$30 off During Our Annual Pro Sale. View details »

Ortadaki Adam Saldırıları

Ortadaki Adam Saldırıları

MITM (Ortadaki Adam) Saldırıları
MITM Çeşitleri
Wireless MITM
DNS MITM
SSL MITM
ARP Zehirleme
Alınabilecek Önlemler

Meryem Akdoğan

February 11, 2017
Tweet

More Decks by Meryem Akdoğan

Other Decks in Education

Transcript

  1. 1 Man In The Middle Meryem AKDOĞAN

  2. 2 İçindekiler • Man In The Middle Attack Nedir? •

    Network Cihazları • Hub • Switch • MITM Çeşitleri • ARP Poisoning • ICMP MITM • DNS MITM • Cookie hijacking • SSL MITM • Wireless MITM
  3. 3 Man-In-The-Middle Attack Nedir? • Bir network üzerinde kurban bilgisayar

    ile diğer ağ araçları (yönlendirici, switch, modem ya da server gibi) arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme ilkesine dayanan bir saldırı çeşididir.
  4. 4 Network Cihazları Hub • Hublar OSI modelinin ilk katman

    (fiziksel katman) da çalışan ve gelen veride hiç bir kontrol işlemi uygulamadan kendi portlarına bağlı tüm sistemlere yollayan bir modeldir. • Alıcı bilgisayar, veri kendisine gelmiş ise veriyi kabul eder, eğer gelmemiş ise göz ardı eder. • Böylelikle aslında ağ üzerinden geçen bütün paketlerin takibi mümkün kılınmaktadır.
  5. 5 Network Cihazları Switch • Switchler ise OSI modelinin 2.

    katmanında çalışır ve hub gibi dağıtım görevinden sorumludur. • Hub dan farklı olarak, switch veriyi portlarına bağlı tüm sistemlere dağıtmak yerine sadece hedef sisteme dağıtır.
  6. 6 Ortadaki Adam Saldırısı (MITM) Kullanıcı Ortadaki Adam Sunucu 1

    2 3 4 Bir network üzerinde kurban bilgisayar ile diğer ağ araçları (yönlendirici, switch, modem ya da server gibi) arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme ilkesine dayanan bir saldırı çeşididir. (Wikipedia) Başarılı bir MITM Saldırısı devamında saldırganın yapabileceği işlemler tamamen bilgi, beceri ve hayal gücüne kalmıştır. NOT
  7. 7 • MITM Saldırıları OSI Modeli içerisinde 2. Katman (Data

    Link) içerisinde gerçekleştirildiği için, saldırgan başarılı olduktan sonra tüm trafiğe hakim olabilmektedir.
  8. 8 MITM Çeşitleri: • ARP Poisoning • ICMP MITM •

    DNS MITM • Cookie hijacking • Man in the browser • SSL MITM • Wireless MITM
  9. 9 ARP Poisining • ARP Nedir? • Arp Protokolünün Çalışma

    Mantığı • ARP Poisining (Zehirlenmesi) • ARP Poisining İçin Kullanılabilecek Araçlar • Örnek Senaryo
  10. 10 ARP Nedir? • ARP, ağda bulunan diğer makinelerin IP-MAC

    eşleştirmesini yapar. • IP-MAC eşleştirmesinin bulunduğu yer ARP tablosudur.
  11. 11 ARP Protokolünün Çalışma Mantığı • Yerel ağda haberleşmek istenilen

    iki makine arasında kurulacak bağlantı öncesinde ARP tablosundan bakılarak iletişimin kurulacağı IP'ye denk düşen MAC adresi bulunur ve işlemler bu MAC adresi üstünden gerçekleşir.
  12. 12 ARP Protokolünün Çalışma Mantığı • Eğer iletişim kurulacak cihazın

    MAC adres bilgisi arp tablosunda mevcut değilse, bütün ağa broadcast bir mesaj gönderilir ve gelen cevap içerisinden alınan MAC adresi ile arp tablosu güncellenir. İletişim devam eder. • Örnek uygulama : ‣ ping atma işlemi
  13. 13 arp -a • Ping atmadan önce arp tablosunun görünümü

    Örnek Uygulama
  14. 14 ping 192.168.2.43 Örnek Uygulama

  15. 15 Örnek Uygulama

  16. 65 68 69 70 Ağa broadcast mesajı gönderilir. 192.168.2.43 kimsin?

    192.168.2.43 IP li makine yanıt döner. Ping isteği gider. Ping yanıtı döner. ARP ARP ICMP ICMP .. Örnek Uygulama Paketlerin açıklamaları
  17. 17 arp -a • Ping attıktan sonra arp tablosuna IP

    adresi eklenir. Örnek Uygulama
  18. 18 ARP Poisoning (ARP Zehirlemesi) • ARP zehirleme saldırısında, seri

    şekilde gönderilen ARP paketleri ile kurban ve router arasına girilir.
  19. 19 • Trafiği yönlendiren cihaza(router/switch), kurbanın MAC adresi diye saldırganın

    MAC adresi gönderilerek, saldırgan kendini, kurban olarak taklit eder • Cihazın ARP tablosunda IP-MAC eşleştirmesi bu şekilde görünür. • Kurbana, router MAC adresi diye saldırgan MAC adresi gönderilerek kurbanın ARP tablosundaki router MAC adresi saldırganın MAC adresiyle değiştirilir. • Poisoning için gönderilen paketler sahte ARP paketleridir. ARP Poisoning (ARP Zehirlemesi)
  20. 20 • Scapy • Arpspoof • Ettercap • Cain&Abel (Windows)

    ARP Poisoning İçin Kullanılabilecek Araçlar
  21. 21 Örnek Bir Senaryo Kurban IP Bilgisi 192.168.2.98 Saldırgan IP

    Bilgisi 192.168.2.163 Kullanılan Araçlar Ettercap, wireshark Amaç Kurbanın trafiğini kendimize yönlendirmek NOT: Örnek uygulamalar da IP adreslerinde farklılık olabilir. Bunun sebebi testlerin ara sıra farklı ağlarda tekrarlanmasıdır.
  22. 22 Ettercap ile ARP Poisoning Kali üzerinde ettercap -G ile

    ettercap aracının arayüzü çağırılır. Örnek Uygulama
  23. 23 Sniff -> Unified Sniffing Örnek Uygulama

  24. 24 Kullanılacak ağ kartı seçilir. Örnek Uygulama

  25. 25 Host -> Scan for hosts • Ağdaki host adresleri

    tespit edilir. Örnek Uygulama
  26. 26 Host -> Hosts list • Taramada bulunan host adresleri

    listelenir. Örnek Uygulama
  27. 27 Add to Target • Hedef olarak belirlenen IP adresi

    seçilerek eklenir. Örnek Uygulama
  28. 28 Mitm -> ARP poissoning • Saldırı olarak ARP zehirlemesi

    seçilir. Örnek Uygulama
  29. 29 Sniff remote connections. • Sniff işlemi için uzaktan bağlantı

    parametresi seçilir. Örnek Uygulama
  30. 30 ‣ Start -> Start sniffing • Saldırı başlatılır. Örnek

    Uygulama
  31. 31 arp -a • Arp saldırısını başlatmadan önce kurbanın arp

    tablosunun görünümü Örnek Uygulama
  32. 32 arp -a • Saldırı sonrası kurbanın arp tablosunun değişiminin

    görünümü. Örnek Uygulama
  33. 33 • Wireshark açıp izlediğimizde kurbanın www.meryemakdoğan.com sayfasını ziyaret ettiğini

    görüyoruz. Örnek Uygulama
  34. 34 Örnek Bir Senaryo 2 Kurban IP Bilgisi 192.168.1.11 Saldırgan

    MAC Bilgisi 00:0c:29:9b:43:23 Kullanılan Araçlar Scapy, wireshark Amaç Kurbanın trafiğini kendimize yönlendirmek
  35. 35 Scapy ile Sahte ARP Paketi Üretmek

  36. 36 ARP Zehirlemesinin Tespit Edilmesi DecaffeinatID Aracı • Windows sistemler

    için ARP izleme uygulamasıdır. • IP-MAC eşleştirmesi (ARP tablosu) değişikliklerini uyarır. • İndirme linki • http://irongeek.com/downloads/decaffeinatid0.09.zip
  37. 37

  38. 38 Cookie Hijacking • Cookie Nedir, Ne Amaçla Kullanılır ?

    • Cookie Hijacking Nedir ? • Kullanılabilecek Araçlar • Örnek Bir Senaryo
  39. 39 Cookie Nedir, Ne Amaçla Kullanılır ? • Cookie; web

    sitelerinde dolaşırken bilgilerin, şifrelerin kaydedildiği, o web sitesine tekrar girildiğinde bilgilerinizin hatırlanarak giriş yapıldığı text dosyalarıdır. Aslında kısaca ‘web dosyalarının hatırlatma kutusu’ da diyebiliriz.
  40. 40 Cookie Hijacking Nedir ? • Başka birisinin cookie bilgilerini

    kullanarak eriştiği sistemlere erişmek amacı ile kullanılır. • Bu saldırının gerçekleşmesi için ağda arp zehirleme gibi trafiği yönlendiren bir saldırının başlatılmış olması gerekmektedir.
  41. 41 Cookie Hijacking İçin Kullanılabilecek Araçlar • Ettercap • Ferret

    • Hamster
  42. 42 Örnek Bir Senaryo Kurban IP Bilgisi 192.168.2.98 Saldırgan IP

    Bilgisi 192.168.2.131 Kullanılan Araçlar Ferret, Hamster Amaç Kurbanın hareketlerini takip etmek
  43. 43 Hamster Örnek Uygulama

  44. 44 Ferret ferret -i eth0 -i : parametresi ile kullanılacak

    ağ kartı tanımlanır. Örnek Uygulama
  45. 45 Hamster Örnek Uygulama

  46. 46 Hamster Hamster, 127.0.0.1:1234 portunu kullanır. Böylece kurbanın hareketlerini listeledik.

    Örnek Uygulama
  47. 47 Hamster Örnek Uygulama

  48. 48 • ICMP Nedir? • ICMP Ne Amaçla Kullanılır? •

    ICMP Çalışma Mantığı • Örnek Senaryo ICMP MITM
  49. 49 ICMP Nedir? • ICMP (Internet Control Message Protocol), geri

    bildirimler yapmak için kontrol amaçlı kullanılan bir protokoldür.
  50. 50 ICMP Ne Amaçla Kullanılır? • IP’ nin, hata düzeltme

    veya raporlama özelliği yoktur. Bu yüzden, bu amaçlar için ICMP kullanılır. • ICMP genelde, yok edilen paketlerde, hata oluşumlarında ve paketin gideceği yolun değişeceği zamanlarda bilgilendirme yapılması amacıyla kullanılır.
  51. 51 ICMP Çalışma Mantığı • Komut satırı araçlarından sıkça kullanıla,

    • Ping ve Traceroute (Windows’ta “Tracert”) • ICMP Echo Request ve Reply mesajlarıyla çalışır. • ICMP paketlerinin farklı tip değerleri vardır : • Echo Request • Echo Reply • Redirection Required 

  52. 52 ICMP Redirection Required Hakkında: • Daha iyi bir ağ

    geçitinin(gateway) bildirilmesi amacıyla kullanılır. • Paketi alan host veya router, routing tablosuna yeni ağ geçidini ekleyecektir. • Önlem amaçlı gerekli konfigürasyon yapılmamış ise; • 0(Ağ için), • 1(Host için), • 2(Servis ve ağ için), • 3(Servis ve host için) olmak üzere 4 farklı kodu vardır. 

