İçeriğe geç
Ana sayfa » Genel » Hacking » ARP Poisoning Saldırısı – Nedir?

ARP Poisoning Saldırısı – Nedir?

ARP Poisoning Nedir?

ARP Poisoning, hedef bilgisayarın arp ön belleğinii manipüle ederek, hedef bilgisayarın göndereceği paketlerin üzerimizden geçmesine, üzerimizden geçen paketleri dinleyerek, kullanıcının bilgilerini ele geçirmemize olanak sağlayan bir saldırı türüdür. Genellikle kafeler, yurtlar gibi WiFi paylaşımı olan yerlerde, bu tip ataklar sıkça gerçekleştirilmektedir. 

Bu saldırı, Man In The Middle Attack yani ortadaki adam saldırısı olarak geçer.

Konunun daha iyi anlaşılması için adım adım ilerleyelim.

arp_banner

ARP Nedir?

ARP (Address Resolution Protocol) Adres Çözümleme Protokolü olarak Türkçeye çevrilir. Basit düzeyde anlatmak gerekirse, iç ağdaki bilgisayarların tamamı, bilgisayarların mac adreslerine göre iletişime geçer. Adres çözümleme işlemi, iç ağda iletişime geçtiği tüm bilgisayarların mac adreslerini alarak ARP önbelleğinde tutar. Ve bu önbelleğe göre iletişime geçer.

Bir örnekle anlatmak gerekirse 192.168.1.5 IP adresli bir bilgisayar, 192.168.1.6 ile iletişime geçtiğinde 192.168.1.6 bilgisayarının mac adresini alır. Artık IP adresi üzerinden iletişime geçmez, mac adresi üzerinden iletişime geçer.

ARP Önbelleği Nedir?

ARP Önbelleği, bilgisayarların iletişime geçtiği IP adreslerinin mac bilgilerinin tutulduğu kısımdır. Gerçekleştirilecek bir sonraki iletişimde herhangi bir ağ yükü yaratmamak ve iletişimi hızlı bir şekilde gerçekleştirmek için, iletişime geçeceği ip adresinin önbellekteki mac karşılığına bakar ve bu bilgileri kullanarak iletişime geçer.

Eğer Windows işletim sistemini kullanıyorsanız, komut satırına arp -a yazarak ARP önbelleğinizi görebilirsiniz.
Eğer Linux işletim sistemini kullanıyorsanız Linux terminale arp yazarak ARP önbelleğinizi görebilirsiniz.

ARP Poisoning Saldırısı

ARP Poisoning, kurban bilgisayara veya bilgisayarlara sahte ARP önbellek güncelleme bilgileri göndererek, kurban bilgisayarın ARP önbelleğinin internete çıkış adresi ile değiştirilmesi olayıdır.
Örnek olarak anlatmak gerekirse internete çıkış adresimizin 192.168.0.1 olduğunu varsayalım. Kurbanın 192.168.0.1 adresinin mac adresini, kendi bilgisayarınızın IP adresi ile değiştirmeyi başarabilirseniz, kurban internete çıkartmak istediği paketleri sizin bilgisayarınıza yönlendirecektir. Bilgisayarınıza gelen istekleri de internete yönlendirerek, tüm trafiğin sizin üzerinizden akmasını sağlayabilirsiniz.
Ufak trafik analiz yazılımları ile, üzerinizden geçen paketleri kontrol ettirebilir, kurban bilgisayarın hangi paketleri dışarıya çıkarttığını görebilirsiniz.
ip poisoning

Büyük Tehlike!

Eğer kurban bilgisayarın girdiği internet siteleri HTTPS (Hyper Text Transfer Protocol Secure) protokolü kullanmıyor ise, saldırganın üzerinden geçirdiği pakette verileriniz açık bir şekilde okunabiliyor olacaktır. Örnek olarak kişisel bilgilerinizi, HTTP protokolü kullanan bir internet sitesine gönderdiğiniz zaman, eğer ARP Poisoning saldırısı altında iseniz, internet sitesine girdiğiniz tüm kişisel bilgileriniz, saldırgan tarafından okunabilir olacaktır.

ARP Poisoning Saldırısına Maruz Kalmış bir Bilgisayar

arp_poisoning_2
Bu saldırı, test ortamında gerçekleştirilmiş olup, güvenlik sebebiyle saldırgan IP adresi gizlenmiştir. Resmi incelediğimiz zaman, Gateway, yani internete çıkış IP adresimizin mac adresi, ARP tablomuzdaki saldırgan mac adresi ile aynı. Kullanıcı bilgisayarı, hem 192.168.0.1 e gitmeye çalışırken, hemde 192.168.0.X e gitmeye çalışırken aynı mac adresini kullanmaktadır.
Dolayısıyla HTTP protokolü kullanan herhangi bir internet sitesine girip, veri gönderdiğimiz taktirde, verilerimiz 00-50-56-23-aa-0d mac adresine, yani saldırgan bilgisayara gidecek, oradan gateway a ve sonrasında internete çıkacaktır. Saldırgan kişi, üzerine gelen paketleri izleyerek, paketlerinizi görüntüleyebilir.

Nasıl Önlem Alabiliriz?

  • Mümkün olduğunca ortak paylaşılan ağlara bağlanmamaya özen göstermelisiniz.
  • SSL Sertifikasına sahip HTTPS internet siteler üzerinden işlem yapmaya özen gösteriniz.
  • ARP Poisoning ataklarını algılayıp önleyebilen antivirüs yazılımları kullanmaya özen gösteriniz.
İçeriğin ve görsellerin tamamı, Discover The Security tarafından oluşturulmuştur. İçeriğin ve görsellerin izinsiz kullanılması yasaktır. İçerikleri veya görselleri kullanmak için lütfen mehmet@mehmeterenakyol.com.tr adresinden iletişime geçiniz.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir