
• Secuestro de sesiones (Session hijacking): Los atacantes hacen uso de ARP Spoofing para robar los identificadores de sesión.
• Ataques tipo Hombre en el Medio (Man-in-the-middle Attacks): Los ataques MitM pueden utilizar ARP Spoofing para interceptar y/o modificar el tráfico entre dos víctimas.

En este artículo mostraremos como borrar la Caché ARP en Linux, accediendo a la interfaz de línea de comandos de Linux con una cuenta de usuario con privilegios de root.

Una vez en la interfaz de línea de comandos, con alguna de las siguientee ordenes se nos mostrará la caché ARP existente:

$ sudo arp -a

o con el comando ip que nos muestra algo más de información.

$ sudo ip neight show

Para borrar por completo la caché ARP, ejecutaremos la siguiente orden:

$ sudo ip -s -s neigh flush all

Para eliminar de la caché alguna entrada concreta, ejecutaremos la siguiente orden:

$ sudo ip -s -s neigh flush 192.168.0.1