ile diğer ağ araçları (yönlendirici, switch, modem ya da server gibi) arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme ilkesine dayanan bir saldırı çeşididir.
(fiziksel katman) da çalışan ve gelen veride hiç bir kontrol işlemi uygulamadan kendi portlarına bağlı tüm sistemlere yollayan bir modeldir. • Alıcı bilgisayar, veri kendisine gelmiş ise veriyi kabul eder, eğer gelmemiş ise göz ardı eder. • Böylelikle aslında ağ üzerinden geçen bütün paketlerin takibi mümkün kılınmaktadır.
katmanında çalışır ve hub gibi dağıtım görevinden sorumludur. • Hub dan farklı olarak, switch veriyi portlarına bağlı tüm sistemlere dağıtmak yerine sadece hedef sisteme dağıtır.
2 3 4 Bir network üzerinde kurban bilgisayar ile diğer ağ araçları (yönlendirici, switch, modem ya da server gibi) arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme ilkesine dayanan bir saldırı çeşididir. (Wikipedia) Başarılı bir MITM Saldırısı devamında saldırganın yapabileceği işlemler tamamen bilgi, beceri ve hayal gücüne kalmıştır. NOT
iki makine arasında kurulacak bağlantı öncesinde ARP tablosundan bakılarak iletişimin kurulacağı IP'ye denk düşen MAC adresi bulunur ve işlemler bu MAC adresi üstünden gerçekleşir.
MAC adres bilgisi arp tablosunda mevcut değilse, bütün ağa broadcast bir mesaj gönderilir ve gelen cevap içerisinden alınan MAC adresi ile arp tablosu güncellenir. İletişim devam eder. • Örnek uygulama : ‣ ping atma işlemi
MAC adresi gönderilerek, saldırgan kendini, kurban olarak taklit eder • Cihazın ARP tablosunda IP-MAC eşleştirmesi bu şekilde görünür. • Kurbana, router MAC adresi diye saldırgan MAC adresi gönderilerek kurbanın ARP tablosundaki router MAC adresi saldırganın MAC adresiyle değiştirilir. • Poisoning için gönderilen paketler sahte ARP paketleridir. ARP Poisoning (ARP Zehirlemesi)
Bilgisi 192.168.2.163 Kullanılan Araçlar Ettercap, wireshark Amaç Kurbanın trafiğini kendimize yönlendirmek NOT: Örnek uygulamalar da IP adreslerinde farklılık olabilir. Bunun sebebi testlerin ara sıra farklı ağlarda tekrarlanmasıdır.
sitelerinde dolaşırken bilgilerin, şifrelerin kaydedildiği, o web sitesine tekrar girildiğinde bilgilerinizin hatırlanarak giriş yapıldığı text dosyalarıdır. Aslında kısaca ‘web dosyalarının hatırlatma kutusu’ da diyebiliriz.
kullanarak eriştiği sistemlere erişmek amacı ile kullanılır. • Bu saldırının gerçekleşmesi için ağda arp zehirleme gibi trafiği yönlendiren bir saldırının başlatılmış olması gerekmektedir.
veya raporlama özelliği yoktur. Bu yüzden, bu amaçlar için ICMP kullanılır. • ICMP genelde, yok edilen paketlerde, hata oluşumlarında ve paketin gideceği yolun değişeceği zamanlarda bilgilendirme yapılması amacıyla kullanılır.
geçitinin(gateway) bildirilmesi amacıyla kullanılır. • Paketi alan host veya router, routing tablosuna yeni ağ geçidini ekleyecektir. • Önlem amaçlı gerekli konfigürasyon yapılmamış ise; • 0(Ağ için), • 1(Host için), • 2(Servis ve ağ için), • 3(Servis ve host için) olmak üzere 4 farklı kodu vardır.
mesajı yayınlar. • Bütün ağa yapılan bu kaba kuvvet saldırısı ile düğümler bir yerden bir yere geçmek için saldırganı ağ geçidi olarak tanıyacaklardır. • Bu sayede bir düğümden diğerine giden paketler görüntülenebilecek ve saldırganlar kullanıcıları ya da sunucuları istenilen yere yönlendirebileceklerdir.
üzerinden gerçekleştiğini belirtmiştik. • Ancak bilmeniz gereken bir diğer bilgi hedefe giderken kullanılacak yolun da önemli olduğu ve routing tablosundan tanımlandığıdır. • Bu saldırıda ARP tablosu değişmese de, paketin hedefe giderken izleyeceği yol değiştirilerek, saldırganın üzerinden geçmesi sağlanabilir.
• NetBIOS name cache • WINS • Broadcast / LLMNR • LMHOSTS DNS Çalışma Mantığı Hostname bilgisinden IP bilgisine erişmek için çözümleme yapılacağı zaman belli başlı bir yol izlenmektedir. Bunun sebebi de sorgulama işlemlerinin daha hızlı yapılması içindir. NOT: Yan tarafta belirtilen yöntemleri inceleyerek bunu daha iyi anlayabiliriz. Bir Windows sistem için incelenecektir.
çözümlemeler için bilgisayar açık olduğu sürece bu bilgiler bellekte depolanır. Burda yöntem farketmez. İster bir host dosyasına bakılarak, ister bir DNS sunucusuna sorularak yapılsın. Bu kapsam da bu bilgiler bilgisayarın belleğinde depolanır. Böylece, bellekten okunarak aynı ad çözümleme işlemi tekrarlanmaz.
teknolojidir. Sadece yerel ağlarda kullanılır. DNS’e alternatif bir çözüm değildir. DNS’in çalışmasının mümkün olmadığı ortamlarda tercih edilmektedir.
Hostname (Bilgisayar ilk olarak çözümlemeye çalıştığı bilginin kendisine ait olup olmadığını anlamaya çalışır) DNS Cache Hosts Dosyası DNS Server NetBIOS Name Cache WINS Server LLMNR LMHOSTS
değerleri doğru adreslere ulaştırmak yerine saldırganın hedeflediği adreslere yönlendirerek spam,virüs,worm gibi zararlı yazılımları enjekte eder. • Man In The Middle mantığıyla araya giren saldırgan kurban seçtiği bilgisayarda DNS üzerinden istediği bilgileri alabilmek için bir çok saldırı senaryosu oluşturabilir.
gönderilen verileri güvenlik katmanında şifreleyerek ulaştıran ve ulaştığı yerde aynı sertifikanın tanınmasıyla verilerin çözümlenerek değerlendirilmesini sağlayan bir güvenlik tedbiridir.
meydana gelmektedir. • Bağlanma talebi kablosuz ağa gönderilir. • Bu talebe karşılık kablosuz ağ ordaysa cevap dönülür. • Daha sonra yetkilendirme işlemleri ve ağa dahil olma işlemleri gerçekleştirilir. • Burda ki temel problem iletişimin ilk olarak SSID(kablosuz ağın ismi ) üzerinden başlamasıdır.