Network MITM Saldırıları

| Network MITM | Saldırıları 

Network MITM Saldırıları Nelerdir?  

Ortadaki adam saldırısı, bir saldırganın kendisini iki veya daha fazla taraf arasındaki iletişim 
sürecine dahil ettiği bir siber izinsiz giriş anlamına gelir. Bu saldırgan, sessizce ve gizlice 
dinleyerek gizli ayrıntıları ele geçirebilir veya iletişim kuran taraflardan birinin kimliğine bürünerek 
konuşmayı aktif olarak manipüle edebilir. MITM saldırıları Wi-Fi sahtekarlığı, e-posta ele geçirme, 
DNS sahtekarlığı ve SSL ele geçirme gibi çeşitli özel teknikleri kapsar. Sıklıkla oturum açma 
bilgileri, e-postalar ve finansal hesaplar gibi kişisel verileri çalmak için kullanılırlar ve e-bankacılık, 
çevrimiçi oyun platformları ve dijital işlemler gibi çevrimiçi sistemlere zarar verirler.  

MITM Saldırıları Nasıl Çalışır? 

Bir MITM saldırısını örneklemek için şu senaryoyu düşünelim:  
Diyelim ki bir Alışveriş merkezindesiniz ve dizüstü bilgisayarınızla işinizi halledebilmek için bir 
kafeye geçtiniz. Mevcut ağ adlarını tarıyorsunuz ve bulunduğunuz kafenin adını taşıyan bir ağ 
buluyorsunuz. İnternete erişmek için bu ağa bağlanıyor ve çeşitli çevrimiçi hizmetlerde oturum 
açmaya devam ediyorsunuz. Tarayıcınızdan bağlantının güvensiz olduğuna dair bir uyarı 
almanıza rağmen, bunu görmezden geliyor ve gezinmeye devam ediyorsunuz. Farkında 
olmadan, bu durum aslında kafenin gerçek internet hizmeti değil de devam etmekte olan bir 
MITM saldırısı olabilir. Çevrimiçi faaliyetleriniz, bağlantıyı ele geçiren saldırganlar tarafından 
gözetleniyor. Sonuç olarak, hesap bilgileri, ev adresleri ve e-posta adresleri dahil olmak üzere 
kişisel bilgilerinizi gizlice dinleyebilir, gizliliğinizi ve güvenliğinizi riske atabilirler. 

Verdiğimiz örnekte, bir MITM saldırısı iki ana adım içermektedir:  

1. Adım:  Saldırgan, iletişim trafiğini kesmek için iletişim halindeki iki taraf arasında konumlanmaya 
çalışır. Bu sayede verileri çalabilir veya hizmet sistemlerine giriş yapmak için sahte kimlikler 
kullanabilir. Örneğin, daha önce de belirtildiği gibi Wi-Fi sahtekarlığı, MITM saldırılarında 
kullanılan yaygın bir tekniktir. Bir kullanıcı sahte bir Wi-Fi yönlendirici üzerinden internete 
bağlandığında, sonraki tüm iletişim trafiği bu sahte Wi-Fi yönlendirici üzerinden geçer ve böylece 
saldırganın tüm çevrimiçi etkinlikleri izlemesini sağlar. Wi-Fi sahteciliğinin yanı sıra, kötü amaçlı 
yazılım dağıtımı, DNS sahteciliği ve ARP sahteciliği gibi diğer yöntemler de MITM saldırılarında 
sıklıkla kullanılmaktadır.

2.Adım: Saldırgan, iletişim bağlantısına girdikten sonra, iki taraf arasındaki iletişimi manipüle 
etme yeteneği kazanır ve veri hırsızlığı veya hizmet sistemlerine erişmek için sahte kimliklerin 
kullanılması gibi tehlikeli işlemler başlatır. Bu tür senaryolarda sertifika sahteciliği ve trafik şifre 
çözme gibi teknolojiler devreye girebilir. Örneğin, bir önceki örnekte saldırgan, kullanıcı tarafından 
erişilen web sitesi sunucusu için bir sertifika üretir ve bu sahte sertifikayı kullanıcının tarayıcısına 
iletir. Sonuç olarak, tarayıcı sertifikanın meşruiyetini doğrulayamaz. Kullanıcı siteye erişmeye 
devam ederse, saldırgan hem kullanıcı hem de sunucu ile gizlice bağlantı kurar. Daha sonra 
saldırgan trafiğin şifresini çözerek kullanıcının haberi olmadan verileri çalabilir ya da manipüle 
edebilir. 

