Ortadaki Adam Saldırıları

Transcript

1. 1 Man In The Middle Meryem AKDOĞAN

2. 2 İçindekiler • Man In The Middle Attack Nedir? •

   Network Cihazları • Hub • Switch • MITM Çeşitleri • ARP Poisoning • ICMP MITM • DNS MITM • Cookie hijacking • SSL MITM • Wireless MITM

3. 3 Man-In-The-Middle Attack Nedir? • Bir network üzerinde kurban bilgisayar

   ile diğer ağ araçları (yönlendirici, switch, modem ya da server gibi) arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme ilkesine dayanan bir saldırı çeşididir.

4. 4 Network Cihazları Hub • Hublar OSI modelinin ilk katman

   (fiziksel katman) da çalışan ve gelen veride hiç bir kontrol işlemi uygulamadan kendi portlarına bağlı tüm sistemlere yollayan bir modeldir. • Alıcı bilgisayar, veri kendisine gelmiş ise veriyi kabul eder, eğer gelmemiş ise göz ardı eder. • Böylelikle aslında ağ üzerinden geçen bütün paketlerin takibi mümkün kılınmaktadır.

5. 5 Network Cihazları Switch • Switchler ise OSI modelinin 2.

   katmanında çalışır ve hub gibi dağıtım görevinden sorumludur. • Hub dan farklı olarak, switch veriyi portlarına bağlı tüm sistemlere dağıtmak yerine sadece hedef sisteme dağıtır.

6. 6 Ortadaki Adam Saldırısı (MITM) Kullanıcı Ortadaki Adam Sunucu 1

   2 3 4 Bir network üzerinde kurban bilgisayar ile diğer ağ araçları (yönlendirici, switch, modem ya da server gibi) arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme ilkesine dayanan bir saldırı çeşididir. (Wikipedia) Başarılı bir MITM Saldırısı devamında saldırganın yapabileceği işlemler tamamen bilgi, beceri ve hayal gücüne kalmıştır. NOT

7. 7 • MITM Saldırıları OSI Modeli içerisinde 2. Katman (Data

   Link) içerisinde gerçekleştirildiği için, saldırgan başarılı olduktan sonra tüm trafiğe hakim olabilmektedir.

8. 8 MITM Çeşitleri: • ARP Poisoning • ICMP MITM •

   DNS MITM • Cookie hijacking • Man in the browser • SSL MITM • Wireless MITM

9. 9 ARP Poisining • ARP Nedir? • Arp Protokolünün Çalışma

   Mantığı • ARP Poisining (Zehirlenmesi) • ARP Poisining İçin Kullanılabilecek Araçlar • Örnek Senaryo

10. 10 ARP Nedir? • ARP, ağda bulunan diğer makinelerin IP-MAC

    eşleştirmesini yapar. • IP-MAC eşleştirmesinin bulunduğu yer ARP tablosudur.

11. 11 ARP Protokolünün Çalışma Mantığı • Yerel ağda haberleşmek istenilen

    iki makine arasında kurulacak bağlantı öncesinde ARP tablosundan bakılarak iletişimin kurulacağı IP'ye denk düşen MAC adresi bulunur ve işlemler bu MAC adresi üstünden gerçekleşir.

12. 12 ARP Protokolünün Çalışma Mantığı • Eğer iletişim kurulacak cihazın

    MAC adres bilgisi arp tablosunda mevcut değilse, bütün ağa broadcast bir mesaj gönderilir ve gelen cevap içerisinden alınan MAC adresi ile arp tablosu güncellenir. İletişim devam eder. • Örnek uygulama : ‣ ping atma işlemi

13. 13 arp -a • Ping atmadan önce arp tablosunun görünümü

    Örnek Uygulama

14. 14 ping 192.168.2.43 Örnek Uygulama

15. 15 Örnek Uygulama

16. 65 68 69 70 Ağa broadcast mesajı gönderilir. 192.168.2.43 kimsin?

