ARP Spoofing Saldırısında Kullanılacak Araçlar
ARP sahtekarlığını başlatmak için kullanılabilen Arpspoof, Cain & Abel, Arpoison ve Ettercap gibi birçok araç vardır.
Bahsedilen araçların ARP isteğini tartışmalı bir şekilde nasıl gönderebileceğini gösteren ekran görüntüsü:
Ayrıntılarıyla ARP Spoofing Saldırısı
Bazı ekran görüntülerini görelim ve adım adım ARP sahtekarlığını anlayalım:
Aşama 1 :
Saldırganın beklentisi, kurbanın MAC adresini öğrenebilmek için ARP yanıtı almaktır. Şimdi verilen ekran görüntüsünde daha da ileri gidersek 192.168.56.100 ve 192.168.56.101 IP adreslerinden 2 adet ARP yanıtı olduğunu görebiliriz. Bundan sonra kurban [192.168.56.100 ve 192.168.56.101] ARP önbelleğini günceller ancak geri sorgulama yapmaz. Bu nedenle, ARP önbelleğindeki giriş asla düzeltilmez.
ARP istek paket numaraları 137 ve 138'dir. ARP yanıt paket numaraları 140 ve 143'tür.
Böylece saldırgan ARP spoofing yaparak zafiyeti bulur. Buna “saldırı girişi” denir.
Adım 2:
Paket numaraları 141, 142 ve 144, 146'dır.
Önceki aktiviteden, saldırgan artık 192.168.56.100 ve 192.168.56.101 geçerli MAC adreslerine sahiptir. Saldırganın bir sonraki adımı, ICMP paketini kurbanın IP adresine göndermektir. Saldırganın ICMP paketi gönderdiğini ve 192.168.56.100 ve 192.168.56.101'den ICMP yanıtı aldığını verilen ekran görüntüsünden anlıyoruz. Bu, her iki IP adresine de [192.168.56.100 ve 192.168.56.101] erişilebilir olduğu anlamına gelir.
Aşama 3:
Ana bilgisayarın aktif olduğunu ve 08:00:27:dd:84:45 ile aynı MAC adresine sahip olduğunu doğrulamak için 192.168.56.101 IP adresi için son ARP isteğinin olduğunu görebiliriz.
Verilen paket numarası 3358'dir.
Adım 4:
192.168.56.101 IP adresi ile başka bir ICMP isteği ve yanıtı var. Paket numaraları 3367 ve 3368'dir.
Buradan saldırganın IP adresi 192.168.56.101 olan kurbanı hedef aldığını düşünebiliriz.
Artık 192.168.56.100 veya 192.168.56.101 IP adresinden IP 192.168.56.1'e gelen herhangi bir bilgi, IP adresi 192.168.56.1 olan MAC adresi saldırganına ulaşmaktadır.
Adım 5:
Saldırgan erişim elde ettikten sonra gerçek bir bağlantı kurmaya çalışır. Verilen ekran görüntüsünden, HTTP bağlantı kurulumunun saldırgan tarafından denendiğini görebiliriz. HTTP içinde bir TCP bağlantısı vardır, bu da 3 YOLLU bir el sıkışma olması gerektiği anlamına gelir. Bunlar, TCP için paket değiş tokuşlarıdır:
SYN -> SYN+ACK -> ACK.
Verilen ekran görüntüsünden, saldırganın SYN paketini farklı bağlantı noktalarında birden çok kez yeniden denediğini görebiliriz. Çerçeve numarası 3460 ila 3469. Paket numarası 3469 SYN, HTTP olan bağlantı noktası 80 içindir.
Adım 6:
İlk başarılı TCP anlaşması, verilen ekran görüntüsünden aşağıdaki paket numaralarında gösterilir:
4488: Saldırganın SYN çerçevesi
4489: 192.168.56.101'den SYN+ACK çerçevesi
4490: Saldırganın ACK çerçevesi
Adım 7:
TCP bağlantısı başarılı olduğunda, saldırgan HTTP bağlantısını [çerçeve numarası 4491 - 4495] ve ardından SSH bağlantısını [çerçeve numarası 4500 - 4503] kurabilir.
Artık saldırı, aşağıdakileri yapabilmesi için yeterli kontrole sahiptir:
- Oturum ele geçirme saldırısı
- Ortadaki adam saldırı [MITM]
- Hizmet Reddi (DoS) saldırısı
ARP Spoofing Saldırısı Nasıl Engellenir?
ARP sahtekarlığı saldırısını önlemek için alınabilecek bazı korumalar şunlardır:
- “Statik ARP” girişlerinin kullanımı
- ARP sahtekarlığı algılama ve önleme yazılımı
- paket filtreleme
- VPN'ler vb.
Ayrıca, HTTP yerine HTTPS kullanırsak ve SSL (Güvenli Yuva katmanı) taşıma katmanı güvenliğini kullanırsak, bunun tekrar olmasını engelleyebiliriz. Bu, tüm iletişimlerin şifrelenmesi için yapılır.
Çözüm
Bu makaleden, ARP sahtekarlığı saldırısı ve herhangi bir sistemin kaynağına nasıl erişebileceği hakkında bazı temel fikirler edindik. Ayrıca artık bu tür saldırıları nasıl durduracağımızı da biliyoruz. Bu bilgi, ağ yöneticisinin veya herhangi bir sistem kullanıcısının ARP sahtekarlığı saldırısından korunmasına yardımcı olur.