ARP POISONING ATAĞI

Bir önceki yazımda ARP protokolünün ne olduğundan ve nasıl çalıştığından bahsetmiştim. Şimdi de bu arp protokolü ile ilgili atakların nasıl yapıldığını ve bu ataklardan nasıl korunabileceğimizi öğrenelim. Öncelikle bu saldırıyı kali linux'ten kendi anamakineme gerçekleştireceğim. Bu saldırıyı gerçekleştirebilmek için hedef makinemizle aynı ağda olmamız gerekiyor. Bu saldırıyı 3 farklı şekilde gerçekleştirebiliriz. Ettercap toolu, arp spoof komutu ya da mitm framework kullanılarak yapılabilir. Ben öncelikle arp spoof komutunu kullanarak gerçekleştireceğim. Bu saldırının aynı ağlar içinde yapılıyor olmasının sebebi ARP protokol mesajlarının iç network sınırlarında dolaşmasıyla ilgilidir. Bir networkten bir başka bir networke gönderilemez. 

Saldırgan sahte ARP Request çerçevesi ile kendisini hedef olarak gösterir. Böylece gerçek hedefe gidecek olan paketler saldırgana doğru gelir. Kaynak ve hedefin ARP tabloları bu şekilde araya giren saldırganın IP adresi MAC adresi eşleşmesini içerir.

Şimdi ARP saldırı örneğimize başlayalım.
"netdiscover" komutu ile aynı ağda olduğumuz ağları tarayalım. 

Hedef ip'mizi bulduk. Buradan aslında gateway'imizi görebiliyoruz. Fakat emin olmak için bir de ip route komutuyla gateway'imize bakalım.

Evet, gateway adresimizden de emin olduk. Şimdi önemli olan bir kısma değinmek istiyorum. Saldırıya geçmeden önce karşı tarafın bu saldırıdan haberi olmaması için ya da bağlantısında kopma yaşanmaması için terminale "echo 1 > /proc/sys/net/ipv4/ip_forward" komutunu yazarak ip yönlendirmesi yapmamız gerekiyor. Terimsel olarak bu komutu açıklamak gerekirse eğer, ip yönlendirme ağ içerisinde ip paketlerinin bir ağ ara yüzünden bir diğerine yönlendirme işlemidir ve Man in the middle testi önce ip yönlendirmenin aktif olması gerekmektedir.

Bu işlemi de gerçekleştirdikten sonra saldırımıza başlayabiliriz. Bunun için iki terminale ihtiyacımız olacak ve komutumuz "arp spoof -i [interface] -t[target] [hedef ip] -r [gateway]".  Bu komutla birlikte gateway'e ve hedefe olan arp saldırımız başlayacaktır.

Daha sonra ikinci terminal açılıp buraya da "arp spoof -i [interface] -t [gateway] [hedef ip]" komutunu yazacağız. Bu komutla artık hedef ip default gateway'e ulaşmak istediğinde bizim üzerimizden gateway'e ulaşacak ve cevabı da bizim üzerimizden hedefe iletilecektir. 

Saldırımız başladı. Saldırımızın başladığını anlayabilmemiz için hedef bilgisayarımızın arp tablosunu inceleyelim. Normal bir saldırıda bu arp tablosunu göremeyeceğimiz için wireshark programından hedef makinenin ağını dinleyerek arp saldırılarını görebiliriz. 

Evet cmd konsol ekranından "arp -a" komutunu kullanarak arp tablosuna ulaştık. Burada görüldüğü gibi gatewayimiz ile kali linux makinemizin mac adresleri aynı. Bu da demek oluyor ki gateway'i zehirlemeyi başarmışız. Artık bu ağın trafini dinleyebiliriz. Bunun için bir test yapalım. unicorn.items http sitesinden bir kullanıcı girişi yapmayı deneyelim. 

Kullanıcı adını ve şifreyi tamamen salladım. Ayrıca hedef makinemizde bağlantımızın kopmadığını da anlıyoruz. Yani ip yönlendirmemiz de aktif. Şimdi wireshark'ı açıyoruz. 

Filter bölümüne "ip.addr == hedef ip" adresini yazarsak karşımıza hedef ip'mizin trafiği gelmektedir. Buradan "POST" bölümü dikkatimi çekti. Sağ tıklayıp follow-http stream dediğimizde bakalım ne olacak?

Evet tam da istediğimiz gibi. Unicorn.items sitesinde girmiş olduğumuz kullanıcı adı ve şifresi karşımızda. Tabii bu sadece http siteler için geçerli. Https sitelerinde bu umduğumuz gibi çalışmamaktadır. Yazımın en başında söylediğim gibi mitm framework ve ettercap toollarıyla da bu saldırıyı gerçekleştirebiliriz. Peki, başımıza böyle bir şey geldi diyelim. ARP saldırısını yapmayı biliyoruz fakat nasıl korunacağız? 

ARP POISONING KORUNMA YÖNTEMLERİ 

En önemli korunma yöntemlerinden birisi arp tablosunda gördüğümüz gateway'imizi dynamic yapıdan statik yapıya almalıyız. Bunu nasıl yapabiliriz? 

1. cmd konsol ekranı yönetici olarak çalıştırılır. 
2. arp -a ile arp tablosu görüntülenir. 
3. "netsh interface ip delete arpcache" komutu ile bütün arp tablosu silinir. 
4. "netsh interface ipv4 add neighbors "LAN-Wi-Fi-Ethernet" "Gateway adresi" "Mac Adresi"
5. 4.satırda bulunan lan, wifi, ethernet arayüzlerinden hangisini kullanıyorsanız onu yazmalısınız. 
6. Tekrar arp -a ile arp tablosunu görüntülediğinizde gateway adresinizin statiğe döndüğünü göreceksiniz. 

• İç networkte IDS veya ARP Watcher kullanarak sistemi gözlemleyebiliriz. Örneğin arpON ve Arpalert gibi açık kaynak kodlu araçlar kullanılarak ARP protokolünün güvenli bir şekilde çalışması sağlanmış olur. 
• Encyrption: Network üzerinde akan trafik şifrelenirse paketler ele geçirilse dahi okunamadığı için işe yaramayacaktır. 
• Engellemek için VPN'de kullanabiliriz.