    192.168.2.43 IP li makine yanıt döner. Ping isteği gider. Ping yanıtı döner. ARP ARP ICMP ICMP .. Örnek Uygulama Paketlerin açıklamaları

17. 17 arp -a • Ping attıktan sonra arp tablosuna IP

    adresi eklenir. Örnek Uygulama

18. 18 ARP Poisoning (ARP Zehirlemesi) • ARP zehirleme saldırısında, seri

    şekilde gönderilen ARP paketleri ile kurban ve router arasına girilir.

19. 19 • Trafiği yönlendiren cihaza(router/switch), kurbanın MAC adresi diye saldırganın

    MAC adresi gönderilerek, saldırgan kendini, kurban olarak taklit eder • Cihazın ARP tablosunda IP-MAC eşleştirmesi bu şekilde görünür. • Kurbana, router MAC adresi diye saldırgan MAC adresi gönderilerek kurbanın ARP tablosundaki router MAC adresi saldırganın MAC adresiyle değiştirilir. • Poisoning için gönderilen paketler sahte ARP paketleridir. ARP Poisoning (ARP Zehirlemesi)

20. 20 • Scapy • Arpspoof • Ettercap • Cain&Abel (Windows)

    ARP Poisoning İçin Kullanılabilecek Araçlar

21. 21 Örnek Bir Senaryo Kurban IP Bilgisi 192.168.2.98 Saldırgan IP

    Bilgisi 192.168.2.163 Kullanılan Araçlar Ettercap, wireshark Amaç Kurbanın trafiğini kendimize yönlendirmek NOT: Örnek uygulamalar da IP adreslerinde farklılık olabilir. Bunun sebebi testlerin ara sıra farklı ağlarda tekrarlanmasıdır.

22. 22 Ettercap ile ARP Poisoning Kali üzerinde ettercap -G ile

    ettercap aracının arayüzü çağırılır. Örnek Uygulama

23. 23 Sniff -> Unified Sniffing Örnek Uygulama

24. 24 Kullanılacak ağ kartı seçilir. Örnek Uygulama

25. 25 Host -> Scan for hosts • Ağdaki host adresleri

    tespit edilir. Örnek Uygulama

26. 26 Host -> Hosts list • Taramada bulunan host adresleri

    listelenir. Örnek Uygulama

27. 27 Add to Target • Hedef olarak belirlenen IP adresi

    seçilerek eklenir. Örnek Uygulama

28. 28 Mitm -> ARP poissoning • Saldırı olarak ARP zehirlemesi

    seçilir. Örnek Uygulama

29. 29 Sniff remote connections. • Sniff işlemi için uzaktan bağlantı

    parametresi seçilir. Örnek Uygulama

30. 30 ‣ Start -> Start sniffing • Saldırı başlatılır. Örnek

    Uygulama

31. 31 arp -a • Arp saldırısını başlatmadan önce kurbanın arp

    tablosunun görünümü Örnek Uygulama

32. 32 arp -a • Saldırı sonrası kurbanın arp tablosunun değişiminin

    görünümü. Örnek Uygulama

33. 33 • Wireshark açıp izlediğimizde kurbanın www.meryemakdoğan.com sayfasını ziyaret ettiğini

    görüyoruz. Örnek Uygulama

34. 34 Örnek Bir Senaryo 2 Kurban IP Bilgisi 192.168.1.11 Saldırgan

    MAC Bilgisi 00:0c:29:9b:43:23 Kullanılan Araçlar Scapy, wireshark Amaç Kurbanın trafiğini kendimize yönlendirmek

35. 35 Scapy ile Sahte ARP Paketi Üretmek

36. 36 ARP Zehirlemesinin Tespit Edilmesi DecaffeinatID Aracı • Windows sistemler

    için ARP izleme uygulamasıdır. • IP-MAC eşleştirmesi (ARP tablosu) değişikliklerini uyarır. • İndirme linki • http://irongeek.com/downloads/decaffeinatid0.09.zip

37. 37

38. 38 Cookie Hijacking • Cookie Nedir, Ne Amaçla Kullanılır ?

