🖥️4-ARP SPOOFİNG

ARP NEDİR ?

ARP (Address Resolution Protocol), bir cihazın bir Yerel Alan Ağı veya Ethernet üzerinde iletişim kurmak amacıyla kullandığı bir protokoldür. Bu protokol, İnternet Protokolü (IP) adreslerini Medya Erişim Kontrolü (MAC) adresine dönüştürerek iletişimi sağlar. IP adresleri 32 bit uzunluğundayken, MAC adresleri 48 bit uzunluğundadır. ARP, bu farklı uzunluktaki adresleri birbirine çevirir. OSI modeli, ağdaki olayları katmanlar aracılığıyla gösterir ve her katmanın sorumluluklarını belirler. ARP, OSI modelinin 2. katmanında çalışır ve veri bağlantı katmanı ile ağ katmanı arasındaki iletişimi sağlar. Bu katmanda, fiziksel bağlantıyı kuran ve sonlandıran MAC adresleriyle IP adresleri eşlenir. ARP önbelleği, bu eşleme bilgilerini içerir ve dinamik veya statik olarak yapılandırılabilir. ARP'nin kimlik doğrulama mekanizması olmaması nedeniyle, ARP saldırılarına karşı tespit ve önleme stratejileri önemlidir.

ARP yalnızca eski IPv4 standardında 32 bit IP adresleriyle çalışır. Daha yeni IPv6 protokolü, güvenli olan ve ana bilgisayar kimliklerini doğrulamak için şifreleme anahtarlarını kullanan farklı bir protokol olan Komşu Bulma Protokolü (NDP) kullanır. Bununla birlikte, İnternet'in çoğu hala eski IPv4 protokolünü kullandığından, ARP yaygın olarak kullanılmaktadır.

ARP Zehirlenmesi Nedir?

ARP zehirlenmesi ya da ARP spoofing, siber suçluların, meşru bir cihazın veya sunucunun IP adresiyle ilişkilendirilmiş MAC adresini hedef LAN'a sahte ARP mesajları göndererek manipüle ettiği bir saldırı türüdür. Bu saldırı, ağdaki veri çerçevelerini ele geçirmeyi, trafiği yönlendirmeyi veya hatta tüm trafiği durdurmayı sağlayabilir. ARP protokolündeki güvenlik açıklarından yararlanan bu saldırı, siber suçluların IP/MAC adres eşleştirmeleriyle gizlenmelerine olanak tanır. Bu nedenle, bu saldırı türü, kurbanların bilgisi olmadan hassas verilerin bilgisayarlar arasında iletilmesine izin verdiği için son derece tehlikelidir.

ARP spoofing saldırıları, siber suçluların MAC adresleri ile IP adresleri arasındaki ilişkiyi manipüle etmeleriyle gerçekleşir. Bu tür saldırılar yalnızca veri çalma riskini değil, aynı zamanda oturum ele geçirme ve ağ çökmelerine yol açma potansiyeline sahiptir. Ayrıca, bu saldırılar, ortadaki adam saldırısının (Man-in-the-Middle - MitM) ilk adımını oluşturarak LAN üzerinde iletişimi kesip değiştirebilir. Sonuç olarak, ARP spoofing saldırıları dağıtılmış hizmet reddi (DDoS) saldırılarına zemin hazırlayabilir.

Başarılı olan saldırı

Temsili Arp saldırısı

Topoloji üstünde simülesi

ARP Spoofing Saldırıları

ARP kimlik sahtekarlığı saldırılarının etkileri işletmeler için ciddi etkilere neden olabilir. En temel uygulamalarında, ARP kimlik sahtekarlığı saldırıları hassas bilgileri çalmak için kullanılır. Bunun ötesinde, ARP kimlik sahtekarlığı saldırıları genellikle aşağıdaki gibi diğer saldırıları kolaylaştırmak için kullanılır:

• Hizmet reddi saldırıları: DoS saldırıları, birden fazla IP adresini tek bir hedefin MAC adresiyle bağlamak için genellikle ARP kimlik sahtekarlığından yararlanır. Sonuç olarak, birçok farklı IP adresi için tasarlanan trafik, hedefin MAC adresine yönlendirilerek hedefi trafikle aşırı yükleyecektir.

• Oturum kaçırma: Oturum kaçırma saldırıları, oturum kimliklerini çalmak için ARP kimlik sahtekarlığını kullanabilir ve saldırganların özel sistemlere ve verilere erişmesini sağlar.

