1. Ana Sayfa
  2. Siber Güvenlik
  3. Man In The Middle Attack (Ortadaki Adam Saldırısı)
Trendlerdeki Yazı

Man In The Middle Attack (Ortadaki Adam Saldırısı)

cyber-3327240_1920

Man In The Middle Attack (Ortadaki Adam Saldırısı) – Layer 2 Saldırıları Neden Kritiktir ? OSI modelinin 2. katmanı (layer 2) veri bağlantısı katmanıdır. Data link katmanı en zayıf görünen ve güvenliği göz ardı edilen katmandır. Saldırganların genellikle dışarıdan geleceği düşünülerek çeşitli önlemler alınmaya ve güvenlik cihazları kurulmaya çalışılır. Halbuki içeriden gelebilecek saldırılar göz ardı edilir. FBI’ın 2004 yılında yaptığı bir araştırmaya göre memnun olmayan çalışanların içeriden saldırı yapabilme ihtimalini %56 olarak belirlemiştir. Tüm verinin 2. katman üzerinden aktığı düşünülürse ; saldırgan bu katmana erişim sağladığında üst katmanlarda alınan tüm güvenlik önlemleri anlamsız kalacaktır.

Man  In The Middle Attack (Ortadaki Adam Saldırısı)
OSI modeli

Man In The Middle Attack (Ortadaki Adam Saldırısı)

Türkçe karşılığı olarak Ortadaki Adam Saldırısı ya da Aradaki Adam Saldırısı, bir ağ içerisinde hedef ile ağ bileşenleri (switch,server,router) arasında geçen trafiği dinlemek, değiştirmek olarak tanımlanır. MITM’de iki taraf arasındaki iletişim kesilebilir ya da yanıltıcı bir iletişim oluşturulabilir. Bu saldırı ağ üzerindeki paketleri yakalayarak manipüle etmek olarak özetlenebilir.

MITM saldırıları Layer 2 (OSI katmanı, Data Link) içerisinde geçekleştiği için, saldırgan başarılı olduktan sonra tüm trafiğe hakim olabilmektedir. Bu hakimiyet şifreli olan “https” trafiğinden şifresiz trafiklere kadar sınırsızdır.

Kablosuz ağ güvenliği konusunda oldukça bilinen bir saldırı türü olmasına karşın en az tedbir alınan saldırı tipidir.


ARP Poisoning / Spoofing (ARP Zehirlenmesi)

ARP (Address Resolution Protocol) protokolü MAC adreslerinin çözümlenmesini sağlar. Yani IP adreslerini MAC adreslerine çevirir. Bu çevirme işlemini yapabilmek için MAC adreslerini ve IP adreslerini cahce denilen bir tabloda tutar. ARP protokolü OSI modelinin 2. katmanında (Data-Link) çalışır.

ARP Spoofing (ARP Kandırmacası)/ARP Poisoning(ARP Zehirlenmesi) ise ARP paketlerinin kullanılarak yerel ağa bağlı olan cihazların gönderdiği paketlerin bu cihazların kandırılmasına ve kandırılmış cihazların ağ trafiğini izlemeye ve manipüle edilmesidir.

Man  In The Middle Attack (Ortadaki Adam Saldırısı)
Klasik bir LAN

Şekildeki LAN’a bir saldırganın dahil olduğunu varsayalım.

Man  In The Middle Attack (Ortadaki Adam Saldırısı)
Saldrrganın LAN içerisine dahil olması

Saldırgan router’a “ben device 1’im” diye broadcast paketleri gönderir. Router ARP tablosunu belirli aralıklarla bu gelen mesajlara göre düzenlediği için bir süre sonra device 1 olarak artık saldırgan cihaz tutulmaya başlar.

CihazMACIP
Device1FF:DC:6E:5A192.168.1.3
Device2DE:76:12:AC192.168.1.5
Device356:AD:CE:FF192.168.1.4
Device41F:E4:DD:AA192.168.1.10
ARP spoofing öncesi router ARP tablosu
CihazMAC IP
Device1AA:BB:CC:DD192.168.1.3
Device2DE:76:12:AC192.168.1.5
Device356:AD:CE:FF192.168.1.4
Device41F:E4:DD:AA192.168.1.10
AttackerAA:BB:CC:DD192.168.1.17
ARP spoofing sonrası router ARP tablosu

Görüldüğü gibi router artık saldırganın MAC adresini device 1’in MAC adresi olduğunu zannediyor.

Sonrasında saldırgan benzer bir işlemi device 1’e “ben router’ım” diye broadcast yapmaya başlar. Device 1’de bir süre sonra saldırganı router zannetmeye başlar.