    • Cookie Hijacking Nedir ? • Kullanılabilecek Araçlar • Örnek Bir Senaryo

39. 39 Cookie Nedir, Ne Amaçla Kullanılır ? • Cookie; web

    sitelerinde dolaşırken bilgilerin, şifrelerin kaydedildiği, o web sitesine tekrar girildiğinde bilgilerinizin hatırlanarak giriş yapıldığı text dosyalarıdır. Aslında kısaca ‘web dosyalarının hatırlatma kutusu’ da diyebiliriz.

40. 40 Cookie Hijacking Nedir ? • Başka birisinin cookie bilgilerini

    kullanarak eriştiği sistemlere erişmek amacı ile kullanılır. • Bu saldırının gerçekleşmesi için ağda arp zehirleme gibi trafiği yönlendiren bir saldırının başlatılmış olması gerekmektedir.

41. 41 Cookie Hijacking İçin Kullanılabilecek Araçlar • Ettercap • Ferret

    • Hamster

42. 42 Örnek Bir Senaryo Kurban IP Bilgisi 192.168.2.98 Saldırgan IP

    Bilgisi 192.168.2.131 Kullanılan Araçlar Ferret, Hamster Amaç Kurbanın hareketlerini takip etmek

43. 43 Hamster Örnek Uygulama

44. 44 Ferret ferret -i eth0 -i : parametresi ile kullanılacak

    ağ kartı tanımlanır. Örnek Uygulama

45. 45 Hamster Örnek Uygulama

46. 46 Hamster Hamster, 127.0.0.1:1234 portunu kullanır. Böylece kurbanın hareketlerini listeledik.

    Örnek Uygulama

47. 47 Hamster Örnek Uygulama

48. 48 • ICMP Nedir? • ICMP Ne Amaçla Kullanılır? •

    ICMP Çalışma Mantığı • Örnek Senaryo ICMP MITM

49. 49 ICMP Nedir? • ICMP (Internet Control Message Protocol), geri

    bildirimler yapmak için kontrol amaçlı kullanılan bir protokoldür.

50. 50 ICMP Ne Amaçla Kullanılır? • IP’ nin, hata düzeltme

    veya raporlama özelliği yoktur. Bu yüzden, bu amaçlar için ICMP kullanılır. • ICMP genelde, yok edilen paketlerde, hata oluşumlarında ve paketin gideceği yolun değişeceği zamanlarda bilgilendirme yapılması amacıyla kullanılır.

51. 51 ICMP Çalışma Mantığı • Komut satırı araçlarından sıkça kullanıla,

    • Ping ve Traceroute (Windows’ta “Tracert”) • ICMP Echo Request ve Reply mesajlarıyla çalışır. • ICMP paketlerinin farklı tip değerleri vardır : • Echo Request • Echo Reply • Redirection Required 


52. 52 ICMP Redirection Required Hakkında: • Daha iyi bir ağ

    geçitinin(gateway) bildirilmesi amacıyla kullanılır. • Paketi alan host veya router, routing tablosuna yeni ağ geçidini ekleyecektir. • Önlem amaçlı gerekli konfigürasyon yapılmamış ise; • 0(Ağ için), • 1(Host için), • 2(Servis ve ağ için), • 3(Servis ve host için) olmak üzere 4 farklı kodu vardır. 


53. 53 ICMP MITM • Saldırgan MITM araçlarıyla ağa ICMP redirect

    mesajı yayınlar. • Bütün ağa yapılan bu kaba kuvvet saldırısı ile düğümler bir yerden bir yere geçmek için saldırganı ağ geçidi olarak tanıyacaklardır. • Bu sayede bir düğümden diğerine giden paketler görüntülenebilecek ve saldırganlar kullanıcıları ya da sunucuları istenilen yere yönlendirebileceklerdir.