MITM Attack Türleri  

Beş yaygın MITM Attack türü vardır:  

Saldırganlar MITM saldırılarını gerçekleştirmek için genellikle çeşitli tekniklerden yararlanırlar. 
Aşağıdaki bölümde yaygın saldırı türleri ve ilgili teknolojileri özetlemiş bulunmaktayım.  

Wi-Fi Spoofing 

Yazımın başında verdiğim örnekteki gibi, MITM saldırılarını yürütmek için en basit ve en yaygın 
kullanılan yöntemlerden biri, kötü niyetli bir Wi-Fi erişim noktasının oluşturulmasını içerir. 
Saldırgan, yakındaki bir kafe gibi meşru görünen bir isme sahip bir erişim noktası kurar. Bu erişim 
noktası genellikle şifrelemeden yoksundur, bu da onu istismara açık hale getirir. Şüphelenmeyen 
bir kullanıcı bu kötü niyetli Wi-Fi erişim noktasına bağlandığında, sonraki tüm iletişim trafiği 
saldırgan tarafından ele geçirilir ve kişisel bilgilerin çalınmasına izin verir.  

ARP Spoofing

Alternatif olarak ARP zehirlenmesi olarak bilinen ARP sahtekarlığı, kullanıcının ARP önbelleğinin 
bir saldırgan tarafından kullanıcının trafiğini saldırganın sistemine yönlendirmek için manipüle 
edilmesini içerir. LAN (Yerel Ağ) kullanıcıları erişim taleplerini başlattıklarında, bu talepler 
genellikle bir ağ geçidi (default gateway) tarafından iletilir. Başlangıçta, bir kullanıcı ağ geçidinin 
IP adresiyle ilişkili MAC adresini almak için bir ARP isteği gönderir. Bunu istismar eden saldırgan, 
ağ geçidi kılığına girer ve kullanıcıya kendi MAC adresiyle yanıt verir. Sonuç olarak, kullanıcı ARP 
önbelleğini yanlış MAC adresiyle günceller. Sonuç olarak, kullanıcıdan gelen sonraki tüm trafik 
istemeden saldırganın sistemine yönlendirilir. 

DNS Spoofing

DNS korsanlığı olarak da bilinen DNS sahteciliği, kullanıcıları sahte web sitelerine yönlendirmek 
için DNS çözümleme süreciyle oynamayı içerir. Başlangıçta, bir kullanıcı internete erişmeye 
çalıştığında, bir alan adıyla ilişkili IP adresini almak için bir DNS sunucusuna bir DNS isteği 
gönderir. Daha sonra, DNS sunucusu alan adı ile karşılık gelen IP adresi arasındaki eşleme ile 
yanıt verir. Ancak saldırganlar, alan adına bağlı IP adresini değiştirerek bu sürece müdahale 
edebilir ve böylece kullanıcı erişimini yeniden yönlendirebilir.  

Bu tür senaryolarda kullanıcılar, ziyaret etmek istedikleri meşru web sitesi yerine sahte bir web 
sitesine yönlendirildiklerinin farkında olmazlar. DNS sahteciliğinin kötü şöhretli bir örneği, bir 
saldırganın kötü amaçlı yazılım yoluyla 4 milyondan fazla bilgisayarın DNS sunucu ayarlarını 
tehlikeye atmasını içeriyordu. DNS taleplerini saldırganın DNS sunucusuna yönlendiren 
saldırgan, web siteleri için sahte IP adresleri döndürerek 14 milyon ABD doları tutarında yasadışı 
gelir elde etmiştir. 

Email Hijacking

Saldırganlar, genellikle çok sayıda kullanıcı e-posta hesabı barındıran bankaların veya finans 
kurumlarının e-posta sunucularını ele geçirmek için çeşitli yöntemler kullanmaktadır. Saldırganlar 
bu sunuculara yetkisiz erişim sağlayarak kullanıcıların e-posta iletişimlerini izleyebilir ve bazı 
durumlarda finans kurumunu taklit ederek bireysel kullanıcılara sahte e-postalar gönderebilir. Bu 
taktik, hassas kullanıcı bilgilerini elde etmelerini ve kullanıcıları yetkisiz banka transferleri gibi 
işlemler yapmaları için kandırmalarını sağlar.  