CihazMACIP
RouterCC:FF:EE:BB192.168.1.1
AttackerAA:BB:CC:DD192.168.1.17
ARP spoofing öncesinde Device 1 ARP tablosu
CihazMACIP
RouterAA:BB:CC:DD192.168.1.1
AttackerAA:BB:CC:DD192.168.1.17
ARP spoofing sonrasında Device 1 ARP tablosu

Görüldüğü gibi device 1 artık saldırganı router olarak tanıyor. Artık device 1 ‘in ağ trafiği saldırgan üzerinden akmaya başlayacaktır. Saldırgan gelen trafiği istediği gibi manipüle ederek router’a device 1 gibi gönderir.


ARP Poisoning İle Man In The Middle Attack Uygulaması

Kablosuz ağlarda güvenlik önlemi olarak gizli SSID kullanılıyor ya da bulunduğumuz ortamda birden fazla kablosuz ağ bulunuyor olabilir. Saldırıların ilk aşaması da bilgi toplamak olduğu için etrafımızda bulunan tüm ağları tarıyoruz.

Aircrack-ng araç seti içerisinden airmon-ng aracı ile ağ kartlarımızı monitör moda alabliriz. Öncelikle tüm işlemlerin sonlandırılmış olduğundan emin olabilmek için

airmon-ng check kill

komutunu giriyoruz.

Ardından

airmon-ng check

komutu ile arka planda airmon-ng üzerinde çalışan bir süreç olmadığından emin oluyoruz.

Eğer devam eden süreç varsa airmon-ng check kill komutu ile sonlandırılır.

Man  In The Middle Attack (Ortadaki Adam Saldırısı)

Ağ kartımızı monitör moda almak için

arimon-ng start wlan 0

komutunu kullanıyoruz.

5- İç networkte ARP Watcher kullanarak sistemi gözlemlemek. ArpON ve Arpalert gibi açık kaynak kodlu araçlar kullanılarak ARP protokolünün güvenli bir şekilde çalışması sağlanmış olur.

Ardından kismet aracı ile grafiksel olarak etrafımızda bulunan tüm kablosuz ağların bilgilerini görüntülüyoruz.

kismet -c wlan0
komutu ile kismet aracı çalıştırılır.

Man  In The Middle Attack (Ortadaki Adam Saldırısı)

Kismet aracı local host üzerinde çalışan bir grafik arayüzü sunuyor. http://localhost:2501 adresinden erişilebilir.

Man  In The Middle Attack (Ortadaki Adam Saldırısı)

Detaylı görünüm için çift tıklayınca çeşitli kategoriler ile bilgileri görüntüleyebiliyoruz.

Man  In The Middle Attack (Ortadaki Adam Saldırısı)
Man  In The Middle Attack (Ortadaki Adam Saldırısı)

ARP Poisoning Saldırısı

ARP Poisoning Saldırısı için kullanılabilecek birçok araç olsa da biz Kali-Linux üzerinde gelen Ettercap’ı kullanacağız.

Ip yönlendirmeyi aktif hale getirmek için /proc/sys/net/ipv4 dizinin içerisinde bulunan ip_forward dosyasının içeriğini 1 olarak değiştirmemiz gerekiyor.


sudo /proc/sys/net/proc/sys/net/ipv4/ip_forward=1

Komutu ile IP yönlendirmesini etkinleştiriyoruz.

Sonrasında Ettercap aracını grafiksel olarak kullanabilmek için
ettercap -G
komutunu çalıştırıyoruz.

Man  In The Middle Attack (Ortadaki Adam Saldırısı)

Ardından sniff etmek istediğimiz ağ arayüzünü seçiyoruz.

Ağ kartımız wlan0 üzerinde çalıştığı için wlan0 interface’ini seçiyor ve tik işaretine tıklıyoruz.

Man  In The Middle Attack (Ortadaki Adam Saldırısı)

Daha sonrasında “Host” ve “Scan For Host” srasını takip ederek ağ üzerinde bulunan istemcileri tarıyoruz.

Sonrasında hedef aldığımız cihazı Target 1, router cihazını ise Target 2 olarak ekliyoruz.

Target current seçeneği ile seçmiş olduğumuz hedeflerin IP adreslerini görüntüleyebiliriz.

Bu adımdan sonra ARP Poisoining yaparak Man In The Middle saldırısını başlatabiliriz.

Default olarak uzaktan sniffing için işaretli gelen parametre seçeneğini onaylayalım.

Man  In The Middle Attack (Ortadaki Adam Saldırısı)

OK butonuna tıkladığımızda ARP Poisoning başlatılmış olur.

Man  In The Middle Attack (Ortadaki Adam Saldırısı)

Saldırının başarılı olup olmadığını denetlemek için “Plugins” sekmesinden “Manage Plugins” sekmesini seçip “chk_poison” isimli eklenti ile Poisoning saldırısının başarılı olup olmadığını test edebiliriz.

