ARP Spoof Saldırısı

Merhaba Arkadaşlar,

Bu yazıda ARP Spoof saldırı tekniğini anlatmaya çalışacağım. Bu saldırıyı gerçekleştirirken yine GNS3 ortamını kullanacağım. GNS3 programını daha önce duymadıysanız, bu programı tanıttığım yazının size yardımcı olacağını düşünüyorum.Aşağıdaki bağlantıdan bu yazıya ulaşabilirsiniz.

http://msesli.blogspot.com.tr/2015/05/gns3-ile-sanal-network-laboratuvar.html

ARP Spoof saldırısına geçmeden önce ARP protokolünün nasıl çalıştığını açıklayayım.

Ekran Görüntüsü 1: Örnek Network

Yukarıdaki ekran görüntüsündeki ağımızın IP adresleri şu şekilde olsun.

TinyCore = 192.168.200.2
TinyCore_3 = 192.168.200.3
Kali = 192.168.200.4

TinyCore isimli bilgisayarın, TinyCore_3 isimli bilgisayarla haberleşebilmesi için IP adresi dışında MAC adresini de bilmesi gerekir. Bu noktada ARP protokolü devreye giriyor. TinyCore isimli bilgisayar ARP talep (ARP Request) paketi hazırlar. Bu paket, kaynak IP adresi, hedef IP adresi, kaynak MAC adresini içerir ve hedef MAC adresi bilinmediği için hedef MAC adresi broadcast (yayın) MAC adresi olan FFFF.FFFF.FFFF olarak ayarlanır ve gönderilir. Switch bu paketi aldığında hedef MAC adresini kontrol eder, broadcast MAC adresi olduğu için bütün portlardan bu paketi yayınlar(Eğer ağda başka bir VLAN tanımlı değilse). Bu paketi alan TinyCore_3 isimli bilgisayar dışındaki cihazlar bu paketi düşürür. TinyCore_3 isimli bilgisayar ise bir ARP cevap (ARP Reply) paketi hazırlar. Bu cevap paketinde gereken bütün bilgiler (kaynak IP adresi, hedef IP adresi, kaynak MAC adresi, hedef MAC adresi) bulunduğu için bu paket switch'in bütün portlarından yayınlanmaz ve switchin üzerinden hedefine (TinyCore) gider. Bu aşamada bu bilgiler bilgisayarların IP MAC eşleşmesinin tutulduğu ARP tablosuna yazılır ve bilgiler silinene kadar ARP süreci tekrarlanmaz.

ARP protokülünde açıklanması gereken iki paket türü daha vardır. Bunlar Karşılıksız ARP talep (Gratuitous ARP Request) ve Karşılıksız ARP cevap (Gratuitous ARP Reply) paketleridir. Karşılıksız ARP talep paketi, ağda bir bilgisayar ya da cihaz IP adresi aldığında ağa bu IP adresine ait bir cihaz olup olmadığını anlamak için gönderilir. Eğer bu pakete bir yanıt alınırsa ağda IP çakışması meydana gelmiş demektir. Karşılıksız ARP cevap paketi ise ağa bir cihaz dahil olduğunda kendi IP adresini bütün ağa duyurmak için bu IP adresi şu MAC adresine aittir anlamında bir paket yollar.

ARP Spoof saldırısı işte bu karşılıksız ARP cevap paket yayınlanması ile gerçekleştirilir. Örnek network üzerinde anlatacak olursam. Kali bilgisayarı ARP spoof saldırısı ile TinyCore ve TinyCore_3 bilgisayarları arasına girmek için (MITM=Ortadaki adam saldırısı) TinyCore adlı bilgisayara TinyCore_3 olduğunu, TinyCore_3 adlı bilgisayara ise TinyCore olduğunu gösteren karşılıksız ARP cevap paketleri yayınlayacaktır.

Yeteri kadar kafa açtığımı düşündüğüm için uygulamaya geçiyorum. :))

Yukarıdaki örnek network'ü kurup başlatıyoruz. Yukarıda belirlediğimiz IP adreslerini ağımızda bir DHCP sunucu olmadığı için manuel olarak giriyoruz. Bunun için aşağıdaki komutları bilgisayarlara giriyoruz.

Kali için

#ifconfig eth1 192.168.200.4

TinyCore için

#sudo su
#ifconfig eth0 192.168.200.2

TinyCore_3 için

#sudo su
#ifconfig eth0 192.168.200.3

Şimdi ağımız hazır, saldırıya başlayabiliriz.

Ekran Görüntüsü 2: Hazır hale gelen Network

Kali'de saldırıya başlamadan önce aşağıdaki komutu girerek IP forwarding özelliğini aktif hale getiriyoruz.

# echo 1 > /proc/sys/net/ipv4/ip_forward

#cat /proc/sys/net/ipv4/ip_forward

Ekran Görüntüsü 3: Kali'de IP forward özelliğinin aktif edilmesi ve kontrol edilmesi

Şimdi TinyCore bilgisayarına TinyCore_3 olduğumuzu, TinyCore_3 adlı bilgisayara da TinyCore adlı bilgisayar olduğumuzu söyleme zamanı. Bunu  Arpspoof aracı ile sağlayacağız. Sırasıyla aşağıdaki komutları giriyoruz ve Wireshark'ta neler döndüğüne bakıyoruz.

#arpspoof  -i eth1 -t 192.168.200.2 192.168.200.3

Bu komut TinyCore'a TinyCore_3 olduğumuzu söylüyor.

#arpspoof -i eth1 -t 192.168.200.3 192.168.200.2

Bu komut da TinyCore_3'e TinyCore olduğumuzu söylüyor.

Ekran Görüntüsü 4: Arpspoof saldırısının Wireshark'taki görüntüsü

Bunu da sağladığımıza göre TinyCore'un trafiğini ele geçirmeye çalışalım. TinyCore adlı bilgisayardan TinyCore_3 adlı bilgisayara ping atıyoruz ve sonra Kali'de Wireshark'a geri dönüyoruz.

Ekran Görüntüsü 5: TinyCore ve TinyCore_3 adlı bilgisayarların ICMP paketlerinin elde edilmesi

Bu görüntüden de anlaşılacağı gibi TinyCore (192.168.200.2) TinyCore_3(192.168.200.3)'e ping attığında bir icmp paketi oluşturuyor. Bu paketin kaynak IP adresi TinyCore'un hedef IP adresi ise TinyCore_3'ün buraya kadar herşey normal ancak MAC adreslerini incelediğimizde kaynak TinyCore'un MAC adresi ama hedef MAC adresi Kali'nin yani saldırgan bilgisayara ait. Kali bu paketi aldığında aynı hedef ve kaynak IP adreslerini içeren bir ICMP paketi hazırlıyor ve bu paketin kaynak MAC adresine kendi MAC adresini yazıyor, hedef MAC adresi olarak da TinyCore_3'ün MAC adresini yazıyor. Böylelikle ICMP paketi Kali'nin üzerinden iletilmiş oluyor. Aynı işlem TinyCore_3'ün TinyCore'a cevabı (ICMP Reply) içinde gerçekleştiriliyor.

Umarım açıklayıcı bir yazı olmuştur. Bir sonraki yazıda görüşmek üzere.

Yararlandığım Kaynak

Gökhan USTA,"BİLGİSAYAR AĞLARINDA SALDIRI VE SAVUNMA"