ARP Poisoning, hedef bilgisayarın arp ön belleğinii manipüle ederek, hedef bilgisayarın göndereceği paketlerin üzerimizden geçmesine, üzerimizden geçen paketleri dinleyerek, kullanıcının bilgilerini ele geçirmemize olanak sağlayan bir saldırı türüdür. Genellikle kafeler, yurtlar gibi WiFi paylaşımı olan yerlerde, bu tip ataklar sıkça gerçekleştirilmektedir.
Bu saldırı, Man In The Middle Attack yani ortadaki adam saldırısı olarak geçer.
Konunun daha iyi anlaşılması için adım adım ilerleyelim.
ARP Nedir?
ARP (Address Resolution Protocol) Adres Çözümleme Protokolü olarak Türkçeye çevrilir. Basit düzeyde anlatmak gerekirse, iç ağdaki bilgisayarların tamamı, bilgisayarların mac adreslerine göre iletişime geçer. Adres çözümleme işlemi, iç ağda iletişime geçtiği tüm bilgisayarların mac adreslerini alarak ARP önbelleğinde tutar. Ve bu önbelleğe göre iletişime geçer.
Bir örnekle anlatmak gerekirse 192.168.1.5 IP adresli bir bilgisayar, 192.168.1.6 ile iletişime geçtiğinde 192.168.1.6 bilgisayarının mac adresini alır. Artık IP adresi üzerinden iletişime geçmez, mac adresi üzerinden iletişime geçer.
ARP Önbelleği Nedir?
ARP Önbelleği, bilgisayarların iletişime geçtiği IP adreslerinin mac bilgilerinin tutulduğu kısımdır. Gerçekleştirilecek bir sonraki iletişimde herhangi bir ağ yükü yaratmamak ve iletişimi hızlı bir şekilde gerçekleştirmek için, iletişime geçeceği ip adresinin önbellekteki mac karşılığına bakar ve bu bilgileri kullanarak iletişime geçer.
Eğer Windows işletim sistemini kullanıyorsanız, komut satırına arp -a yazarak ARP önbelleğinizi görebilirsiniz.
Eğer Linux işletim sistemini kullanıyorsanız Linux terminale arp yazarak ARP önbelleğinizi görebilirsiniz.
ARP Poisoning Saldırısı
ARP Poisoning, kurban bilgisayara veya bilgisayarlara sahte ARP önbellek güncelleme bilgileri göndererek, kurban bilgisayarın ARP önbelleğinin internete çıkış adresi ile değiştirilmesi olayıdır.
Örnek olarak anlatmak gerekirse internete çıkış adresimizin 192.168.0.1 olduğunu varsayalım. Kurbanın 192.168.0.1 adresinin mac adresini, kendi bilgisayarınızın IP adresi ile değiştirmeyi başarabilirseniz, kurban internete çıkartmak istediği paketleri sizin bilgisayarınıza yönlendirecektir. Bilgisayarınıza gelen istekleri de internete yönlendirerek, tüm trafiğin sizin üzerinizden akmasını sağlayabilirsiniz.
Ufak trafik analiz yazılımları ile, üzerinizden geçen paketleri kontrol ettirebilir, kurban bilgisayarın hangi paketleri dışarıya çıkarttığını görebilirsiniz.
Büyük Tehlike!
Eğer kurban bilgisayarın girdiği internet siteleri HTTPS (Hyper Text Transfer Protocol Secure) protokolü kullanmıyor ise, saldırganın üzerinden geçirdiği pakette verileriniz açık bir şekilde okunabiliyor olacaktır. Örnek olarak kişisel bilgilerinizi, HTTP protokolü kullanan bir internet sitesine gönderdiğiniz zaman, eğer ARP Poisoning saldırısı altında iseniz, internet sitesine girdiğiniz tüm kişisel bilgileriniz, saldırgan tarafından okunabilir olacaktır.
ARP Poisoning Saldırısına Maruz Kalmış bir Bilgisayar
Bu saldırı, test ortamında gerçekleştirilmiş olup, güvenlik sebebiyle saldırgan IP adresi gizlenmiştir. Resmi incelediğimiz zaman, Gateway, yani internete çıkış IP adresimizin mac adresi, ARP tablomuzdaki saldırgan mac adresi ile aynı. Kullanıcı bilgisayarı, hem 192.168.0.1 e gitmeye çalışırken, hemde 192.168.0.X e gitmeye çalışırken aynı mac adresini kullanmaktadır.
Dolayısıyla HTTP protokolü kullanan herhangi bir internet sitesine girip, veri gönderdiğimiz taktirde, verilerimiz 00-50-56-23-aa-0d mac adresine, yani saldırgan bilgisayara gidecek, oradan gateway a ve sonrasında internete çıkacaktır. Saldırgan kişi, üzerine gelen paketleri izleyerek, paketlerinizi görüntüleyebilir.
Nasıl Önlem Alabiliriz?
Mümkün olduğunca ortak paylaşılan ağlara bağlanmamaya özen göstermelisiniz.
SSL Sertifikasına sahip HTTPS internet siteler üzerinden işlem yapmaya özen gösteriniz.
İçeriğin ve görsellerin tamamı, Discover The Security tarafından oluşturulmuştur. İçeriğin ve görsellerin izinsiz kullanılması yasaktır. İçerikleri veya görselleri kullanmak için lütfen mehmet@mehmeterenakyol.com.tr adresinden iletişime geçiniz.
John the Ripper, Openwall Project tarafından geliştirilmiş ve özgür ve açık kaynak kodlu bir parola kırma aracıdır. Openwall Project, parola kırma, güvenlik ve diğer benzer konularla ilgilenen bir grup yazılım geliştiricisi ve güvenlik uzmanından oluşan bir topluluktur. Aracın başlangıçtaki geliştiricisi,... Read more
Wpscan, açık kaynaklı Kali Linux eklentisi olan bir WordPress güvenlik tarama aracıdır. Bu araç, bir WordPress sitesinin güvenliğini test etmek ve potansiyel güvenlik açıklarını belirlemek için kullanılır. Bu makalede, Wpscan aracını ve özelliklerini detaylı bir şekilde ele alacağız. Wpscan Nedir?... Read more
Bu yazımda CVE-2021-34527 güvenlik zafiyetinin detaylarını ve çözüm yollarını anlatacağım. Blog içerisinde ara sıra bu tip yayınlanmış güvenlik zafiyetlerinin kapatılmasına ve sömürülmesine dair çeşitli içerikler paylaşmayı düşünüyorum. Bu tip yazılarımın tamamına, Güvenlik Zafiyetleri kategorisinden erişebilirsiniz. A) Tarih 1 Temmuz 2021... Read more
DNS Sorgulamak Hedefli saldırılarda birinci öncelik hedef hakkında bilgi toplama aşamasına aittir diyebiliriz. Bilgi toplamak kendi içerisinde aktif bilgi toplama ve pasif bilgi toplama olarak ikiye ayrılıyor. Bu başlıklara kısaca değinmek gerekirse, aktif bilgi toplama aşamasında kurbana dokunulur, bilgi topladığınıza... Read more
İçerik Tablosu theHarvesten Nedir? theHarvester, Kali Linux üzerinde kurulu gelen, sızma testi dünyasında çok popüler olan bir pasif bilgi toplama aracıdır. Kullanımı oldukça kolaydır. theHarvester i genel olarak tanımlamak gerekirse, size hedef hakkında yığın bir veri toplar. Bu verileri analiz... Read more
Dork, belli türde internet siteleri tespit etmemize olanak sağlayan ufak anahtar kelimelerdir olarak tanımlayabiliriz. Genellikle defacerlar tarafından zafiyet içeren internet sitelerin tespit edilmesi için kullanılıyor. Sızma testi öncesi bilgi toplamak için de dorklar kullanılabilmektedir. Read more
Sqlmap ile SQL Injection güvenlik zafiyetlerini analiz ederek, eğer varsa zafiyet, kurbanın veri tabanına sızmamıza olanak sağlayan bir sızma testi aracıdır. Oldukça popülerdir. Alternatifleri arasında en çok tercih edilen olduğunu söyleyebilirim. İlk önce neden Sqlmap, buna değinelim, sonrasında detaylarına yavaş… Read more
Genellikle çok sık sömürülen güvenlik zafiyetlerinin başında gelmektedir. OWASP Top10 2017 raporuna göre en çok sömürülen zafiyet sıralamasında ilk sırada yer almaktadır. Read more
Session Hijacking yazımıza başlamadan önce cookie nedir, bunu tanıtarak gidelim. Sonrasında session hijacking yöntemi ile SSL sertifikası ile şifreli internet sitelerdeki hesaplar nasıl çalınır, bunlardan bahsedelim. Read more
Cross-site Scripting, bir internet siteye dışarıdan, zararlı kodların dahil edilmesi olayıdır. OWAPS ın 2013 raporuna göre ilk 3 popüler saldırı türü içerisinde yer alıyor... Read more