54. 54 ICMP MITM • ARP saldırılarını anlatırken iletişimin MAC adresi

    üzerinden gerçekleştiğini belirtmiştik. • Ancak bilmeniz gereken bir diğer bilgi hedefe giderken kullanılacak yolun da önemli olduğu ve routing tablosundan tanımlandığıdır. • Bu saldırıda ARP tablosu değişmese de, paketin hedefe giderken izleyeceği yol değiştirilerek, saldırganın üzerinden geçmesi sağlanabilir.

55. 55 Örnek Bir Senaryo Kurban IP Bilgisi 192.168.2.105 Saldırgan IP

    Bilgisi 192.168.2.62 Kullanılan Araçlar Ettercap, wireshark Amaç Trafiği ICMP paketleri ile yönlendirmek

56. 56 Host -> Scan for hosts • Ağda bulunan host

    adresleri taranır. Örnek Uygulama

57. 57 Add to Target • Hedef olarak belirlenen IP adresi

    seçilerek eklenir. Örnek Uygulama

58. 58 Mitm -> ICMP redirect • Saldırı olarak ICMP redirect

    seçilir. Örnek Uygulama

59. 59 Gateway Information • Hedef makinenin MAC ve IP adres

    bilgileri yazılır. Örnek Uygulama

60. 60 Örnek Uygulama

61. 61 ‣Start -> Start sniffing • Saldırı başlatılır. Örnek Uygulama

62. 62 Örnek Uygulama Saldırıdan sonra hedefin trafiğinin saldırgan makine üzerinden

    izlenebildiği gözlemlenmiştir.

63. 63 • DNS Nedir? • DNS Ne Amaçla Kullanılır? •

    DNS Çalışma Mantığı • DNS ile MITM • Kullanılabilecek Araçlar • Örnek Senaryo DNS Spoofing

64. 64 DNS Nedir? • DNS adresi, ISP tarafından verilmiş domain

    isimlerini IP adreslerine dönüştürebilmek için gerekli eşleştirmeleri yapan sunucu adresidir.

65. 65 DNS Ne Amaçla Kullanılır? • IP - Hostname çözümlemesi

    sağlar 216.58.212.35 www.google.com.tr

66. 66 • Client Resolver Cache • Hosts Dosyası • DNS

    • NetBIOS name cache • WINS • Broadcast / LLMNR • LMHOSTS DNS Çalışma Mantığı Hostname bilgisinden IP bilgisine erişmek için çözümleme yapılacağı zaman belli başlı bir yol izlenmektedir. Bunun sebebi de sorgulama işlemlerinin daha hızlı yapılması içindir. NOT: Yan tarafta belirtilen yöntemleri inceleyerek bunu daha iyi anlayabiliriz. Bir Windows sistem için incelenecektir.

67. 67 DNS Çalışma Mantığı • Client Resolver Cache Yapılan isim

    çözümlemeler için bilgisayar açık olduğu sürece bu bilgiler bellekte depolanır. Burda yöntem farketmez. İster bir host dosyasına bakılarak, ister bir DNS sunucusuna sorularak yapılsın. Bu kapsam da bu bilgiler bilgisayarın belleğinde depolanır. Böylece, bellekten okunarak aynı ad çözümleme işlemi tekrarlanmaz.

68. 68 DNS Çalışma Mantığı • Hosts Dosyası İsim çözümle işlemlerinde

    ilk olarak bu dosyaya bakılır. Dosyanın tutulduğu yer: Windows\System32\Drivers\etc

69. 69 DNS Çalışma Mantığı • DNS Sunucular DNS sunucular, hostname

    diye belirttiğimiz isimleri IP adresine çevirmeye yararlar.

70. 70 DNS Çalışma Mantığı • LMHOST Dosyası .sam uzantılı bir

    dosyadır. Bilgisayarların NETBIOS adlarını çözmek için kullanılır. Dosyanın bulunduğu yer: %root%/System32/Drivers/etc Eski bir teknolojidir.

