Bu yazıda ARP Spoof saldırı tekniğini anlatmaya çalışacağım. Bu saldırıyı gerçekleştirirken yine GNS3 ortamını kullanacağım. GNS3 programını daha önce duymadıysanız, bu programı tanıttığım yazının size yardımcı olacağını düşünüyorum.Aşağıdaki bağlantıdan bu yazıya ulaşabilirsiniz.
http://msesli.blogspot.com.tr/2015/05/gns3-ile-sanal-network-laboratuvar.html
ARP Spoof saldırısına geçmeden önce ARP protokolünün nasıl çalıştığını açıklayayım.
Ekran Görüntüsü 1: Örnek Network
Yukarıdaki ekran görüntüsündeki ağımızın IP adresleri şu şekilde olsun.
TinyCore = 192.168.200.2
TinyCore_3 = 192.168.200.3
Kali = 192.168.200.4
TinyCore isimli bilgisayarın, TinyCore_3 isimli bilgisayarla haberleşebilmesi için IP adresi dışında MAC adresini de bilmesi gerekir. Bu noktada ARP protokolü devreye giriyor. TinyCore isimli bilgisayar ARP talep (ARP Request) paketi hazırlar. Bu paket, kaynak IP adresi, hedef IP adresi, kaynak MAC adresini içerir ve hedef MAC adresi bilinmediği için hedef MAC adresi broadcast (yayın) MAC adresi olan FFFF.FFFF.FFFF olarak ayarlanır ve gönderilir. Switch bu paketi aldığında hedef MAC adresini kontrol eder, broadcast MAC adresi olduğu için bütün portlardan bu paketi yayınlar(Eğer ağda başka bir VLAN tanımlı değilse). Bu paketi alan TinyCore_3 isimli bilgisayar dışındaki cihazlar bu paketi düşürür. TinyCore_3 isimli bilgisayar ise bir ARP cevap (ARP Reply) paketi hazırlar. Bu cevap paketinde gereken bütün bilgiler (kaynak IP adresi, hedef IP adresi, kaynak MAC adresi, hedef MAC adresi) bulunduğu için bu paket switch'in bütün portlarından yayınlanmaz ve switchin üzerinden hedefine (TinyCore) gider. Bu aşamada bu bilgiler bilgisayarların IP MAC eşleşmesinin tutulduğu ARP tablosuna yazılır ve bilgiler silinene kadar ARP süreci tekrarlanmaz.
ARP protokülünde açıklanması gereken iki paket türü daha vardır. Bunlar Karşılıksız ARP talep (Gratuitous ARP Request) ve Karşılıksız ARP cevap (Gratuitous ARP Reply) paketleridir. Karşılıksız ARP talep paketi, ağda bir bilgisayar ya da cihaz IP adresi aldığında ağa bu IP adresine ait bir cihaz olup olmadığını anlamak için gönderilir. Eğer bu pakete bir yanıt alınırsa ağda IP çakışması meydana gelmiş demektir. Karşılıksız ARP cevap paketi ise ağa bir cihaz dahil olduğunda kendi IP adresini bütün ağa duyurmak için bu IP adresi şu MAC adresine aittir anlamında bir paket yollar.
ARP Spoof saldırısı işte bu karşılıksız ARP cevap paket yayınlanması ile gerçekleştirilir. Örnek network üzerinde anlatacak olursam. Kali bilgisayarı ARP spoof saldırısı ile TinyCore ve TinyCore_3 bilgisayarları arasına girmek için (MITM=Ortadaki adam saldırısı) TinyCore adlı bilgisayara TinyCore_3 olduğunu, TinyCore_3 adlı bilgisayara ise TinyCore olduğunu gösteren karşılıksız ARP cevap paketleri yayınlayacaktır.
Yeteri kadar kafa açtığımı düşündüğüm için uygulamaya geçiyorum. :))
Yukarıdaki örnek network'ü kurup başlatıyoruz. Yukarıda belirlediğimiz IP adreslerini ağımızda bir DHCP sunucu olmadığı için manuel olarak giriyoruz. Bunun için aşağıdaki komutları bilgisayarlara giriyoruz.
Kali için
#ifconfig eth1 192.168.200.4
TinyCore için
#sudo su
#ifconfig eth0 192.168.200.2
TinyCore_3 için
#sudo su
#ifconfig eth0 192.168.200.3
Şimdi ağımız hazır, saldırıya başlayabiliriz.
Ekran Görüntüsü 2: Hazır hale gelen Network
Kali'de saldırıya başlamadan önce aşağıdaki komutu girerek IP forwarding özelliğini aktif hale getiriyoruz.
# echo 1 > /proc/sys/net/ipv4/ip_forward
#cat /proc/sys/net/ipv4/ip_forward
Ekran Görüntüsü 3: Kali'de IP forward özelliğinin aktif edilmesi ve kontrol edilmesi
Şimdi TinyCore bilgisayarına TinyCore_3 olduğumuzu, TinyCore_3 adlı bilgisayara da TinyCore adlı bilgisayar olduğumuzu söyleme zamanı. Bunu Arpspoof aracı ile sağlayacağız. Sırasıyla aşağıdaki komutları giriyoruz ve Wireshark'ta neler döndüğüne bakıyoruz.
#arpspoof -i eth1 -t 192.168.200.2 192.168.200.3
Bu komut TinyCore'a TinyCore_3 olduğumuzu söylüyor.
#arpspoof -i eth1 -t 192.168.200.3 192.168.200.2
Bu komut da TinyCore_3'e TinyCore olduğumuzu söylüyor.
Ekran Görüntüsü 4: Arpspoof saldırısının Wireshark'taki görüntüsü
Bunu da sağladığımıza göre TinyCore'un trafiğini ele geçirmeye çalışalım. TinyCore adlı bilgisayardan TinyCore_3 adlı bilgisayara ping atıyoruz ve sonra Kali'de Wireshark'a geri dönüyoruz.
Ekran Görüntüsü 5: TinyCore ve TinyCore_3 adlı bilgisayarların ICMP paketlerinin elde edilmesi
Umarım açıklayıcı bir yazı olmuştur. Bir sonraki yazıda görüşmek üzere.
Yararlandığım Kaynak
Gökhan USTA,"BİLGİSAYAR AĞLARINDA SALDIRI VE SAVUNMA"
Hiç yorum yok:
Yorum Gönder