Man  In The Middle Attack (Ortadaki Adam Saldırısı)

Eğer Poisoning başarılı ise şöyle bir çıktı alırız:

Şimdi hedefimizin ağ üzerinde yaptığı HTPP trafiği izlemek için WireShark aracını kullanalım. Hedef makinemizden local ağda oluşturduğumuz bir laboratuvar ortamına giriş yapmaya çalışalım. Eğer tüm adımlar başarılı ise hedefimizin ağ trafiği saldırgan cihaz üzerinden akacak ve böylece giriş bilgilerini elde edebileceğiz.

Man  In The Middle Attack (Ortadaki Adam Saldırısı)

Sayfaya geldiğimizi saldırgan cihazdan görebiliriz.

Görüldüğü gibi hedef makinemiz 192.168.1.7 adresine htpp ile bağlantı isteği göndermiş ve geriye yanıt almıştır.


Şimdi kullanıcı adı olarak “bee” ve parola olarak “bug” verilerini girip, saldırgan makineden yakalamaya çalışalım.

Görüldüğü gibi bir login yakaladık. Detaylara bakmak için paketi inceleyelim.

Kullanıcı adı ve parolası htpp isteği içerisinde şifrelenmeden gittiği için elde edilmiş oldu.


ARP Poisoning Önlemleri

1- Static ARP: Arp tablosunun statik olarak doldurulması arp anonslarına ihtiyacı ortadan kaldıracağı için bu saldırı önlenmiş olur. Ancak büyük networklerde için uygulanabilir bir yöntemdeğildir.

2- Encryption: Network üzerinde akan tafik şifrelenirse paketler ele geçrilse dahi okunamayacağı için işe yaramaz olacaktır. Aynı zamanda şifrenin kırılması için uzun zaman kaybına neden olacağı için saldırganın dikkatinin dağılası da olasıdır.

3- Subnetting: Networkü küçük Vlan(Virtual Local Area Network)’lere bölmek ve yetkili kullanıcıları dış ortamdan soyutlamak ARP poisoning saldırısının yüzeyini azaltmaktadır.

4- Network ürünlerinde varsa ARP security veya Dynamic ARP Inspection özellikleri aktif hale getirilerek saldırı önlenebilir.

5- İç networkte ARP Watcher kullanarak sistemi gözlemlemek. ArpON ve Arpalert gibi açık kaynak kodlu araçlar kullanılarak ARP protokolünün güvenli bir şekilde çalışması sağlanmış olur.


Basit Bir Python Scripti İle ARP Poisoning Tespiti

import os
from Tkinter import *


def Alert ():
root=Tk()
root.title(‘Saldırı Var’)
w=500
h=100
ws=root.winfo_screenwitdh()
hs=root.winfo_screenheight()
x=(ws/2)-(500/2)
y=(hs/2)-(100/2)
root.geometr1y(‘%dx%d+%d+%d’ % (w,h,x,y))
Message(root,text=”Gatewat degisti.”, background=’red’, witdh=300,
fg=’ivory’, relief=(GROOVE).pack(padx=100,pady=10)
root.mainloop()
gateway=(os.popen(“route -n| grep ‘UG[\t]’ | awk ‘{print $2}’”)).read()
while 1:
gateway=(os.popen(“route -n| grep ‘UG[\t]’ | awk ‘{print $2}’”)).read()
if gateway !=gateway2:
Alert()
break

Bu script ile ağ üzerinde default gateway değiştiği anda bir uyarı oluşturarak ARP Poisoning
saldırısının tespit edilmesine olanak sağlar.(Bu koda buradan erişebilirsiniz.)

Kaynak

Yorum Yap
Yazı Kaynakları
https://owasp.org/www-community/attacks/Man-in-the-middle_attack
https://www.siberguvenlik.web.tr/index.php/2020/02/06/ikinci-katman-layer2-ataklari- ve-onlenmesi/
https://fatihturgutegitim.medium.com/layer2-sald%C4%B1r%C4%B1-t %C3%BCrleri-69748387ab53
https://app.creately.com/diagram/1L6BdS4LfFu/edit
https://www.pythondersleri.com/2014/06/python-ile-arp-zehirlemesi-tespiti.html
https://www.mshowto.org/arp-zehirlemesi-ve-alinabilecek-onlemler.html#close
http://blog.btrisk.com/2016/01/arp-poisoning-nedir-nasil-yapilir.html
https://www.irongeek.com/i.php?page=security/arpspoof
https://www.ettercap-project.org/
https://www.wireshark.org/
https://www.bilgiguvenligi.gov.tr/aktif-cihaz-guvenligi/ikinci-katman-saldirilari-1- 3.html
http://www.belgeci.com/arp-spoofing.html

Yorum Yap