ARP SPOOFING Nedir?
ARP Nedir?
-Açılımı Adres Çözümleme Protokolü (Address Resolution Protocol) olan ARP, bir cihaz Yerel Alan Ağı veya Ethernet üzerinde başka bir cihazla iletişim kurmak istediğinde kullanılan protokoldür.
-Open Systems Interconnection (OSI) modelinin Network (Ağ) katmanında bulunan IP (İnternet Protokolü) adresinin, Data-Link (Veri Bağlantı) katmanındaki MAC (Media Access Control) adresini bulmak için kullanılır.
-ARP, OSI Modelinin 2. katmanında çalışır. Veri Bağlantı katmanı, fiziksel katman ile ağ katmanı arasındaki boşluğu kapatır.
-ARP, 2. katman adreslerinin 3. katman adresleriyle eşleşmesinden sorumludur.
- Bu prosedür de, IP ve MAC adreslerinin uzunlukları farklı olduğundan ve sistemlerin birbirini tanıyabilmesi için bir çeviriye ihtiyaç duyulduğundan önemlidir.
Arp Spoofing ( Zehirlenme)
-ARP Zehirlenmesi, ağdaki diğer cihazların MAC-IP eşleşmelerini bozmak için ARP’deki zayıflıkların kötüye kullanılmasından oluşur.
-Ağdaki herhangi bir cihaz, mesajın kendisine yönelik olup olmadığını belirlemek için bir ARP isteğine cevap verebilir. Örnek verecek olursak; A bilgisayarı, B bilgisayarının MAC adresini sorarsa C bilgisayarındaki bir saldırgan yanıt verebilir. A bilgisayarı bu yanıtı gerçek olarak kabul eder. Bu tehdit aktörü, kolayca erişilebilen araçlardan yararlanarak, yerel bir ağdaki diğer ana bilgisayarın ARP önbelleğini zehirleyebilir ve ARP önbelleğini yanlış girişlerle doldurabilir.
-ARP Spoofing siber suçların, MAC adresini ağdaki meşru bir cihazın veya sunucunun IP adresiyle ilişkilendirmek amacıyla hedef LAN’a (Local Area Network = Yerel Alan Bağlantısı ) sahte ARP mesajları gönderdiği bir saldırı türüdür. LAN ortamındaki cihazlar birbirleri ile MAC adresini kullanarak iletişim kurarlar.
-Bir saldırgan bir ağdaki veri çerçevelerini ele geçirmesine, trafiği yönlendirmesine veya tüm trafiği durdurmasına izin verebilir.
- ARP’ deki güvenlik açıklarından yararlanan suçların, MAC/IP adres eşleşmeleriyle kendilerini gizlediği bu saldırı türü hassas veriler kurbanların bilgisi olmadan bilgisayarlar arasında aktarılabileceğinden çok tehlikelidir.
-ARP spoofing saldırıları, yalnızca verilerinizin çalınmasına değil, oturum ele geçirmeye ve ağ çökmelerine neden olabilir.
-Siber korsanların LAN’ınızdaki iletişimi kesip değiştirebildiği ortadaki adam saldırısının (MITM) ilk adımı olabilir. Dağıtılmış hizmet reddi (DDoS) saldırılarına da yol açabilir.
ARP Spoofing Saldırısı Nasıl Yapılır?
- IP’sini bildiği bir bilgisayara bir paket göndereceği zaman, kaynak (Source) cihaz ARP tablosuna bakar ve hedef (Destination) cihazın MAC adresinin ARP tablosunda olup olmadığını kontrol eder. Eğer ARP tablosunda, hedef cihazın MAC adresi bulunmuyorsa ARP protokolü çalışır ve IP’sini bildiği cihazın MAC adresini öğrenmek için bulunduğu ağa bir ARP Request (istek) paketi gönderir.
- ARP Request paketinin içinde, MAC adresini öğrenmek istediği cihazın IP adresi bulunur. ARP Request’i ağdaki tüm cihazları alır, IP’nin kendisine ait olmadığını anlayan cihazlar ARP Request paketini siler. IP adresinin kendisine ait olduğunu anlayan cihaz, Request paketini alır açar ve MAC Adresi bilgisini, ARP Reply (Cevap) paketi ile kaynak cihaza gönderir.
-Saldırgan, sahte ARP Reply paketini broadcast olarak yerel ağa sürekli gönderir. Hedefine gitmek isteyen cihaz ARP Request talebinde bulunduğu anda, cevap olarak saldırgan gelen ARP Reply paketini alır. Saldırgan kendini Gateway gibi gösterir ve internette çıkacak kurbanlar, saldırganın cihazı üzerinden internete çıkar. Bu sayede kurbanın tüm trafiğini izleme, verilere erişebilme şansına sahip olur. Bunun sonucunda ARP Spoofing, MITM (Man in the Middle – Ortadaki Adam) saldırıları arasında yer alır.
ARP Spoofing saldırganın MAC adresi, ARP paketlerinde kurbanın IP adresiyle birleştirilir ve yönlendirici ve PC’nin birbirleri yerine saldırgana bağlanmasına neden olur.