71. 71 DNS Çalışma Mantığı • WINS DNS gibi, bünyesinde kendi

    veritabanının barındırır. Kayıtları dinamik olarak tutulur, IP veya hostname bilgileri değiştiği zaman kayıt güncellenir.

72. 72 DNS Çalışma Mantığı • Broadcast / LLMNR Yeni bir

    teknolojidir. Sadece yerel ağlarda kullanılır. DNS’e alternatif bir çözüm değildir. DNS’in çalışmasının mümkün olmadığı ortamlarda tercih edilmektedir.

73. 73 DNS Çalışma Mantığı • Sırası ile Ad Çözümleme İşlemleri

    Hostname (Bilgisayar ilk olarak çözümlemeye çalıştığı bilginin kendisine ait olup olmadığını anlamaya çalışır) DNS Cache Hosts Dosyası DNS Server NetBIOS Name Cache WINS Server LLMNR LMHOSTS

74. 74 DNS ile MITM • DNS spoofing ise cache bellekteki

    değerleri doğru adreslere ulaştırmak yerine saldırganın hedeflediği adreslere yönlendirerek spam,virüs,worm gibi zararlı yazılımları enjekte eder. • Man In The Middle mantığıyla araya giren saldırgan kurban seçtiği bilgisayarda DNS üzerinden istediği bilgileri alabilmek için bir çok saldırı senaryosu oluşturabilir.

75. 75 Kullanılabilecek Araçlar • Ettercap • Dnsspoof

76. 76 Örnek Bir Senaryo Kurban IP Bilgisi 192.168.2.216 Saldırgan IP

    Bilgisi 192.168.2.98 Kullanılan Araçlar Ettercap Amaç Kurbanın girmek istediği web sayfalarını farklı sayfalara yönlendirmek

77. 77 Örnek Senaryo; • Saldırgan kendi kurduğu sahte oltalama sitelerine

    yönlendirme yapabilir. • Böylece kişinin kredi kartı vb. bilgilerine erişim sağlayabilir.

78. 78 ifconfig • Öncelikle makinemizin IP adresini öğreniyoruz. Örnek Uygulama

79. 79 gedit /etc/ettercap/etter.dns • Ettercap tarafından kullanılan etter.dns dosyasını düzenliyoruz.

    • Dosya içerisinde kurbanın girmek istediği domaini bizim IP adresimize yönlendirelim. Örnek Uygulama

80. 80 Örnek Uygulama

81. 81 service apache2 start • Düzenlemeleri yaptıktan sonra apache2 servisini

    başlatalım. Örnek Uygulama

82. 82 Sniff -> Unified Sniffing Örnek Uygulama

83. 83 Kullanılacak ağ kartı seçilir. Örnek Uygulama

84. 84 Hosts -> Scan for hosts • Ağdaki host adresleri

    tespit edilir. Örnek Uygulama

85. 85 Hosts -> Hosts list • Ağda bulunan host adresleri

    listelenir. Örnek Uygulama

86. 86 Add to Target • Kurbanın adresi hedef olarak eklenir.

    Örnek Uygulama

87. 87 Mitm -> ARP poissoning • Saldırı olarak ARP zehirlemesi

    seçilir. Örnek Uygulama

88. 88 Sniff remote connections. • Sniff işlemi için uzaktan bağlantı

    parametresi seçilir. Örnek Uygulama

89. 89 Plugins -> Manage the plugins • Eklentileri yönet seçilir.

