ARP POSİNİNG
ARP Poisoning, ARP zehirleme anlamına gelmektedir. ARP
protokolünün temel çalışmasındaki zaafiyetleri kullanarak gerçekleştirilir.
ARP (Adress Resolution Protokol), Layer 2
katmanının ana protokolüdür. Yerel ağlarda iletişim bilindiği üzere IP adresleri üzerinde değil, MAC adresleri üzerinden gerçekleştirilir. Bunun için her cihaz, iletişime geçmek istediği cihazın (internete çıkarken DSL modem dahil) MAC adresini bilmek
zorundadır.
Bu sebeple, Layer 2 katmanında, iletişim öncesinde ARP protokolü devreye girer, Arp request ve Arp reply
paketlerini kullanarak, IP'si
bilinen cihazın MAC adresini bulur, daha sonra MAC adresleri üzerinden iletişim sağlanır.
ARP Zehirlenmesi Çeşitleri
ARP
zehirlenmesi adı verilen saldırılar yerel ağlarda
gerçekleştirilen saldırılardır. ARP saldırılarının yerel ağlarda yapılmasının sebebi ise MAC adresinin yerel ağ
dışına gönderilmemesidir. Yerel ağda
MAC adresi bilgisi o ağda yer alan swicth ve yönlendirici
gibi elemanlara gönderildiği için saldırgan MAC adresi bilgisine ulaşabilir.
Buradaki güvenlik açığını kullanarak, ARP tabloları
üzerinde istediği değiştirmeleri yapabilir. ARP zehirlenmesi üç şekilde
gerçekleştirilmektedir.
1. Hedef Bilgisayarın ARP tablosunu doldurarak
2. Ortadaki adam yöntemiyle
3. Hedef Bilgisayarın Paketlerini Başka Bir Bilgisayara Göndererek gerçekleştirilir
1.Hedef
Bilgisayarın ARP tablosunu Doldurma
Burada
saldırgan hedef bilgisayarın ARP tabloları üzerinde doğrudan
değişiklikler yapar. Örneğin; saldırgan hedef bilgisayarın ARP tablosunu yanlış bilgilerle doldurur ve hedef bilgisayarın göndereceği
paketlerin saldırganın belirttiği adreslere gitmesini sağlayabilir.
Bu yöntemle gönderilmek istenilen paketin, istenilen yere ulaşması
engellenebilir.
2.Ortadaki Adam
Yöntemi (Man in the Middle)
Bu yöntemde
saldırgan, hedef bilgisayar kurban bilgisayarın ulaşmak
istediği noktanın arasına girer. Bütün iletişimi istediği gibi kontrol eder. Ağda
gönderilen bir paketi alıp, paketin destination MAC adres bilgisine kendi MAC
adresini yazar. Pakete yapılan bu müdahele ile artık yollanan paketler
saldırganın bilgisayarına gider. Saldırgan da paket üstünde istediği
gibi değişiklik yapabilir. Bu yöntemle kullanıcının yolladığı tüm
bilgiler saldırgan üzerinden geçer ve bu yöntem oldukça tehlikelidir. Tüm gönderilen bilgiler (kredi kartı
bilgileri, şifre vb.) alınabilir. Bu yöntem ARP poisining dışında pek çok saldırılarda da kullanılmaktadır. En fazla kullanılan saldırı çeşitlerindendir.
3. Hedef
Bilgisayarın Paketlerini Başkasına Gönderme
Burada
da saldırgan hedef bilgisayarın göndereceği paketi başka bir bilgisayara gönderebilir. Örneğin kullanıcının HTTP (İngilizce
Hyper-Text Transfer Protocol, Türkçe Hiper Metin Transfer Protokol) üzerinden erişmek istediği
web sayfası yerine kendi oluşturduğu sayfaya kullanıcıyı götürebilir. Bu şekilde bilgisayar servis dışı bırakılabilir.
Arp
Poosining saldırısında mitm saldırısı nasıl yapılır bir örnek verelim.
Senaryomuz da bir saldırgan kali makinası ve birde kurban başka bir kali
makinası olacak.
Aşağıdaki resimde
saldırgan kali bilgisayarın ip si ve interface görünüyor.
Kurban
kali ise aşağıdaki gibi olacak.
129
ip li kali saldırgan 131 ip li kali kurban makinasına arp spoof yapmaya
başlayacak.
Yukarıdaki
resimlerde görüldüğü üzere ilk önce hangi portları dinleyeceğimi belirtiyor
sonrasında ise kurban bilgisayarın ip sini ve gw bilgilerini girip arp reply
paketlerini göndermeye başlıyorum. Aşağıdaki komut kurban makinanın internet
trafiğini dinlemek için yazdığım bir komuttur.
Görüldüğü üzere belirtilen portlardan kurbanı dinlemeye başlıyorum
Burdan
sonrasında kurban bilgisayarın internete girmesini bekleyeceğim. İsterseniz
driftnet komutunu girerek kurbanın girdiği internet sitelerinin ekran görüntülerini
de kaydedebiliriz. Aşağıdaki komutta olduğu gibi. Artık kurban bilgisayarın
internet sayfasına girmesini bekliyelim.
Kurban
bilgisayar mynet.com adresine girmiş bulunmakta bundan sonrasında ise bir önceki yazdığım
komuta dönüş yaparak aradaki dinlediğim trafiği incelemeye geldi.
Kurban kali (192.168.1.131) bilgisayarın mynet.com girmesiyle trafik akışı karşıma gelmiş oldu. Burda
kurban bilgisarın hangi browser i kullandığı, hangi işletim sistemi ve hangi url leri
ziyaret ettiğine kadar bilgiye sahip olabilirsiniz.
Driftnet
komutu ile görüldüğü gibi kurbanın ziyaret etmiş olduğu sitelerin ekran
görüntülerini almış oldum.
Bura
da ise hangi resimleri kaydettiğimi görebiliyorum.