2-CDP Attack
CDP NEDİR?
CDP, Cisco cihazları tarafından kullanılan bir Katman 2 protokolüdür; bir ağdaki diğer doğrudan bağlı Cisco cihazlarını keşfetmek için kullanılır, Bu, cihazların bağlantılarını otomatik olarak yapılandırmasına olanak tanır, böylece bağlantı ve yapılandırmayı basitleştirir.
Genel olarak, CDP çoğu Cisco cihazında etkindir. Yönlendiriciler bunu dolaştırmadığından, CDP verileri, cisco cihazı CDP tablosunda yerel olarak tutulan periyodik yayınlar aracılığıyla iletilir.
CDP veritabanı, yetenekler, IP adresi, yerel VLAN, yazılım sürümü, platform sürümü vb. gibi cihazla ilgili birçok veriden oluşur. Ve tüm bu bilgiler, güvenliği ihlal edilmiş bir sistem aracılığıyla kötü niyetli bir kullanıcının eline geçtiğinde, bu bilgileri ağa saldırmak için açıkları bulmak için kullanabilirler. Genellikle bir DoS saldırısı olarak gerçekleştirilir. Kötü niyetli bir kullanıcı ayrıca sahte CDP paketleri oluşturabilir ve CDP'nin kimliği doğrulanmadığı için bunları diğer cihazlara iletebilir.
CDP'nin iki sürümü CDPv1 ve CDPv2'dir:
CDPv1, ağ aygıtları arasındaki temel bilgileri keşfedebilir. Bu cihazlar yalnızca doğrudan kendisine bağlı bir ağ cihazı hakkında bilgi alabiliyordu.
CDPv2, iki cihazı yapılandırırken hata yapılıp yapılmadığını kontrol etme (örneğin; eşleşmeyen yerel VLAN'ları yapılandırma) gibi daha fazla yardımcı program içerir.
CDP nasıl çalışır?
CDP çalıştıran bir yönlendirici bir CDP paketi aldığında, komşu cihazları listeleyen bir tablo oluşturmaya başlar. Cihazlar keşfedildikten sonra, aralıklı olarak birbirlerine bir paket güncellenmiş bilgi gönderirler. Bu paket, arabirimler ve aygıt türleri ve adları hakkında çeşitli bilgiler içerir.
CDP üzerinden gönderilen bu paketler şifrelenmez, bu da cihazlar arasındaki mesajların düz metin olarak kolayca okunmasını sağlar.
CDP Prensipleri
Bitişik bir cisco cihazından alınan CDP mesajları varsayılan olarak başka cihazlara yönlendirilmez, yani CDP yalnızca doğrudan bağlı Cisco cihazlarına iletilir. CDP'yi destekleyen tüm cihazlar, bitişik cihazlarından alınan tüm mesajları, show cdp neighbors komutu kullanılarak görüntülenebilecek tablo biçiminde depolar.
Bu CDP mesajları, her 60 saniyede bir tüm SNAP (Alt Ağ Erişim Protokolü) başlıkları uyumlu arayüzlerde iletilir. SNAP, tüm veri bağlantı katmanı ortam türleri tarafından desteklenmediğinden, destekleyenler Token ring, Ethernet, PPP (Noktadan Noktaya Protokol), FDDI (Fiber Dağıtılmış Veri Arayüzü), Çerçeve Rölesi, ATM (Asenkron Aktarım Modu), HDLC'dir (Üst Düzey Veri Bağlantısı Kontrolü). Cisco cihazları ayrıca bu CDP mesajlarını çok noktaya yayın hedef adresine (01:00:0C:CC:CC:CC) gönderir.
CDP mesajındaki bilgiler:
IOS yazılımının sürümünü içerir.
Cihazın IP adresleri hakkında bilgi içerir.
Cihazların adı.
Donanım platformu hakkında bilgi.
Donanım özelliklerini içerir ve
CDP iletisini oluşturan arabirim hakkındaki bilgiler.
CDP'nin Faydaları:
Cihazları bulmak için RTP (Gerçek Zamanlı Aktarım Protokolü) ve farklı ağ katmanı protokollerinin kullanılmasına izin verir ve nasıl yapılandırıldıklarını söyler.
TLV (Type Length Value) alanlarında sorun gidermeye yardımcı olur.
Cihaz ve ağ ile ilgili sorunların giderilmesine yardımcı olmak için bir tanılama aracı olarak kullanılabilir.
Bir WAN bağlantısının diğer tarafında yanlış yapılandırılmış bir anahtarın/yönlendiricinin IP adresinin algılanmasını sağlar.
Spoofing
CDP sahtekarlığı, gerçek veya rastgele diğer cihazların kimliğine bürünmek için sahte paketlerin oluşturulmasıdır. Bu saldırı, CDP kullanarak bağlı cihazları doldurmak için kullanılan bir tür Hizmet Reddi (DoS) saldırısıdır.
Saldırgan, ağdaki CDP çalıştıran tüm aygıtlardaki komşu tabloları doldurmak için 01:00:0C:CC:CC:CC çok noktaya yayın MAC adresine binlerce sahte CDP paketi göndererek bu işlevden yararlanabilir. Bu durumda, cihaz onu yönlendirmek için gerekli kaynaklara sahip olmadığı için ağdaki diğer trafik bırakılabilir. Cihazın komut satırı arayüzü de yanıt vermeyebilir ve bu da devam eden bir saldırı sırasında CDP'yi devre dışı bırakmayı zorlaştırabilir.
Bazı yöneticiler, CDP'den yararlanamama pahasına CDP'yi devre dışı bırakabilir.
CDP SALDIRISI
Görüldüğü gibi 60 saniyede bir yeniliyor ve 180 saniye cevap gelemzse siliniyor.
Burada ise bağlı olan cihazların isimlerini göstermektedir.
Görüldüğü gibi, CDPv1 ve CDPv2 bulunmaktadır. Toplam paket sayısı ise 17 paket gitmiş ve buna karşılık 0 paket gelmiş. Resimdeki bilgileri analiz ettiğimizde.
Biz ise bunu gerçek hayat senaryosu üzerinden yaparak bu topoloji üzerinden saldırımızı gerçekleştireceğiz.
Cisco Discovery Protocol (CDP), Cisco cihazları arasında bilgi alışverişi için kullanılan bir protokoldür ve Ethernet üzerinde çalışır. CDP, varsayılan olarak tüm etkin arayüzlerde çalışır ve aşağıdaki Ethernet çerçeve türlerini kullanır:
Ethernet II (Ethernet Version 2)
IEEE 802.3 (Novell'in "raw IEEE 802.3" çerçeve türü dahil)
CDP, genellikle Cisco cihazları arasında bilgi paylaşımını kolaylaştırmak için kullanıldığından, belirli bir port numarasına ihtiyaç duymaz. Bu nedenle, CDP'nin belirli bir port numarası yoktur; bilgi alışverişi, cihazların birbirlerine gönderdikleri CDP paketleri üzerinden gerçekleşir. CDP paketleri, Ethernet üzerinde gönderildikleri için genellikle UDP ya da TCP portlarına özgü bir numaraya ihtiyaç duymazlar.
Yersinia'yi başlatmak için komutu kullanıyoruz.
Kali Linux ip adresi ve gateway adresi.
Router arayüz ip adresi ise 4.4.4.1 gerekli ip adresi konfigürasyon çıktısında bulunabilir.
Kali Linux ve Router arasında haberleşme tamamdır şimdi saldırıya geçelim.
İçine girdikten sonra ise "h" tuşuna basıp yardım alıyoruz.
Sonra ise "g" ile de saldırılacak protokollere giriş yapıyoruz.
Yukarı ve aşa tuşu ile CDP geliyoruz ve entere basıyoruz.
Burada CDP mesajı yakaladığı DevID adı R4 olan bizim hedef router veya cihaz olabilir.
