ARP  POSINING

ARP Poisoning, ARP zehirleme anlamına gelmektedir. ARP protokolünün temel çalışmasındaki zaafiyetleri kullanarak gerçekleştirilir.

ARP  (Adress Resolution Protokol), Layer 2 katmanının ana protokolüdür. Yerel ağlarda iletişim bilindiği üzere IP adresleri üzerinde değil, MAC adresleri üzerinden gerçekleştirilir. Bunun için her cihaz, iletişime geçmek istediği cihazın (internete çıkarken DSL modem dahil) MAC adresini bilmek zorundadır.

Bu sebeple, Layer 2 katmanında, iletişim öncesinde ARP protokolü devreye girer, Arp request ve Arp reply paketlerini kullanarak, IP’si bilinen cihazın MAC adresini bulur, daha sonra MAC adresleri üzerinden iletişim sağlanır.

ARP Zehirlenmesi Çeşitleri

ARP zehirlenmesi adı verilen saldırılar yerel ağlarda gerçekleştirilen saldırılardır. ARP saldırılarının yerel ağlarda yapılmasının sebebi ise MAC adresinin yerel ağ dışına gönderilmemesidir. Yerel ağda MAC adresi bilgisi o ağda yer alan swicth ve yönlendirici gibi elemanlara gönderildiği için saldırgan MAC adresi bilgisine ulaşabilir. Buradaki güvenlik açığını kullanarak, ARP tabloları üzerinde istediği değiştirmeleri yapabilir. ARP zehirlenmesi üç şekilde gerçekleştirilmektedir.

  1. Hedef Bilgisayarın ARP tablosunu doldurarak
  2. Ortadaki adam yöntemiyle
  3. Hedef Bilgisayarın Paketlerini Başka Bir Bilgisayara Göndererek gerçekleştirilir

1.Hedef Bilgisayarın ARP tablosunu Doldurma

Burada saldırgan hedef bilgisayarın ARP tabloları üzerinde doğrudan değişiklikler yapar. Örneğin; saldırgan hedef bilgisayarın ARP tablosunu yanlış bilgilerle doldurur ve hedef bilgisayarın göndereceği paketlerin saldırganın belirttiği adreslere gitmesini sağlayabilir. Bu yöntemle gönderilmek istenilen paketin, istenilen yere ulaşması engellenebilir.

2.Ortadaki Adam Yöntemi (Man in the Middle)

Bu yöntemde saldırgan, hedef bilgisayar kurban bilgisayarın ulaşmak istediği noktanın arasına girer. Bütün iletişimi istediği gibi kontrol eder. Ağda gönderilen bir paketi alıp, paketin destination MAC adres bilgisine kendi MAC adresini yazar. Pakete yapılan bu müdahele ile artık yollanan paketler saldırganın bilgisayarına gider. Saldırgan da paket üstünde istediği gibi değişiklik yapabilir. Bu yöntemle kullanıcının yolladığı tüm bilgiler saldırgan üzerinden geçer ve bu yöntem oldukça tehlikelidir. Tüm gönderilen bilgiler (kredi kartı bilgileri, şifre vb.) alınabilir. Bu yöntem ARP poisining dışında pek çok saldırılarda da kullanılmaktadır. En fazla kullanılan saldırı çeşitlerindendir.

3. Hedef Bilgisayarın Paketlerini Başkasına Gönderme

Burada da saldırgan hedef bilgisayarın göndereceği paketi başka bir bilgisayara gönderebilir. Örneğin kullanıcının HTTP (İngilizce Hyper-Text Transfer Protocol, Türkçe Hiper Metin Transfer Protokol) üzerinden erişmek istediği web sayfası yerine kendi oluşturduğu sayfaya kullanıcıyı götürebilir. Bu şekilde bilgisayar servis dışı bırakılabilir.

Bu makalede Arp Poosining saldırı çeşitlerinden ortadaki adam (mitm) saldırısı nasıl yapılır bir örnek verilerek anlatılacaktır . Senaryo da bir saldırgan kali makinası ve birde kurban başka bir kali makinası olacaktır.

Aşağıdaki resimde saldırgan kali bilgisayarın ip si ve interface görünüyor.

1

Kurban kali ise aşağıdaki gibi olacaktır.

2

129 ip li kali saldırgan 131 ip li kali kurban makinasına arp spoof yapmaya başlayacak.

3

4

Yukarıdaki resimlerde görüldüğü üzere ilk önce hangi portları dinleyeceğimizi belirtiyor sonrasında ise kurban bilgisayarın ip sini ve gw bilgilerini girip arp reply paketlerini göndermeye başlıyoruz. Aşağıdaki komut kurban makinanın internet trafiğini dinlemek için yazılan bir komuttur.  Görüldüğü üzere belirtilen portlardan kurban dinlemeye başlanılır.

5

Buradan sonrasında kurban bilgisayarın internete girmesi beklenir. Eğer istenilirse aşağıdaki komutta olduğu gibi driftnet komutunu girilerek kurbanın girdiği internet sitelerinin ekran görüntülerini de kaydedebilir . Bu aşamadan sonra kurban bilgisayardaki kullanıcının internete erişimi beklenilir.

6

Kurban bilgisayar mynet.com adresine girmiş bulunmakta bundan sonrasında ise bir önceki yazılan komuta dönüş yapılarak aradaki dinlenilen trafik incelemeye alınır.

7

Kurban kali (192.168.1.131) bilgisayarın mynet.com girmesiyle trafik akışı karşımıza gelmiş oldu. Burada kurban bilgisarın hangi browser i kullandığı, hangi işletim sistemi ve hangi url leri ziyaret ettiğine kadar bilgiye sahip olabilirsiniz.

8

Driftnet komutu ile görüldüğü gibi kurbanın ziyaret etmiş olduğu sitelerin ekran görüntüleri alınmış oldu.

9

Bura da ise hangi resimlerin kaydedildiği görülmektedir.

10

Furkan SANDAL