Man In The Middle Attack Ve ARP Poisoning,Güvenlik Kavramları

Man In The Middle Attack Ve
ARP Poisoning
ARP
POSINING
ARP
Poisoning,
ARP
zehirleme
anlamına
gelmektedir.
ARP
protokolünün temel çalışmasındaki zaafiyetleri kullanarak
gerçekleştirilir.
ARP
(Adress Resolution Protokol), Layer 2 katmanının ana
protokolüdür. Yerel ağlarda iletişim bilindiği üzere IP
adresleri üzerinde değil, MAC adresleri üzerinden
gerçekleştirilir. Bunun için her cihaz, iletişime geçmek
istediği cihazın (internete çıkarken DSL modem dahil) MAC
adresini bilmek zorundadır.
Bu sebeple, Layer 2 katmanında, iletişim öncesinde ARP
protokolü devreye girer, Arp request ve Arp reply
paketlerini kullanarak, IP’si bilinen cihazın MAC adresini
bulur, daha sonra MAC adresleri üzerinden iletişim sağlanır.
ARP Zehirlenmesi Çeşitleri
ARP
zehirlenmesi
adı
verilen
saldırılar
yerel
ağlarda
gerçekleştirilen saldırılardır. ARP saldırılarının yerel
ağlarda yapılmasının sebebi ise MAC adresinin yerel ağ dışına
gönderilmemesidir. Yerel ağda MAC adresi bilgisi o ağda yer
alan swicth ve yönlendirici gibi elemanlara gönderildiği için
saldırgan MAC adresi bilgisine ulaşabilir. Buradaki güvenlik
açığını kullanarak, ARP tabloları üzerinde istediği
değiştirmeleri yapabilir. ARP zehirlenmesi üç şekilde
gerçekleştirilmektedir.
1. Hedef Bilgisayarın ARP tablosunu doldurarak
2. Ortadaki adam yöntemiyle
3. Hedef Bilgisayarın Paketlerini Başka Bir Bilgisayara
Göndererek gerçekleştirilir
1.Hedef Bilgisayarın ARP tablosunu Doldurma
Burada saldırgan hedef bilgisayarın ARP tabloları üzerinde
doğrudan değişiklikler yapar. Örneğin; saldırgan hedef
bilgisayarın ARP tablosunu yanlış bilgilerle doldurur ve hedef
bilgisayarın göndereceği paketlerin saldırganın belirttiği
adreslere gitmesini sağlayabilir. Bu yöntemle gönderilmek
istenilen paketin, istenilen yere ulaşması engellenebilir.
2.Ortadaki Adam Yöntemi (Man in the Middle)
Bu yöntemde saldırgan, hedef bilgisayar kurban bilgisayarın
ulaşmak istediği noktanın arasına girer. Bütün iletişimi
istediği gibi kontrol eder. Ağda gönderilen bir paketi alıp,
paketin destination MAC adres bilgisine kendi MAC adresini
yazar. Pakete yapılan bu müdahele ile artık yollanan paketler
saldırganın bilgisayarına gider. Saldırgan da paket üstünde
istediği gibi değişiklik yapabilir. Bu yöntemle kullanıcının
yolladığı tüm bilgiler saldırgan üzerinden geçer ve bu yöntem
oldukça tehlikelidir. Tüm gönderilen bilgiler (kredi kartı
bilgileri, şifre vb.) alınabilir. Bu yöntem ARP poisining
dışında pek çok saldırılarda da kullanılmaktadır. En fazla
kullanılan saldırı çeşitlerindendir.
3. Hedef
Gönderme
Bilgisayarın
Paketlerini
Başkasına
Burada da saldırgan hedef bilgisayarın göndereceği paketi
başka
bir
bilgisayara
gönderebilir.
Örneğin
kullanıcının HTTP (İngilizce Hyper-Text Transfer Protocol,
Türkçe Hiper Metin Transfer Protokol) üzerinden erişmek
istediği web sayfası yerine kendi oluşturduğu sayfaya
kullanıcıyı götürebilir. Bu şekilde bilgisayar servis dışı
bırakılabilir.
Bu makalede Arp Poosining saldırı çeşitlerinden ortadaki adam
(mitm) saldırısı nasıl yapılır bir örnek verilerek
anlatılacaktır . Senaryo da bir saldırgan kali makinası ve
birde kurban başka bir kali makinası olacaktır.
Aşağıdaki resimde saldırgan kali bilgisayarın ip si ve
interface görünüyor.
Kurban kali ise aşağıdaki gibi olacaktır.
129 ip li kali saldırgan 131 ip li kali kurban makinasına arp
spoof yapmaya başlayacak.
Yukarıdaki resimlerde görüldüğü üzere ilk önce hangi portları
dinleyeceğimizi belirtiyor sonrasında ise kurban bilgisayarın
ip sini ve gw bilgilerini girip arp reply paketlerini
göndermeye başlıyoruz. Aşağıdaki komut kurban makinanın
internet trafiğini dinlemek için yazılan bir komuttur.
Görüldüğü üzere belirtilen portlardan kurban dinlemeye
başlanılır.
Buradan sonrasında kurban bilgisayarın internete girmesi
beklenir. Eğer istenilirse aşağıdaki komutta olduğu gibi
driftnet komutunu girilerek kurbanın girdiği internet
sitelerinin ekran görüntülerini de kaydedebilir . Bu aşamadan
sonra kurban bilgisayardaki kullanıcının internete erişimi
beklenilir.
Kurban bilgisayar mynet.com adresine girmiş bulunmakta bundan
sonrasında ise bir önceki yazılan komuta dönüş yapılarak
aradaki dinlenilen trafik incelemeye alınır.
Kurban kali (192.168.1.131) bilgisayarın mynet.com girmesiyle
trafik akışı karşımıza gelmiş oldu. Burada kurban bilgisarın
hangi browser i kullandığı, hangi işletim sistemi ve hangi url
leri ziyaret ettiğine kadar bilgiye sahip olabilirsiniz.
Driftnet komutu ile görüldüğü gibi kurbanın ziyaret etmiş
olduğu sitelerin ekran görüntüleri alınmış oldu.
Bura da ise hangi resimlerin kaydedildiği görülmektedir.
Güvenlik Kavramları Sözlüğü
SSL : (Secure Sockets Layer) (Güvenli Giriş Katmanı)
dır.Sunucu ile istemci arasındaki veri akışını şifrelemeye
yarar.
SQL : (Structured Query Language-Yapısal Sorgulama Dili)
veritabanlarında data çekme, veri silme ve değiştirme gibi
işlemler için kullanılan basit yapılı bir dildir. Güncel
veritabanı yazılımlarının birçoğunda (MySQL, MSSQL,
PostgreSQL…) kullanılır.
SQL İnjection : SQL sorgusunun içerisine dışarıdan müdahale
ederek var olan sorgunun değiştirilmesi , yeni bir SQL sorgu
oluşturmak ve yeni oluşan sorgunun Database Server tarafında
çalıştırmasını sağlamaktır. Bu yöntem ile Database’de bulunan
bilgiler elde edilebilinir.(üye bilgileri, yönetici
şifreleri…)
Phishing Saldırıları : (Oltalama Saldırıları) Phishing
“Password” (Şifre) ve “Fishing” (Balık avlamak) sözcüklerinin
birleştirilmesiyle oluşturulan Türkçe’ye yemleme (oltalama)
olarak çevrilmiş bir saldırı çeşididir.
Phishing saldırıları son zamanların en gözde saldırı çeşidi
olarak karşımıza çıkmaktadır. Bir banka veya resmi bir
kurumdan geliyormuş gibi hazırlanan e-posta yardımıyla
bilgisayar kullanıcıları sahta sitelere yönlendirilir.
Phishing saldırıları için ‘Bankalar, Sosyal Paylaşım Siteleri,
Mail Servisleri, Online Oyunlar vb. sahte web sayfakları
hazırlanmaktır. Burada bilgisayar kullanıcısında özlük
bilgileri, kart numarası, şifresi vb. istenir. E-posta ve
sahte sitedeki talepleri dikkate alan kullanıcıların bilgileri
çalınır.
Brute Force Attack : (Kaba Kuvvet Saldırısı) Web
yazılımlarının login(giriş) kısımlarına yapılan deneme yanılma
saldırılarıdır.Amaç deneme yanılma yöntemiyle bir kullanıcı
adına ait şifreyi bulmak ve yönetimi ele geçirmektir.
DOS : (Denial of Service) Hizmeti aksatma saldırılarıdır.DoS
saldırılarının amacı genellikle, sunucunun kaynaklarını
tüketmek ve bant genişliğini mümkün olduğunca çok
kullanmaktır.Bu şekilde sitenin, kullanıcılarına hizmet
verememesi amaçlanır.
DDOS : (Distrubuted Denial of Service) – Dağıtık Servis
Engelleme saldırısıdır .Saldırganın saldırıya geçmeden önce
oluşturduğu bilgisayar topluluğu (botnet) ile hedefe
saldırmasıdır.DDos saldırısı, koordineli olarak yapılır ve
DoS’a göre daha fazla zarar verir.Kısaca bir DoS saldırısını
bir sürü farklı
olursunuz.
bilgisayardan
yaparsanız
Ddos
yapmış
DRDOS : (Distrubuted Reflective Denial of Service) DDoS’a
benzerdir.
Tek farkı, daha sık aralıklarla atak yapmak amacıyla ek ağlar
kullanmaktadır.
Man İn The Middle Attack : Aradaki adam saldırısı -Ortadaki
adam saldırısı saldırganın bağlı olduğu ağda, kurban ile
modem, router,sunucu…gibi cihazların arasına girerek
şifrelenmemiş verileri ele geçirmesidir.
Zero day saldırısı : (Sıfırıncı Gün Saldırısı) Bir yazılımda
bulunan
açıktan
faydalanılarak
gerçekleştirilen,
geliştiricinin henüz farketmediği veya yama gibi…vb. bir çözüm
uygulamadığı saldırı tipidir.
Botnet saldırıları : Temelde birçok bilgisayarın saldırgan
veya saldırganlar tarafından tek bir noktadan kötü amaçlar
doğrultusunda yönetilmesi sonucunda oluşan saldırılardır.Zombi
saldırıları da denebilir.
VPN : Virtual Private Network (Sanal Özel Ağ) Kısaca iki
bilgisayarın şifreli olarak haberleştiği özel bir ağ
sistemidir diyebiliriz. İki bilgisayarın karşılıklı
haberleşmesi şifrelenmiş olarak gerçekleştiği için dinlenmesi
ve 3. tarafların veri erişimi ihtimali de yok denecek kadar
azdır.
VPN
ile
karşı
bilgisayara
bağlanarak,
onun
üzerinden
internette sörf yapabilirsiniz. Diğer bir deyişle İngiltere’de
bir firmadan VPN hizmeti aldıysanız sanki İngiltere’de bir
kullanıcı gibi internette gezinebileceksiniz.Yasaklı site
kavramı sizin için bir anlam ifade etmeyecektir.
VPS : ( Virtual Private Server ) Paylaşımlı Özel Sunucu .Bir
sunucunun çeşitli yazılımlar vasıtasıyla birbirinden bağımsız
ve birden fazla sanal sunucuya ayrılması sonucu ortaya çıkan
her bir sanal sunucuya denir.
Vps sunucular aynı sunucuda olduğu halde birbirinden bağımsız
olarak çalışmasına olanak sağlar. Paylaşılan sunuculara erişim
kısıtlanmıştır. Her sanal sunucu kendi işletim sistemi,
kontrol paneli ve kendine ait kapasiteleri mevcuttur.