• Ortada adam saldırılar: MITM saldırıları, mağdurlar arasındaki trafiği durdurmak ve değiştirmek için ARP kimlik sahtekarlığına güvenebilir.

Saldırı yalnızca ARP protokolü kullanan ağlarda mümkündür. Saldırının gerçekleştirilebilmesi için yerel ağ kesimine saldırganın doğrudan erişimi gereklidir.

ARP Önbellek Zehirli Saldırı Nasıl Tespit Edilir

Belirli bir cihazın ARP'sini tespit etmenin basit bir yolu önbellek zehirlendi, komut satırını kullanarak. Yönetici olarak bir işletim sistemi kabuğu başlatın. ARP tablosunu hem Windows hem de Linux'ta görüntülemek için aşağıdaki komutu kullanın:

arp -a

Çıktı şöyle görünecek:

İnternet Adresi Fiziksel Adres

192.168.5.1 00-14-22-01-23-45
192.168.5.201 40-d4-48-cr-55-b8
192.168.5.202 00-14-22-01-23-45

Tablo aynı MAC adresine sahip iki farklı IP adresi içeriyorsa, bu bir ARP saldırısının gerçekleştiğini gösterir. 192.168.5.1 IP adresi yönlendirici olarak tanınabildiğinden, saldırganın IP'si muhtemelen 192.168.5.202'dir.

ARP kimlik sahtekarlığını geniş bir ağda keşfetmek ve saldırganın gerçekleştirdiği iletişim türü hakkında daha fazla bilgi almak için açık kaynaklı Wireshark protokolünü kullanabilirsiniz.

ARP Zehirlenme Saldırısını Önleme

Bilgisayar korsanları, bir LAN'ı ele geçirmek için önceden belirlenmiş bir dizi adımı takip ederler. Sahte ARP paketleri göndererek ağa hile karıştırırlar ve bağlantıyı ele geçirirler. Bu istek, LAN üzerindeki tüm bilgisayarlara yayılarak kontrol tamamlanır.

Ağ yöneticileri, ARP sahtekarlığını tespit etmek için iki farklı teknik kullanabilirler. Pasif bir yaklaşımla, ARP trafiğini izleyip haritalama tutarsızlıklarını arayabilirler. Aktif bir yaklaşımla ise, sahte ARP paketlerini ağa enjekte ederek sistemin zayıf noktalarını belirleyip hızla düzeltme şansına sahip olabilirler, böylece devam eden saldırıyı durdurabilirler.

Bazı geliştiriciler kendi kodlarını yazarak sahtekarlığı tespit etmeye çalışır, ancak bu yaklaşım riskler içerebilir. Protokolün katı olması durumunda aşırı yanlış alarmlar ortaya çıkabilirken, çok esnek olması durumunda ise gerçek saldırılar göz ardı edilebilir.

Şifreleme, bilgisayar korsanının sisteme girmesi durumunda hasarı sınırlayabilir. Ancak tam koruma sağlamak için sürekli ve tutarlı bir şekilde şifreleme uygulanmalıdır.

VPN kullanımı, cihazların şifreli bir tünel üzerinden bağlanmasını sağlayarak iletişimin tamamını şifreleyerek olağanüstü bir koruma sağlayabilir. Bu, bilgisayar korsanlarının iletişimi anında ele geçirmesini engeller.

ARP ZEHİRLEME SALDIRISI

Kullanılacak olan topoloji, resimde görüldüğü gibi gösterilmiştir.

PC1'in ARP tablosu

PC2'in ARP tablosu

Kali Linux ARP tablosu.

Switch'in bulunduğu MAC adres tablosu ve bunun üzerine tüm cihazlarla iletişim kurulmuş gibi görünüyor.

Buradaki senaryo, Kali Linux'u kullanarak diğer makineleri kendime benzermiş gibi gösterip, ağa erişimi sağlamak olacak. Bu makaledeki senaryo, basit bir WLAN ağından farklıdır.

Şimdi bu cihazlar normal bir şekilde haberleşiyor gibi görünüyor ve biz, bu haberleşme ortamına girip, ikisinin iletişimi sırasında araya girecek ve gönderilen verileri saldırgan makineye yönlendireceğiz. Bu sayede şifre ve diğer hassas bilgileri görebileceğiz.

Ettercapı başlatıyoruz.

Taranan hostları ise görmek için buraya geliyoruz.

Hostlar geldi ve şimdi ise saldırımıza başlayalım.

