Nasıl Yapılır ve Nasıl Korunulur?
Bir network üzerinde kurban bilgisayar ile diğer ağ araçları (yönlendirici, switch, modem ya da server gibi) arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme ilkesine dayanan bir saldırı çeşididir. Aradaki adam saldırısı ağ üzerindeki paketleri yakalayarak manipüle etmek olarak özetlenebilir.
Saldırı Yöntemleri
Klasik yöntemlerden biri şudur: ARP zehirlenmesi yaparak yönlendiricinin ARP tablosu taşırılır. Yönlendirici gelen ARP isteklerini yanıtlayamaz hale gelir. Sonrasında ağda broadcast olarak ARP isteği yanıtı paketleri yollanır. Bu durumda ağda yönlendirici arayan bir bilgisayar olursa gerçek yönlendirici yerine saldırganın bilgisayarını yönlendirici olarak tanıyacaktır. Ağ üzerinde verilerini saldırganın bilgisayarı üzerinden gönderecektir. Şifrelenmemiş her veri paketi kolaylıkla açılabilir ve değiştirilebilir.
Kablosuz ağlarda ise paketler tamamen broadcast olarak yayıldığı için herhangi bir ön işleme gerek olmaksızın tüm paketler saldırgan tarafından yakalanabilir. Şifrelenmemiş paketlerin içerikleri kolaylıkla okunabilir. Ancak değiştirilen paketlerin yeniden kurban bilgisayara gönderilmesi için pasif olarak dinleme pozisyonunda olmak yeterli değildir.
ARP Spoofing
ARP Spoofing, bir diğer adıyla ARP Zehirlenmesi. Saldırganlar ağ içerisinde IP ve MAC Adresleri eşleştirmelerine müdahale ederek ağ cihazı ile bilgisayarların arasına girmesi olarak tanımlanabilir. Yukarıda ağ içerisinde bilgisayarın haberleşebilmesi için öncelikli olarak ARP protokolünü kullandığından bahsedilmişti. Eğer saldırgan ağ içerisinde hedefin ve ağ cihazının ARP tablolarını zehirleyebilirse, yani kendi MAC Adresini hedef bilgisayarın tablosuna “Ağ Cihazı MAC Adresi” olarak, ağ cihazı ARP tablosuna ise “Hedef Bilgisayar MAC Adresi” olarak yazdırırsa, araya girmiş olur. Bu durumda hedef bilgisayar ile ağ cihazı arasında bulunana trafik saldırganın üzerinden geçer. Saldırgan bu trafiği dinleyebilir ve değiştirebilir.
Bir ağ içerisine ARP Spoofing’in nasıl yapıldığına ilerleyen başlıklarda değinilmiştir
IP Forwarding
Test için kullanacağımız işletim sistemi Kali Linux, yapısı gereği ağdaki başka bilgisayarlar için gelen paketleri düşürür. Bu durumda MITM testi gerçekleştirilemez, burada devreye IP Forwarding (IP Yönlendirme) girer.
IP Yönlendirme ağ içerisinde IP paketlerinin bir ağ ara yüzünden bir diğerine yönlendirme işlemidir ve MITM testi için öncelikle IP Yönlendirmenin aktif edilmesi gerekmektedir. Linux çekirdeği IP Yönlendirme işlemi için tüm altyapı içerisinde barındırır ve aktif hale getirilmesi çok kolaydır.
IP Yönlendirme durumunu öğrenebilmek için terminalde aşağıdaki komut çalıştırılır.
cat /proc/sys/net/ipv4/ip_forward
Eğer dönen değer 0 (sıfır) ise IP Yönlendirme aktif değildir. Aktif etmek için aşağıdaki komutu çalıştırılır.
echo 1 > /proc/sys/net/ipv4/ip_forward
Artık IP yönlendirme sistem üzerinde açıktır ve çalışmaya başlamıştır.
ARP Spoofing İşlemleri
Kali Linux ile beraber gelen “arpspoof” aracı ile ağ cihazı ve kurban arasına girilebilir. “arpspoof” aracı ağ içerisinde istenilen ARP paketlerini oluşturarak, hedefe gönderir ve hedefin ARP tablosunu zehirlemeye çalışır.
İşlemlere başlamadan önce hedef bilgisayardan alınmış olan ARP Tablosu aşağıdaki ekran görüntüsünde bulunmaktadır.
“arpspoof” aracı aşağıdaki gibi komutlar ile kullanılabilir. Hedef IP adresinin sonuna/24 eklenerek ağa bağlı tüm bilgisayarların ARP Tablosu zehirlenebilir. Yazı içerisinde sadece bir bilgisayar ile ağ cihazı arasına girilmiştir.
Öncelikle hedefin ARP tablosunu zehirlenecektir, bunun için aşağıdaki komut kullanılmıştır.
arpspoof -i [AĞ ARAYÜZÜ] -t [HEDEF IP] [AĞ CİHAZI IP]
Yukarıdaki komut çalıştırıldığında hedef bilgisayarın ARP tablosunu zehirlemek için sürekli olarak ARP REPLY paketleri hedefe gönderilmektedir. Aşağıda ilgili ekran görüntüsü bulunmaktadır.
Ardından ağ cihazının ARP tablosunu zehirlenir, bunun için aşağıdaki komut kullanılır.
arpspoof -i [AĞ ARAYÜZÜ] -t [AĞ CİHAZI IP] [HEDEF IP]
Yukarıdaki komut çalıştırıldığında ağ cihazının ARP tablosunu zehirlemek için sürekli olarak ARP REPLY paketleri hedefe gönderilmektedir.
Korunma Yolları
En temel güvenlik önlemi, değerli bilgileri (parola, kredi kartı numarası gibi) HTTPS gibi şifrelenmiş protokoller üzerinden göndermektir. Bu durumda paketler saldırganın eline geçse dahi içerikleri görüntülenemez ve değiştirilemez.
Detaylı anlatım için linke gidebilirsiniz.