Örneğin, 2015 yılında yaşanan kayda değer bir olayda saldırganlar belirli bir ülkedeki banka 
müşterilerini 6 milyon avro dolandırmıştır. Bu saldırı sırasında failler banka e-posta hesaplarına 
erişmiş ve müşterileri kandırarak sahte hesaplara para aktarmalarını sağlamak için kötü amaçlı 
yazılım veya diğer sosyal mühendislik yöntemlerini kullanmışlardır. 

SSL Hijacking

Halihazırda, web sitelerinin çoğuna HTTPS aracılığıyla erişilmektedir; burada kullanıcılar ve web 
sitesi sunucuları arasında SSL bağlantıları kurulmakta ve SSL sertifikaları aracılığıyla veri 
bütünlüğü ve gizliliği sağlanmaktadır. HTTPS'nin benimsenmesi MITM saldırılarının bir dereceye 
kadar azaltılmasına yardımcı olmuştur. Ancak saldırganlar, HTTPS güvenliğini tehlikeye atmak 
için SSL kaçırma gibi teknikler kullanarak güvenlik açıklarından yararlanmaya devam etmektedir.  
SSL sertifikası sahteciliği olarak da bilinen SSL hijacking, bir saldırganın bir web sitesi sunucusu 
sertifikasını taklit etmesini, meşru açık anahtarı kendi anahtarıyla değiştirmesini ve sahte 
sertifikayı kullanıcıya sunmasını içerir. Kullanıcının tarayıcısı güvenli olmayan bir bağlantı 
konusunda uyarıda bulunsa da, kullanıcı gerekli dikkati göstermeden devam ederse, saldırgan 
kullanıcı ile sunucu arasındaki iletişim üzerinde kontrol sahibi olur ve trafiğin şifresini çözerek 
potansiyel olarak verileri manipüle etmesine veya çalmasına olanak tanır.  

Dahası, saldırganlar saygın web sitelerinden orijinal sertifikaları çalmak için doğrudan dijital 
sertifika sağlayıcılarına saldırabilirler. 2011'de yaşanan kayda değer bir olayda, bir dijital sertifika 
sağlayıcısı bu tür bir saldırının kurbanı olmuş ve önde gelen web sitelerinden 500'den fazla 
sertifikanın çalınmasıyla sonuçlanarak önemli bir veri ihlaline yol açmış ve çok sayıda kullanıcının 
kişisel bilgilerini tehlikeye atmıştır.

MITM Saldırıları Nasıl Engellenir Ve Nasıl Korunabiliriz?  

Halka açık Wi-Fi ağlarına gelişigüzel bağlanmaktan kaçının. Trafiğin engellenmesini önlemek için 
yalnızca bilinen ve güvenilen Wi-Fi ağlarını kullanın. Ayrıca, kişisel Wi-Fi ağları için varsayılan 
yönlendirici şifrelerini kullanmaktan kaçının. Bunun yerine, kırma girişimlerini caydırmak için 
parolalar için güçlü kriptografik koruma kullanın. 

HTTPS kullanarak web sitelerine eriştiğinizi doğrulayın. Tarayıcınızı otomatik olarak web 
sitelerinin HTTPS sürümlerine yönlendiren HTTPS Everywhere tarayıcı eklentisini yüklemeyi 
düşünün. 

Bir web sitesinin sertifikasının güvensiz olduğunu belirten güvenlik uyarılarına dikkat edin. Bu tür 
uyarıları dikkate almamak, web sitesinin tehlikede olduğunu gösterebilir. 

İletişim trafiğini olası müdahalelerden korumak için uzaktan erişim için VPN'leri kullanın. 

Genellikle güvenilir kaynakları taklit etmek ve kullanıcıları aldatıcı bağlantılara tıklamaya 
yönlendirmek için tasarlanan kimlik avı e-postalarına karşı dikkatli olun. Kötü amaçlı yazılımların 
indirilmesini veya zararlı web sitelerine yönlendirilmeyi önlemek için şüpheli e-postalarla 
etkileşime girmekten kaçının.  