  53. 53 ICMP MITM • Saldırgan MITM araçlarıyla ağa ICMP redirect

    mesajı yayınlar. • Bütün ağa yapılan bu kaba kuvvet saldırısı ile düğümler bir yerden bir yere geçmek için saldırganı ağ geçidi olarak tanıyacaklardır. • Bu sayede bir düğümden diğerine giden paketler görüntülenebilecek ve saldırganlar kullanıcıları ya da sunucuları istenilen yere yönlendirebileceklerdir.
  54. 54 ICMP MITM • ARP saldırılarını anlatırken iletişimin MAC adresi

    üzerinden gerçekleştiğini belirtmiştik. • Ancak bilmeniz gereken bir diğer bilgi hedefe giderken kullanılacak yolun da önemli olduğu ve routing tablosundan tanımlandığıdır. • Bu saldırıda ARP tablosu değişmese de, paketin hedefe giderken izleyeceği yol değiştirilerek, saldırganın üzerinden geçmesi sağlanabilir.
  55. 55 Örnek Bir Senaryo Kurban IP Bilgisi 192.168.2.105 Saldırgan IP

    Bilgisi 192.168.2.62 Kullanılan Araçlar Ettercap, wireshark Amaç Trafiği ICMP paketleri ile yönlendirmek
  56. 56 Host -> Scan for hosts • Ağda bulunan host

    adresleri taranır. Örnek Uygulama
  57. 57 Add to Target • Hedef olarak belirlenen IP adresi

    seçilerek eklenir. Örnek Uygulama
  58. 58 Mitm -> ICMP redirect • Saldırı olarak ICMP redirect

    seçilir. Örnek Uygulama
  59. 59 Gateway Information • Hedef makinenin MAC ve IP adres

    bilgileri yazılır. Örnek Uygulama
  60. 60 Örnek Uygulama

  61. 61 ‣Start -> Start sniffing • Saldırı başlatılır. Örnek Uygulama

  62. 62 Örnek Uygulama Saldırıdan sonra hedefin trafiğinin saldırgan makine üzerinden

    izlenebildiği gözlemlenmiştir.
  63. 63 • DNS Nedir? • DNS Ne Amaçla Kullanılır? •

    DNS Çalışma Mantığı • DNS ile MITM • Kullanılabilecek Araçlar • Örnek Senaryo DNS Spoofing
  64. 64 DNS Nedir? • DNS adresi, ISP tarafından verilmiş domain

    isimlerini IP adreslerine dönüştürebilmek için gerekli eşleştirmeleri yapan sunucu adresidir.
  65. 65 DNS Ne Amaçla Kullanılır? • IP - Hostname çözümlemesi

    sağlar 216.58.212.35 www.google.com.tr
  66. 66 • Client Resolver Cache • Hosts Dosyası • DNS

    • NetBIOS name cache • WINS • Broadcast / LLMNR • LMHOSTS DNS Çalışma Mantığı Hostname bilgisinden IP bilgisine erişmek için çözümleme yapılacağı zaman belli başlı bir yol izlenmektedir. Bunun sebebi de sorgulama işlemlerinin daha hızlı yapılması içindir. NOT: Yan tarafta belirtilen yöntemleri inceleyerek bunu daha iyi anlayabiliriz. Bir Windows sistem için incelenecektir.
  67. 67 DNS Çalışma Mantığı • Client Resolver Cache Yapılan isim

    çözümlemeler için bilgisayar açık olduğu sürece bu bilgiler bellekte depolanır. Burda yöntem farketmez. İster bir host dosyasına bakılarak, ister bir DNS sunucusuna sorularak yapılsın. Bu kapsam da bu bilgiler bilgisayarın belleğinde depolanır. Böylece, bellekten okunarak aynı ad çözümleme işlemi tekrarlanmaz.
  68. 68 DNS Çalışma Mantığı • Hosts Dosyası İsim çözümle işlemlerinde

    ilk olarak bu dosyaya bakılır. Dosyanın tutulduğu yer: Windows\System32\Drivers\etc
  69. 69 DNS Çalışma Mantığı • DNS Sunucular DNS sunucular, hostname

    diye belirttiğimiz isimleri IP adresine çevirmeye yararlar.
  70. 70 DNS Çalışma Mantığı • LMHOST Dosyası .sam uzantılı bir

    dosyadır. Bilgisayarların NETBIOS adlarını çözmek için kullanılır. Dosyanın bulunduğu yer: %root%/System32/Drivers/etc Eski bir teknolojidir.
  71. 71 DNS Çalışma Mantığı • WINS DNS gibi, bünyesinde kendi

    veritabanının barındırır. Kayıtları dinamik olarak tutulur, IP veya hostname bilgileri değiştiği zaman kayıt güncellenir.
  72. 72 DNS Çalışma Mantığı • Broadcast / LLMNR Yeni bir

    teknolojidir. Sadece yerel ağlarda kullanılır. DNS’e alternatif bir çözüm değildir. DNS’in çalışmasının mümkün olmadığı ortamlarda tercih edilmektedir.
  73. 73 DNS Çalışma Mantığı • Sırası ile Ad Çözümleme İşlemleri

    Hostname (Bilgisayar ilk olarak çözümlemeye çalıştığı bilginin kendisine ait olup olmadığını anlamaya çalışır) DNS Cache Hosts Dosyası DNS Server NetBIOS Name Cache WINS Server LLMNR LMHOSTS
  74. 74 DNS ile MITM • DNS spoofing ise cache bellekteki

    değerleri doğru adreslere ulaştırmak yerine saldırganın hedeflediği adreslere yönlendirerek spam,virüs,worm gibi zararlı yazılımları enjekte eder. • Man In The Middle mantığıyla araya giren saldırgan kurban seçtiği bilgisayarda DNS üzerinden istediği bilgileri alabilmek için bir çok saldırı senaryosu oluşturabilir.
  75. 75 Kullanılabilecek Araçlar • Ettercap • Dnsspoof

  76. 76 Örnek Bir Senaryo Kurban IP Bilgisi 192.168.2.216 Saldırgan IP

    Bilgisi 192.168.2.98 Kullanılan Araçlar Ettercap Amaç Kurbanın girmek istediği web sayfalarını farklı sayfalara yönlendirmek
  77. 77 Örnek Senaryo; • Saldırgan kendi kurduğu sahte oltalama sitelerine

    yönlendirme yapabilir. • Böylece kişinin kredi kartı vb. bilgilerine erişim sağlayabilir.
  78. 78 ifconfig • Öncelikle makinemizin IP adresini öğreniyoruz. Örnek Uygulama

  79. 79 gedit /etc/ettercap/etter.dns • Ettercap tarafından kullanılan etter.dns dosyasını düzenliyoruz.

    • Dosya içerisinde kurbanın girmek istediği domaini bizim IP adresimize yönlendirelim. Örnek Uygulama
  80. 80 Örnek Uygulama

  81. 81 service apache2 start • Düzenlemeleri yaptıktan sonra apache2 servisini

    başlatalım. Örnek Uygulama
  82. 82 Sniff -> Unified Sniffing Örnek Uygulama

  83. 83 Kullanılacak ağ kartı seçilir. Örnek Uygulama

  84. 84 Hosts -> Scan for hosts • Ağdaki host adresleri

    tespit edilir. Örnek Uygulama
  85. 85 Hosts -> Hosts list • Ağda bulunan host adresleri

    listelenir. Örnek Uygulama
  86. 86 Add to Target • Kurbanın adresi hedef olarak eklenir.

    Örnek Uygulama
  87. 87 Mitm -> ARP poissoning • Saldırı olarak ARP zehirlemesi

    seçilir. Örnek Uygulama
  88. 88 Sniff remote connections. • Sniff işlemi için uzaktan bağlantı

    parametresi seçilir. Örnek Uygulama
  89. 89 Plugins -> Manage the plugins • Eklentileri yönet seçilir.

    Örnek Uygulama
  90. 90 *dns_spoof • Dns spoof saldırısı için eklentilerden üzerine tıklanarak

    seçilir. Örnek Uygulama
  91. 91 gedit /var/www/html/index.html • Kurbanı kendi IP adresimize yönlendirmiştik. •

    Apache web dosyaları Kali üzerinde /var/www/html içerisinde bulunur. Örnek Uygulama
  92. 92 Örnek Uygulama

  93. 93 • Kurban www.meryemakdoğan.com adresine gitmek istediğinde bizim sayfamız ile

    karşılaşmış oldu. Örnek Uygulama
  94. 94 • SSL Nedir? • SSL Çalışma Mantığı • SSL

    MITM İçin Kullanılabilecek Araçlar • Örnek Senaryo SSL Secure Sockets Layer
  95. 95 SSL (Secure Sockets Layer) Nedir? • SSL web formlardan

    gönderilen verileri güvenlik katmanında şifreleyerek ulaştıran ve ulaştığı yerde aynı sertifikanın tanınmasıyla verilerin çözümlenerek değerlendirilmesini sağlayan bir güvenlik tedbiridir.
  96. 96 SSL Çalışma Mantığı

  97. 97 SSL MITM İçin Kullanılabilecek Araçlar • Mitmf • Webmitm

    • Sslstrip NOT: Bu saldırıda amaç kullanıcının SSL trafiğini dinlemek değildir. Kullanıcıyı HTTP iletişimine zorlamaktır.
  98. 98 Örnek Bir Senaryo Kurban IP Bilgisi 192.168.2.216 Saldırgan IP

    Bilgisi 192.168.2.98 Kullanılan Araçlar mitmf Amaç Kurbanın kullanıcı adı ve şifrelerini ele geçirmek
  99. 99 Gerekli Aracın Kurulumu (MITMF) git clone https://github.com/byt3bl33d3r/MITMf.git mitmf ./install-bdfactory.sh

    apt-get install capstone python-nfqueue pip install pefile capstone
  100. 100 Komut: • mitmf -i eth0 —spoof —arp —hsts —gateway

    192.168.2.1 —target 192.168.2.216 • HTTPS isteklerinde giden gelen değerleri görebilmek için –hsts parametresini kullanılır. Örnek Uygulama
  101. 101 Chrome üzerinde opac.sdu.edu.tr e ait login isteğinin çözümlenmesi :

    Örnek Uygulama
  102. 102 Chrome üzerinde hotmail e ait login isteğinin çözümlenmesi :

    Örnek Uygulama
  103. 103 • Kablosuz Ağlar • Sahte kablosuz ağlar Wireless MITM

  104. 104 Kablosuz Ağlar Çalışma Mantığı Kablosuz ağlara bağlanma aşağıdaki adımlardan

    meydana gelmektedir. • Bağlanma talebi kablosuz ağa gönderilir. • Bu talebe karşılık kablosuz ağ ordaysa cevap dönülür. • Daha sonra yetkilendirme işlemleri ve ağa dahil olma işlemleri gerçekleştirilir. • Burda ki temel problem iletişimin ilk olarak SSID(kablosuz ağın ismi ) üzerinden başlamasıdır.
  105. 105 Kablosuz Ağlarda MITM İnsanlar Free, Bedava, Ücretsiz gibi kelimelere

    çok önem verirler :) Bu nedenle sahte erişim noktaları oluşturulurken bu tarz isimler tercih edilir.
  106. 106 Kablosuz Ağlarda MITM Bedavaaaaaaaa :)

  107. 107 Örnek Bir Senaryo Sahte Ağ TTNET Ucretsiz Kullanılan Araçlar

    Wi-Fi Pumpkin Amaç Kullanıcıyı kendi ağımıza düşürmektir.
  108. 108 Gerekli Aracın Kurulumu git clone https://github.com/P0cL4bs/WiFi-Pumpkin.git cd WiFi-Pumpkin chmod

    +x installer.sh ./installer.sh —install Çalıştırma: • sudo wifi-pumpkin
  109. 109 Wi-Fi MITM için Sahte Ağ Oluşturma Aşaması Örnek Uygulama

  110. 110 Wi-Fi MITM için Sahte Ağ Oluşturma Aşaması Örnek Uygulama

  111. 111 Wi-Fi MITM için Sahte Ağ Oluşturma Aşaması Kurban bilgisayarın

    HTTP trafiği izlenebiliyor Örnek Uygulama
  112. 112 Teşekkürler Meryem AKDOĞAN MrymAkdogan