Bir tane CDP mesajı atalım bakalım içeri nasıl olucak.
"x" basıp bu menü geliyor.
Burada "0" basıp bir tane CDP paketi atalım.
Buradaki bizim mac adresimiz wireshark ile bakıcaz ondan burasu önemli.
Burada paket detayına girmeyeceğim, çünkü çok fazla ayrıntı var. Kafa karışıklığı olmaması için temel okunabilir değerlere odaklanalım.
Burada konuda bahsettiğimiz paket yapısını kullanıyor burda bunu görmüş olduk.
Görüldüğü gibi paket yapısında kullandığı versiyon CDPv2 gibi bir çok tehlikeli bilgi çıkardı.
Şimdi iki ki inceyip ne ne değildir ona bakalım.
1 => Bu, numaralandırılmış olan Router ID'si yani adı.
2 => Bu, en tehlikelisi olan ve cihazın bir tür adı ve soyadı gibi bir şeyi temsil eder. Bu nedenle exploit aramak için bu bilgiye göz atılabilir.
1 => Cihazın yayımlanan sürümüne bağlı olarak bu bilgi üzerinden exploit araması yapılabilir veya kendi exploit'imizi geliştirebiliriz.
2 => Cihazın bize bakan ağ arayüzünün IP adresi. Bir tür TC numarası gibi düşünülebilir.
1 => Router'ın kullandığı port ID'si ve gönderdiği isim.
2 => Bu kısım önemli çünkü eğer burası "1" ise, bu cihaz o kategoriye aittir. "0" ise belirtilmemiş yani bu özelliği içermiyor anlamına gelir. Burada ise sadece router olduğu set edilmiş, yani cihazın bir router olduğunu buradan doğruluyoruz.
1 => Portun çift taraflı veri alıp gönderme yeteneğini gösterir, bu kısım CCNA bilgisi olduğu için detayına girmeyeceğim.
2 => Router'ın yönetildiği IP adresini temsil eder; bu bilgi saldırı gerçekleştirileceği zaman kullanılabilir.
Bu şimdiye baktığımız paket gerçek bir router'dan alınan paket yapısı ve birde bizim yolladığımız sahte paket yapısına bakalım.
Şimdi bulunduğumuz menüde "0" basıp bir tane sahte CDP paketi atalım.
Görüldüğü gibi, bir tane sahte paket attı ve içeriğini kontrol edelim.
Sahte atılan paket.
Görüldüğü gibi, paket içeriği boş ve CDPv1 kullanılmış. Şimdi ise birçok paket gönderip cihaza DOS saldırısı yaparak cihazı yavaşlatalım veya servis dışı bırakalım.
Şimdi burda "1" deyip bir sürü paket atalım.
Görüldüğü gibi bir sürü paket atmaya başladı.
Komut ile bilgi aldığımda ise bir sürü istek yapıldığını görüyorum.
Toplan alınan paketi resimde görüyoruz.
Kullanılan proses ve cihaz devre dışı kaldı. DOS saldırısı başarılı olmuş durumda.
CDP ATAĞINA KARŞI ÖNLEM
4 dakika bekledim ve sayfa temiz, hiçbir şekilde CDP mesajı düşmedi.
Kali Linux'ta saldırı yapmamıza rağmen, Router'da CDP kapalı olduğundan istatistik göremeyeceğiz. Kökten çözüm bu kadar.
Görüldüğü gibi doğrulamış olduk.
SONUÇ
Sonuç olarak, burada birçok saldırı vektörüne zemin hazırlamış olduk. Bunların ilki bir Cisco cihazının sürümüne göre exploit aranabilir, DOS uygulanabilir ve MİTMF saldırıları için ise IP adresi vb. bilgileri çektik. Bundan sonrası ileri seviyede siber güvenlik bilgisine dayanarak saldırıları birleştirerek uygulanabilir. CDP protokolü genellikle tehlikeli kabul edilir ve kapatılması önerilir.
Okuduğunuz için teşekkürler.
Last updated
