ARP Spoofing/Poisoning Nedir?

ARP Spoofing/Poisoning, MITM(Man In The Middle)’in bilinen en popüler saldırı türüdür. Kullanıcı ile uç nokta çıkış cihazları (örneğin, yönlendirici, modem) arasında müdahaleye dayanır.

ARP protokolü nedir ve nasıl çalışır?
Mantıksal adresini (IPv4) fiziksel adrese (MAC) çeviren İnternet protokolü olarak bilinen ARP (Adres Çözümleme Protokolü)’dir.

Ana bilgisayar (PC, dizüstü bilgisayar, tablet veya cep telefonu) aynı ağdaki diğer ana bilgisayara (hedef cihazlara) erişmek istediğinde, hedef IP adresini biliyor ancak hedef MAC adresini bilmiyordur. Bu nedenle host aynı ağ üzerinde bulunan tüm cihazlara ARP istek paketi gönderir. Böylece tüm cihazlar ARP isteğini kabul etmiş olur ancak sadece hedef host ARP cevap paketi gönderir, diğer hostlar bu paketi atar. Hedef ana bilgisayar, kendi MAC adresini içeren ARP yanıt paketini gönderir. Sonunda bu eşleştirme (IPv4-MAC) önbelleğe kaydedilir, ana bilgisayar ve hedef bilgisayar birbiriyle haberleşmiş olur.

ARP Poisoning/ARP Spoofing
ARP sahtekarlığı aynı zamanda zehirleme olarak da bilinir. Kötü niyetli hacker, aynı ağdaki diğer cihazları kandırmak için sahte ARP paketleri gönderir. Kötü niyetli hacker kendisi için en iyi hedefi belirler. Hedef ağdaki veya yönlendiricideki uç nokta olabilir. Yönlendiriciler bilgisayar korsanları için en uygun seçeneklerdir. Ayrıca yönlendiricilere yapılan saldırı tüm ağ iletişimini ve mekanizmasını bozabilir. Bu kesinti sonrasında ağ üzerinde çeşitli işlemler yaparlar ve bu işlemler kendi amaçlarına uygun şekilde oluştururlar.

ARP Poisoning türleri nelerdir?
Sahtekarlık türleri bilgisayar korsanının inisiyatifine bağlıdır.

DoS(Denial of Service) Saldırısı

Bilgisayar korsanı cihazlara çok sayıda ARP paketi gönderir. Böylece cihaz sistem isteklerini tekrarlayamamakta ve cihaz fonksiyonları önemli ölçüde azalmaktadır.

MITM Saldırısı

Saldırganın ağdaki iletişimi kontrol etmek için kendisini iki cihaz (genellikle bir kullanıcı ve bir sunucu veya bir kullanıcı ve bir ağ geçidi) arasında konumlandırdığı bir saldırı türü. Bir MITM gerçekleştirirken saldırgan, iletişimi yeniden yönlendirmek ve bu iletişimi dinlemek veya değiştirmek için ağdaki diğer cihazların (kullanıcı ve modem) kimliğine bürünür.

Bu tür saldırı kimlik bilgilerinin ele geçirilmesinde etkilidir.

DNS Spoofing-ARP Spoofing

ARP Spoofing’e benzer bir yapısı vardır aradaki fark kullanıcıyla DNS server arasına girmektir. Burada bahsedilmek istenen husus, ARP Spoofing-DNS Spoofing saldırı kombinasyonunun çok etkili olabileceği ve ciddi hasarlara yol açabileceğidir.

Saldırganın Amaçları

Phishing(Oltalama)

Sıklıkla üzerinde durulan ve gün geçtikçe önemi daha da kavranması gereken hususlardan olan sosyal mühendislik saldırıları, yine bu saldırı çeşidinde de önemini korumaktadır. Saldırganların sıklıkla kullandığı Phishing saldırısıyla kullanıcının kişisel verileri, kimlik bilgileri ve banka bilgileri önemli veriler ARP Spoofing saldırısıyla yapılabilir. Bu raddede yine kullanıcıya büyük iş düşmektedir.

Trafik Yönlendirme

Saldırgan ağa bağlı olduğu anda zehirlediği kullanıcı veya modem üzerinden belirli yönlendirmeler yapabilir. Tüm trafik modem(router) üzerinden gerçekleşeceğinden genellikle modem üzerinden yönlendirmeler yapar.

Keşif

Ağ topolojisini ,ağ akışını ve  bağlı cihazları keşfetmek olarak da nitelendirilebilir. Saldırganın buradaki amacı ağ üzerindeki tüm hatları fark edilmeden keşfedip sonraki süreçlerde yapılacak olan büyük saldırı için iyi bir analiz etmektir.

Önleme Yöntemleri
Statik ARP Tabloları

Sahte saldırıları önlemenin en iyi yollarından biridir. Bu tablolar ağdaki MAC adreslerinin doğru IP adresleriyle eşleşmesini sağlar. Böylece saldırgan MAC adresini kopyalayamaz. Bu engellemenin dezavantajı, ağ yöneticisinin herhangi bir değişiklik olması durumunda ağı manuel olarak yeniden yapılandırmak zorunda olmasıdır.

SSL/TLS

Şifreleme kullanıcılar için önemli bir önlemdir. SSL/TLS tam anlamıyla güvenlik sağlayamıyor olsa da saldırganı yavaşlatmak ya da durdurmak adına kullanılabilirliği yüksektir. SSL/TLS şifreli veri iletimi sağlayabilir. Kullanıcı siteye kendi bilgileri şifrelenmiş olarak giriş yapar. Ayrıca siteye gönderilen tüm veri paketleri şifrelenmektedir.

VPN

VPN kullanıcılara güvenli erişim sağlar. VPN tünel oluşturur ve kullanıcılar internete güvenli bir şekilde erişebilir. VPN kullanıcının kendi IP adresini gizler. VPN ağ trafiğini şifreler ve saldırganlar ağ trafiğini izleyemez ve veri paketlerini değiştiremez. Ayrıca halka açık alanlarda Wİ-Fİ bağlantısı kurmak önerilmez, böyle bir bağlantı olması durumunda da VPN kullanılması önerilir.

 

Sonuç
Sonuç olarak ARP Spoofing/ARP zehirlenmesi internet üzerinde yapılan güçlü bir saldırı türü olup firmalar açısından ciddi kayıplara neden olabileceği gibi bireysel kullanıcılar için de tehdit oluşturabilir. Bireysel kullanıcılar için en iyi korunma yöntemi, genel ağ alanına erişim durumunda VPN kullanmak olabilir. ARP Spoofing tek başına yeterli tehlikelidir. İlaveten DNS Spoofing ya da SSL Hijacking gibi saldırılarla kombine edilmesi durumunda  çok daha tehlikeli olabilmektedir. Bu kombinasyonlardan sonra ciddi tehditler oluşturabilir.

 

About The Author

Reply