    Örnek Uygulama

90. 90 *dns_spoof • Dns spoof saldırısı için eklentilerden üzerine tıklanarak

    seçilir. Örnek Uygulama

91. 91 gedit /var/www/html/index.html • Kurbanı kendi IP adresimize yönlendirmiştik. •

    Apache web dosyaları Kali üzerinde /var/www/html içerisinde bulunur. Örnek Uygulama

92. 92 Örnek Uygulama

93. 93 • Kurban www.meryemakdoğan.com adresine gitmek istediğinde bizim sayfamız ile

    karşılaşmış oldu. Örnek Uygulama

94. 94 • SSL Nedir? • SSL Çalışma Mantığı • SSL

    MITM İçin Kullanılabilecek Araçlar • Örnek Senaryo SSL Secure Sockets Layer

95. 95 SSL (Secure Sockets Layer) Nedir? • SSL web formlardan

    gönderilen verileri güvenlik katmanında şifreleyerek ulaştıran ve ulaştığı yerde aynı sertifikanın tanınmasıyla verilerin çözümlenerek değerlendirilmesini sağlayan bir güvenlik tedbiridir.

96. 96 SSL Çalışma Mantığı

97. 97 SSL MITM İçin Kullanılabilecek Araçlar • Mitmf • Webmitm

    • Sslstrip NOT: Bu saldırıda amaç kullanıcının SSL trafiğini dinlemek değildir. Kullanıcıyı HTTP iletişimine zorlamaktır.

98. 98 Örnek Bir Senaryo Kurban IP Bilgisi 192.168.2.216 Saldırgan IP

    Bilgisi 192.168.2.98 Kullanılan Araçlar mitmf Amaç Kurbanın kullanıcı adı ve şifrelerini ele geçirmek

99. 99 Gerekli Aracın Kurulumu (MITMF) git clone https://github.com/byt3bl33d3r/MITMf.git mitmf ./install-bdfactory.sh

    apt-get install capstone python-nfqueue pip install pefile capstone

100. 100 Komut: • mitmf -i eth0 —spoof —arp —hsts —gateway

     192.168.2.1 —target 192.168.2.216 • HTTPS isteklerinde giden gelen değerleri görebilmek için –hsts parametresini kullanılır. Örnek Uygulama

101. 101 Chrome üzerinde opac.sdu.edu.tr e ait login isteğinin çözümlenmesi :

     Örnek Uygulama

102. 102 Chrome üzerinde hotmail e ait login isteğinin çözümlenmesi :

     Örnek Uygulama

103. 103 • Kablosuz Ağlar • Sahte kablosuz ağlar Wireless MITM

104. 104 Kablosuz Ağlar Çalışma Mantığı Kablosuz ağlara bağlanma aşağıdaki adımlardan

     meydana gelmektedir. • Bağlanma talebi kablosuz ağa gönderilir. • Bu talebe karşılık kablosuz ağ ordaysa cevap dönülür. • Daha sonra yetkilendirme işlemleri ve ağa dahil olma işlemleri gerçekleştirilir. • Burda ki temel problem iletişimin ilk olarak SSID(kablosuz ağın ismi ) üzerinden başlamasıdır.

105. 105 Kablosuz Ağlarda MITM İnsanlar Free, Bedava, Ücretsiz gibi kelimelere

     çok önem verirler :) Bu nedenle sahte erişim noktaları oluşturulurken bu tarz isimler tercih edilir.

106. 106 Kablosuz Ağlarda MITM Bedavaaaaaaaa :)

107. 107 Örnek Bir Senaryo Sahte Ağ TTNET Ucretsiz Kullanılan Araçlar

     Wi-Fi Pumpkin Amaç Kullanıcıyı kendi ağımıza düşürmektir.

108. 108 Gerekli Aracın Kurulumu git clone https://github.com/P0cL4bs/WiFi-Pumpkin.git cd WiFi-Pumpkin chmod

     +x installer.sh ./installer.sh —install Çalıştırma: • sudo wifi-pumpkin

109. 109 Wi-Fi MITM için Sahte Ağ Oluşturma Aşaması Örnek Uygulama

110. 110 Wi-Fi MITM için Sahte Ağ Oluşturma Aşaması Örnek Uygulama

111. 111 Wi-Fi MITM için Sahte Ağ Oluşturma Aşaması Kurban bilgisayarın

     HTTP trafiği izlenebiliyor Örnek Uygulama

112. 112 Teşekkürler Meryem AKDOĞAN MrymAkdogan