MITM Nedir
-Kurban tarafından iletilen verilerin okunmasına, değiştirilmesine olanak tanır. Saldırgan kendi bilgisayarı ile kurbanın bilgisayarı arasında oluşturduğu sahte, gizli bir bağlantı sayesinde bunu başarır.
- MITM saldırısının amacı şifreleri, kişisel verileri, banka bilgilerini ele geçirmek veya tarafından birini taklit etmektir.
-Artan iş mobilitesi, açık Wi-Fi kullanımı ve savunmasız IoT cihazların yaygınlaşması MITM saldırılarının artmasına yol açabilir.
-Bazen ortadaki adama, ortadaki kişi (person in the middle), ortadaki maymun (monkey in the middle), ortadaki makine (machine in the middle) denilebilir.
ARP Spoofing Saldırısının Amacı
-Ağda MAC adresine giden paketin, aynı MAC adresini taklit ederek paketi ele geçirme işlemi yapmasına dayanır. Bu yüzden yönlendiriciye gitmesi gereken paket saldırgan kişinin eline geçer. ARP zehirlenmesinin olmadığı bir anda kullanıcı ARP tablosuna bakıldığı zaman MAC adreslerinin tekil olduğu görülür.
- MAC adres tablosunu sahte MAC adresiyle paketlemek.
- Doğrulanmış bir IP adresini sahte bir MAC adresine bağlamak
- Ağ ana bilgisayarının paketlenmesi için sonsuz ARP istekleri atmak.
ARP Spoofing Tespit Etme Araçları
ARP Spoofing saldırılarını tespit etmek için kullanılan farklı yöntemler vardır. Bunlar;
ARP-GUARD
Yönlendiricilerin ve anahtarların çizimleri olmak üzere mevcut ağın grafiksel görünümünden yararlanmayı sağlar. Programın ağda hangi cihazın bulunduğunu ve gelecekteki bağlantıları kontrol etmek için kurallar oluşturmasına olanak sağlar.
Wirehark
Tüm ağ trafiğini görüntülemeye, sorun giderme ve analize olanak tanır.
Arpwatch
ARP faaliyetlerini takip eden açık kaynak kodlu bir programdır. Linux aracı ile değişen IP ve MAC adresleri dahil olmak üzere Ethernet’i izleyebilir. Saldırının tam olarak ne zaman gerçekleşeceğini anlamak için zaman damgasına erişilebilir.
XArp
Güvenlik duvarının altında gerçekleşen saldırıları tespit etmek için bu araç kullanılır. Saldırı başlar başlamaz bildirim alabilir ve sonra ne yapılacağı belirlenebilir.
Paket Filtreleme
Gelen ve giden IP paketlerini izleyerek ağ erişimini yönetmek için kullanılır. Hedef ve kaynak IP adresine bağlantı noktalarına ve protokollere göre paketlere izin verir veya durdurur.
Statik ARP
Bu ARP’ler önbelleğe eklenir ve kalıcı olarak tutulur. Bunlar, IP adresi ve MAC adresi arasında kalıcı eşleşmeler olarak hizmet ederler.
ARP Spoofing Saldırısını Önleme
DDoS saldırıları için fırlatma rampası işlevi görebilen ARP zehirlenmesi olasılığını azaltmak için başvurulan yöntemler;
VPN
VPN’ler ARP spoofing saldırılarından korunmanın en güvenli yollarından bir tanesidir. VPN’ler, veri aktarımı için yalnızca şifreli bir yöntem kullanmakla kalmaz, aynı zamanda içinden geçen verileri de şifreler.
ARP Statiği
Statik bir ARP girişi kullanarak herhangi bir adres için ARP yanıtlarını dinlemesi engellenebilir.
Bu yöntemde değişik olasılığının kaldırılması için alt ağ makineleri için önceden ayarlanmış bir ARP, manuel olarak yapılandırılır. Ancak bu yöntem, büyük ağlar için çok sayıda statik ARP olacağı için ve herhangi bir küçük değişiklik ağ yöneticisi için fazla zorluk çıkaracağıdan dolayı pek tercih edilmez.
Şifreleme
Verilerin gizliliği ve bütünlüğü için tüm ağ trafiği uçtan uca şifrelenmesi gerekir. SSH-TLS ve SSH gibi kriptografik ağ protokollerini kullanarak aktarım halindeki verilerin şifrelenmesi önerilir.
Paket filtreleme
Paketlerin çelişkili kaynak detayları içerip içermediğini belirlemek ve kusurlu paketlerin diğer kullanıcılara ulaşmasını engellemeye çalışmaktır. Paket filtreleri, ağ üzerinden göderilen tüm paketleri analiz etmeleri açısından denetçilere benzer ve genellikle güvenlik duvarı uygulamalarıyla birlikte kullanılır.
Veri Kodlama ve Kimlik Doğrulama
Herhangi bir iletide veri gönderenin kimliğini doğrulamak, kötü niyetli bir saldırıdan kaçınmaya yardımcı olur.
Başka saldırılara yol açma ihtimali yüksek olan ARP zehirlenmesi tespit ve önlemlerine dair adımlar atılması özellikle işletmeler açısından faciaları önleyebilir.