Bulunan hostların üstüne gelip belirtilen alana ekleyip resimdeki gibi görülmesi gerekir. Sizde farklı olabilir.

Ardından buraya gelip ARP poisoning seçeneğine tıklıyoruz.

Ok işaretinin olduğu yere gelip tıkladıktan sonra saldırı başlıyoruz.

Başladı.

İki bilgisayarın ARP tablosunda aynı adres görünüyor ve artık herhangi bir veri gönderildiğinde, bu veri saldırgan makineye yönlendirilecek şekilde konfigüre edildi.

Artık herşey çalınmaya hazır.

ARP PAKET YAPISI ANALİZİ

İlk başta PC1'den PC2'ye ping attım ve bu işlemi Wireshark ile takip ettim. Başlangıçta PC1, PC2'yi hiç tanımıyordu. Şimdi, bu durumu inceleyelim.

PC1 MAC ADRESS : 00:50:79:66:68:00
PC1 İPV4 ADRESS : 192.168.1.10/24

PC2 MAC ADRESS : 00:50:79:66:68:01
PC2 İPV4 ADRESS : 192.168.1.11/24

Birinci işaretli pakette, 00:50:79:66:68:00 MAC adresli makine, etrafa 192.168.1.11 kim diye broadcast adresi yayını yapıyor ve kimse buna karşılık versin diyor.

İşaretli birinci pakette, 'who' diyerek 192.168.1.11 IP adresli makinenin kim olduğunu sorguluyor, 'tell' diyerek ise ben 192.168.1.10 IP adresli makineyim diyor.

1 => Hedef yani yayın adresi, bu paketin bütün herkese yayın yaptığını temsil eder. Bu paketin broadcast olduğunu öğreniyoruz.

2 => Bu sorguyu başlatan makinenin MAC adresidir.

ARP Request ve Response tarzı çalışır. Bir yere yönlendirilemez.

Bu ARP talebinin (request) detayları şu şekildedir:

• Hardware type: Ethernet (1)

  • Donanım türü, Ethernet'in (1) kullanıldığını gösterir.

• Protocol type: IPv4 (0x0800)

  • Protokol türü, IPv4'ün (0x0800) kullanıldığını gösterir.

• Hardware size: 6

  • Donanım boyutu, MAC adresinin 6 bayt uzunluğunda olduğunu belirtir.

• Protocol size: 4

  • Protokol boyutu, IP adresinin 4 bayt uzunluğunda olduğunu belirtir.

• Opcode: request (1)

  • İşlem kodu, bu paketin bir talep (request) olduğunu gösterir.

• Sender MAC address: 00:50:79:66:68:00 (00:50:79:66:68:00)

  • Gönderici MAC adresi, paketi başlatan cihazın MAC adresini gösterir.

• Sender IP address: 192.168.1.10

  • Gönderici IP adresi, paketi başlatan cihazın IP adresini gösterir.

• Target MAC address: Broadcast (ff:ff:ff:ff:ff:ff)

  • Hedef MAC adresi, yayın (broadcast) yapıldığını ve tüm cihazlara hitap edildiğini gösterir.

• Target IP address: 192.168.1.11

  • Hedef IP adresi, ARP talebinin yönlendirildiği IP adresini gösterir.

1 => Hedef, yani uzaktaki makinenin MAC adresi.

2 => Kaynak, yani paketin çıktığı MAC adresi.

3 => Bu paketin kullandığı protokol adresi (bu başlı başına bir ders olarak gelecek).

1 => Opcode reply(2) olan ve bunun bir cevap olduğunu anlıyoruz.

2 => Gönderen MAC adresi ve IP adresi.

3 => Paketin gideceği uzak makinenin IP adresi ve MAC adresi (LAN'da geçerli).

Şimdi gelelim püf noktaya, saldırının kaynağını nasıl analiz edeceğimize; burası önemli!!!

Eğer ağda birçok reply(2) paketi varsa, bu durumun bir ARP zehirleme saldırısı olduğunu vurgulamaktadır.

Buradaki bilgisayarın paket yapısını dinleyip, saldırının analizini yapalım.

Zehirleyen makineden gelen paketleri dinleyerek saldırıyı tespit ediyoruz. Çok karmaşık ağlarda, Wireshark gibi muhteşem bir aracın filtreleme parametrelerini bilmek, işi kolaylaştırıyor ve olağanüstü derecede yardımcı oluyor.

Address Resolution ProtocolWikipedia

ARP ZEHİRLEME SALDIRIS 2