Kötü amaçlı yazılım bulaşma riskini azaltmak için antivirüs yazılımını yüklü ve güncel tutun.  

Network MITM Saldırıları ile İlgili Örnek Bir Uygulama 

Bu aşamamızda kendi sanal ortamımızda bir MITM Attack uygulaması yapacağız.

Öncelikle Kali Linux cihazımı ve sanal bir Windows cihazımı hazırlıyorum ve ikisinin de aynı ağda çalışması 
için (burası önemli bir husus, aynı local ağda olmalıyız) NAT Network ile iki cihazın aynı olmasını sağlıyorum. 
Makinalarımın aynı ağda olduğundan emin olduktan sonra MITM saldırımızı nasıl başlatacağımıza geçelim: 

Öncelikle uygulamada Bettercap aracını kullanacağız. Bettercap aracımızı açıyoruz,bu araçta help komudunu 
çalıştırdığımızda bütün modülleri görebiliriz.Burada kullanacağımız modüllerin ismi net.probe  ve net.recon 
modülleridir. Bu iki modül ağı dürten, ağa istekler atan, ağımızı taramaya olanak tanıyan modüllerdir. Net.probe 
on yazarak modülümü çalıştırıyorum ve ağın dürtüldüğünü görebiliyorum.Modülümüz istekleri attığı gibi Windows sistemimizin ip adresini buldu ve karşımıza getirdi.

Yukarıda bahsettiğim diğer modül olan net.recon modülü ise net.probe modülünü aktif ettiğimiz için o da kendi 
kendi aktif edilmiş oldu.Şimdi geldik sıradaki aşamaya.MITM Attack gerçekleştirirken yazımın teorik kısmında da bahsettiğim üzere ARP Spoofing yöntemini kullanacağız.Bunun için de bettercap aracımızda arp.spoof modülünü kullanacağız. 

arp.spoof on komuduyla da modülümüzü aktif ettiğimize göre şimdi bu modülün konfigrasyonuna geçelim: 

set arp.spoof targets 10.0.2.15 komudu ile hedefimi belirttim ve arp.spoof on komudu ile saldırımızı başlattık.

Şimdi saldırımızın başladığını kontrol edelim,Windows cihazımıza gidelim ve arp –a komudu ile arp tablosunu 
kontrol edelim:  

Gördüğünüz gibi router MAC adresi ile Kali cihazımın (10.0.2.11) MAC adresi aynı,bu da demek oluyor ki arp
spoofing saldırımız işe yaramış. Şimdi ise MITM Attack ile parola ele geçirme saldırısına geçelim.

MITM Attack İle Parolaları Ele Geçirmek

Hatırlarsanız yaklaşık 3 tane modül kullanmıştık,şimdi bu aşamada yeni bir modül daha kullanacağız : net.sniff 
net.sniff modülümüz  sayesinde artık gelen paketleri dinleyebileceğiz.net.sniff on komuduyla modülümüzü 
çalıştırdığımıza göre web site üzerinden parola ele geçirme örneğimize geçelim.

Ben uygulama yaparken bir http site üzerinde yapacağım (tamamen legal bir şekilde,bu tür eğitimler için yapılmış
bir site üzerinde uygulama yapacağım).Kullanacağım sitenin login paneline gidiyorum ve kullanıcı adı ve şifre 
kısmına giriş bilgilerini giriyorum: 

Ve artık böylece Kali makinamızda bettercap aracımıza geri dönersek net.sniff modülü sayesinde gelen paketleri 
görebiliriz ve yukarılara çıkıp kullanıcı adı ve parola bilgisi içeren pakedi incelersek kullanıcının sahip olduğu giriş
bilgilerine sahip olabiliriz : 

Gördüğünüz gibi username ve password kısmında girdiğimiz kullanıcı adı ve şifre bilgisi ortaya çıktı ve MITM 
Saldırısını başarıyla gerçekleştirdik.

Bu yazımda “Network MITM Attack” konusunu sizleri çok fazla sıkmadan olabildiğince açık bir şekilde anlattım ve
aynı zamanda açıklayıcı,net bir şekilde pratik kısmını da gösterdim.MITM Saldırılarının türlerini ve ne kadar tehlikeli olabileceğini hem teoride hem de pratikte görmüş olduk.

Okuduğunuz için teşekkürler.