ARP POISONING

ARP  POSİNİNG

ARP Poisoning, ARP zehirleme anlamına gelmektedir. ARP protokolünün temel çalışmasındaki zaafiyetleri kullanarak gerçekleştirilir.

ARP  (Adress Resolution Protokol), Layer 2 katmanının ana protokolüdür. Yerel ağlarda iletişim bilindiği üzere IP adresleri üzerinde değil, MAC adresleri üzerinden gerçekleştirilir. Bunun için her cihaz, iletişime geçmek istediği cihazın (internete çıkarken DSL modem dahil) MAC adresini bilmek zorundadır.

Bu sebeple, Layer 2 katmanında, iletişim öncesinde ARP protokolü devreye girer, Arp request ve Arp reply paketlerini kullanarak, IP'si bilinen cihazın MAC adresini bulur, daha sonra MAC adresleri üzerinden iletişim sağlanır.

ARP Zehirlenmesi Çeşitleri

ARP zehirlenmesi adı verilen saldırılar yerel ağlarda gerçekleştirilen saldırılardır. ARP saldırılarının yerel ağlarda yapılmasının sebebi ise MAC adresinin yerel ağ dışına gönderilmemesidir. Yerel ağda MAC adresi bilgisi o ağda yer alan swicth ve yönlendirici gibi elemanlara gönderildiği için saldırgan MAC adresi bilgisine ulaşabilir. Buradaki güvenlik açığını kullanarak, ARP tabloları üzerinde istediği değiştirmeleri yapabilir. ARP zehirlenmesi üç şekilde gerçekleştirilmektedir.

1.     Hedef Bilgisayarın ARP tablosunu doldurarak

2.     Ortadaki adam yöntemiyle

3.     Hedef Bilgisayarın Paketlerini Başka Bir Bilgisayara Göndererek gerçekleştirilir

1.Hedef Bilgisayarın ARP tablosunu Doldurma

Burada saldırgan hedef bilgisayarın ARP tabloları üzerinde doğrudan değişiklikler yapar. Örneğin; saldırgan hedef bilgisayarın ARP tablosunu yanlış bilgilerle doldurur ve hedef bilgisayarın göndereceği paketlerin saldırganın belirttiği adreslere gitmesini sağlayabilir. Bu yöntemle gönderilmek istenilen paketin, istenilen yere ulaşması engellenebilir.

2.Ortadaki Adam Yöntemi (Man in the Middle)

Bu yöntemde saldırgan, hedef bilgisayar kurban bilgisayarın ulaşmak istediği noktanın arasına girer. Bütün iletişimi istediği gibi kontrol eder. Ağda gönderilen bir paketi alıp, paketin destination MAC adres bilgisine kendi MAC adresini yazar. Pakete yapılan bu müdahele ile artık yollanan paketler saldırganın bilgisayarına gider. Saldırgan da paket üstünde istediği gibi değişiklik yapabilir. Bu yöntemle kullanıcının yolladığı tüm bilgiler saldırgan üzerinden geçer ve bu yöntem oldukça tehlikelidir. Tüm gönderilen bilgiler (kredi kartı bilgileri, şifre vb.) alınabilir. Bu yöntem ARP poisining dışında pek çok saldırılarda da kullanılmaktadır. En fazla kullanılan saldırı çeşitlerindendir.

3. Hedef Bilgisayarın Paketlerini Başkasına Gönderme

Burada da saldırgan hedef bilgisayarın göndereceği paketi başka bir bilgisayara gönderebilir. Örneğin kullanıcının HTTP (İngilizce Hyper-Text Transfer Protocol, Türkçe Hiper Metin Transfer Protokol) üzerinden erişmek istediği web sayfası yerine kendi oluşturduğu sayfaya kullanıcıyı götürebilir. Bu şekilde bilgisayar servis dışı bırakılabilir.

Arp Poosining saldırısında mitm saldırısı nasıl yapılır bir örnek verelim. Senaryomuz da bir saldırgan kali makinası ve birde kurban başka bir kali makinası olacak.  

Aşağıdaki resimde saldırgan kali bilgisayarın ip si ve interface görünüyor.

Kurban kali ise aşağıdaki gibi olacak.

129 ip li kali saldırgan 131 ip li kali kurban makinasına arp spoof yapmaya başlayacak.

Yukarıdaki resimlerde görüldüğü üzere ilk önce hangi portları dinleyeceğimi belirtiyor sonrasında ise kurban bilgisayarın ip sini ve gw bilgilerini girip arp reply paketlerini göndermeye başlıyorum. Aşağıdaki komut kurban makinanın internet trafiğini dinlemek için yazdığım bir komuttur.  Görüldüğü üzere belirtilen portlardan kurbanı dinlemeye başlıyorum

Burdan sonrasında kurban bilgisayarın internete girmesini bekleyeceğim. İsterseniz driftnet komutunu girerek kurbanın girdiği internet sitelerinin ekran görüntülerini de kaydedebiliriz. Aşağıdaki komutta olduğu gibi. Artık kurban bilgisayarın internet sayfasına girmesini bekliyelim.

Kurban bilgisayar mynet.com adresine girmiş bulunmakta bundan sonrasında ise bir önceki yazdığım komuta dönüş yaparak aradaki dinlediğim trafiği incelemeye geldi.

Kurban kali (192.168.1.131) bilgisayarın mynet.com girmesiyle trafik akışı karşıma gelmiş oldu. Burda kurban bilgisarın hangi browser i kullandığı, hangi işletim sistemi ve hangi url leri ziyaret ettiğine kadar bilgiye sahip olabilirsiniz.

Driftnet komutu ile görüldüğü gibi kurbanın ziyaret etmiş olduğu sitelerin ekran görüntülerini almış oldum.

Bura da ise hangi resimleri kaydettiğimi görebiliyorum.