Bu yazımda arp spoofing açığını  ve bu açığı kullanarak ssl strip ile https bir siteyi http ye zorlayarak trafiği dinlemeyi anlatacağım , geçtimiz yıllarda facebook , twitter gibi önemli mecralarda bu açık çok yaygın kullanılarak kişilerin bilgilerini ele geçirme imkanları olabiliyordu fakat günümüzde farkındalığın artmasından dolayı çok tutmuyor 🙂 

kısaca arp protokolünden bahsetmek gerekirse ,

Bilgisayar ağları içerisinde bilgisayarların haberleşebilmesi için iki adet adres bilgisine sahip olmaları gerekmektedir. Birinci adres bilgisi, Fiziksel MAC Adresidir. İkinci adres bilgisi ise Mantıksal IP Adresidir.

LAN yapısı içerisinde kullanılan Anahtarlama (Switch) Cihazları üzerinden geçen trafiği yönlendirmek için ağa bağlı bilgisayarların Fiziksel MAC Adresi bilgisini kullanır ve bu adres bilgisine göre trafiği yönlendirir.

Bilgisayarlar ağ içerisinde ARP Protokolü (Adres Çözümleme Protokolü – Address Resolution Protocol) çözümleme mekanizmasını kullanılarak Mantıksal IP Adresini bildiği bir bilgisayarın Fiziksel MAC Adresini ARP Tablosu üzerinden öğrenir. Bu adres bilgileri ile bilgisayarlar ağ içerisinde birbirleriyle haberleşebilir. Kısacası ARP ağ içerisinde Fiziksel MAC Adresi ile Mantıksal IP Adresi arasındaki bağlantıyı sağlar.

ARP Saldırıları

Man In The Mıddle Attack, Türkçe karşılığı olarak Ortadaki Adam Saldırısı veya Aradaki Adam Saldırısı, bir ağ içerisinde hedef ile ağ unsurları (sunucu, switch, router ya da modem) arasında geçen trafiği dinlemek, değiştirmek olarak tanımlanan saldırı türüdür. MITM Saldırıları OSI Modeli içerisinde 2. Katman (Layer 2 – Data Link) içerisinde gerçekleştirildiği için, saldırgan başarılı olduktan sonra tüm trafiğe hakim olabilmektedir. Bu hakimiyet şifreli olan “https” trafiğinden şifresiz trafiğe kadar sınırsızdır. Başarılı bir MITM Saldırısı devamında saldırganın yapabileceği işlemler tamamen bilgi, beceri ve hayal gücüne kalmıştır.

ARP Poisoning

Saldırganlar ağ içerisinde IP ve MAC Adresleri eşleştirmelerine müdahale ederek ağ cihazı ile bilgisayarların arasına girmesi olarak tanımlanabilir.

Eğer saldırgan ağ içerisinde hedefin ve ağ cihazının ARP tablolarını zehirleyebilirse, yani kendi MAC Adresini hedef bilgisayarın tablosuna “Ağ Cihazı MAC Adresi” olarak, ağ cihazı ARP tablosuna ise “Hedef Bilgisayar MAC Adresi” olarak yazdırırsa, araya girmiş olur.

Bu durumda hedef bilgisayar ile ağ cihazı arasında bulunana trafik saldırganın üzerinden geçer. Saldırgan bu trafiği dinleyebilir ve değiştirebilir.

 

Yeterli seviyede temel bilgiyi aktardıktan sonra komutlara gelecek olur isek,

Öncelikle bilinmesi gereken komut ;

Arp tablosu bilgileri ‘arp -a‘ komutu ile görülebilir.

1- echo 1 > /proc/sys/net/ipv4/ip_forward
2- iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 8080
3- ip route ( router ip mizi öğrenebileceğimiz komut  )
4- arpspoof -i eth0 -t (hedef ip ) -r ( bizim router ip miz )

Komutları kali de sırasıyla yazdıktan sonra , wireshark’ı açıp ağı sniff ediyoruz  ve ağ üzerinde arp spoof açığı var ise trafiği üzerimizden geçirip http bağlantıları yakalayarak giden gelen datayı rahatlıkla görebiliriz.

Şimdi gelelim sslstrip ile https yayını nasıl http yaptığımıza ;

sslstrip kali de hali hazırda bulunuyor . arp spoof saldırısında yazdığımız komutları çalıştırdıktan sonra farklı bir terminal üzerinde sslstrip -l 8080 komutunu çalıştırıyoruz ve bu komut sayesınde hedef kişinin https yayın veren bir siteye/uygulamaya gitmeye çalıştığında karşı tarafı http yayın’a gitmesini zorluyor. Daha sonrasında datayı yakaladığımız zaman  cat sslstrip.log  komutu ile log ları inceleyebiliyoruz .

 

ARP Poisoning Önleme Yöntemleri

  • Subnetting : Networkü küçük Vlan’lere bölmek ve yetkili kullanıcıları dış ortamdan soyutlamak arp poisoning saldırısının yüzeyini azaltmaktadır.
  • Encryption: Network üzerinde akan trafik şifrelenirse paketler ele geçirilse dahi okunamadığı için işe yaramayacaktır.
  • Static ARP : Arp tablosunun statik olarak doldurulması arp anonslarına ihtiyacı ortadan kaldıracağı için bu saldırı önlenmiş olur ancak büyük networkler için uygulanabilirliği düşüktür.
  • İç networkte IDS(Intrusion Detection System) veya ARP Wathcher kullanarak sistemi gözlemlemek. Örneğin ArpON ve Arpalert gibi açık kaynak kodlu araçlar kullanılarak ARP protokolünün güvenli bir şekilde çalışması sağlanmış olur.
  • Network firmaları tarafından satılan ürünlerde ARP security veya Dynamic ARP Inspection özellikleri aktif hale getirilerek saldırı önlenebilir

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir