ARP Poisoning (ARP Zehirlenmesi)

Bir önceki yazımda ARP’nin ne olduğundan bahsetmiştim şimdi ise ARP üzerinden yapılan bir Man In The Middle Attack(Ortadaki Adam Saldırısı) saldırısından bahsedeceğim: ARP Poisoning(ARP Zehirlemesi).Bu konun anlaşılması için öncelikle şu 2 kavramı bilmemiz gerekir:

       1-) ARP

       2-) Default Gateway (Varsayılan Ağ Geçiti)

Birinci kavramı zaten önceki yazıda anlatmıştık.Şimdide biraz ikinci konudan , Default Gatewayden, bahsedelim.

Biligisayarımız ile yerel ağımızda bulunmayan bir hosta(web sunucusu,dosaya sunusu vb..) erişmek istediğimizde, yaptığımız isteğin bulunuğumuz ağdan başka bir ağa geçişini sağlayan bir Ağ Geçiti olarak tanımlayabiliriz. Bir örnek verirsek daha analşılır olacak gibi.

Örnek

Bir bilgisayarımız(PC1) olsun ve bu bilgisayarımız aliozturk.com.tr adersine erişmek istesin.



Ama bakıyoruz ki aliozturk.com.tr bizim yerele ağımızda değil başka bir ağda.O zaman ne yapıyoruz, isteğimizi Gatewaye(192.168.2.1) göndeririz , oda isteğimizi ağımızın dışına yani internete çıkarır ve çeşitli routerler aracılığıyla isteğimiz aliozturk.com.tr iletilir.Cmd erkanına ipconfig yazarak ağımızdaki dafault gateway adresini öğrenebiliriz.

ARP ve default gateway kavramlarını açıkladığımıza göre gelelim şimdi ARP Poisoning konusuna.Adında anlaşılacağı gibi bu saldırı türünde saldırgan bir zehirleme yapar ve kendini ağdaki Gateway gibi gösterir.Dolayısıyla bütün internet trafiği saldırganın bilgisayarı üzerinden geçer.Ve saldırgan bu trafik üzerindeki verileri toplayarak , saldırıyı gerçekleştirmiş olur.Gelin şimdi bu işin uygulamasını yapalım.

Bir ağımız ve iki tane bilgisayarımız var :

  •  PC1 ,  ip adres : 192.168.218.154 ( Hedef Makine ) 
  •  PC2 ,  ip adres : 192.168.218.128 ( Saldırgan Makine )

Ve bu iki PC nin bulunduğu ağdaki Default Gateway adresi : 192.168.218.2

Bu uygulama için kalilinux üzerindeki ettercap aracını kullanacağız.

Şimda saldırgan makinemizdeki gerekli ayarları yapalım.

Öncelikle ettercap uygulamamızı açıyoruz.

  • Applications > Sniffing & Spoofing > ettercap

Açılan ekrandan Sniff > Unified sniffing..

Şimdide bağlı olduğumuz internet arayüzünü seçiyoruz.

Şimidide Hosts sekmesi altındaki Hosts list seçeneğine tıklayalım , Scan for Hosts diyerek ağımızdaki hostları görüntüleyelim.

Ettercap ağdaki hostları buldu.Şimdi ise default gateway i Target 1 e , kurban PC yi ise Target 2 ye atayacağız.



Hedeflerimiz tanımladık artık atağa başlaya biliriz. Mitm > ARP Poisoning diyoruz ve atak başlıyor.

Şimdi ağ trafiğinde neler oluyor ona bakalım.

79 . Satırda diyorki 192.168.218.154(Kurban PC) nin mac adresi 00:0c:29:a8:d7:c7 dir , ama tabiki de bu bir yalan bu mac adresi saldırganın mac adresi.Saldırgan bu arp paketlerini göndererek kendini kurban PC gibi gösterir. 76. satırda ise kurban PC için yaptığı arp yayınını bu sefer default gateway için yapıyor .Ve kendini default gateway gibi gösteriyor. Ve trafiği kendi üstüne çeker. 

Gelin şimdide saldırganın bu trafiği nasıl analiz edeceğine , neler elde edebilir onlara bakalım.

Kurban makinemiz bir login işlemi gerçekleştiriyor bakalım bilgilerini ele geçirebilecek miyiz?

Saldırgan makinemiz deki wireshark uygulamasını açalım ve ağ trafiğini dinlemeye başlayalım.Bunun için terminal ekranına “wireshark” yazıyoruz.Dinlemek istediğimiz arayüzü seçtikten sonra dinlemeye başlıyoruz.

Gördüğümüz gibi kurban makinemiz üzerinden yapılan login işleminin bilgilereni ele geçirdik.

Şimdide saldırgan makinemiz üzerindeki driftnet uygulamasını kullanarak ağ daki resimleri görelim. Bunun için terminal ekranına “driftnet -i eth0” yazıyoruz.

Ve gördüğümüz gibi kurban makinemizin ziyaret ettiği sayfadaki resimlere ulaştık.