16-10-2008, 05:51
1) Arp poisoning nedir ve ne için kullanılır ?
Arp poisoning diğer adı ile arp tablo zehirlenmesi ethernet protokol mimarisinin bir açığıdından kaynaklanan saldırı şeklidir. Arp poisoning i anlamak için öncelikle arp protokolünün nasıl çalıştığını bilmek gereklidir. ARP aslında fiziksel adreslere karşılık gelen IPV4 adresine belirlemeye yarayan bir protokoldür. ARP protokolünün mesajları içinde kulandığı bilgiler şunlardır:
· Hardware Type: Bu bilgi kullanılan donanım bilgisini barındırmaktadır. Ethernet için değer 1 dir.
· Protocol Type: Kullanılan protokolün bilgisini vermektedir 0800 Hexedecimal olması Internet protokolünü belirtir.
· Lenght of Hardware adress: Donanımın hardware adresinin yani MAC adresinin uzunluğunu belirmektedir. MAC adresinin uzunluğu 6 dır FF:FF:FF:FF:FF:FF
· Operation Code: Bu bilgi ile mesajın ARP request mesajımı yoksa ARP reply mesajım olduğunu anlayabiliriz.
Bu bilgilerin dışında ARP request paketlerinde Sender Hardware Adress olarak mesajı gönderen makinanın MAC adres bilgisi yer alır. Ayrıca Target’s Hardware Adress olarakda 00:00:00:00:00:00 adresi yer almaktadır.
Yukarıda bahsettiğimiz reply ve request mesajları nelerdir onlara bakacak olursak:
ARP protokolü dört temel mesaj kullanmaktadır.
· Bu mesajlardan biri ARP request diğeri ise ARP reply dır. ARP request mesajı broascast gönderilen bir mesajdır ve içeriği şöyledir “ 192.168.2.120 ip adresi kime ait “ . Bu mesajın tüm bilgisayarlara gönderilmesi gerekir çünkü mesajı göndereceğim hedefi bilmemekteyim yani mesajı göndereceğim makinanın MAC adresini bilmemekteyim. Bu yüzden mesaja destination adresi olarak broadcast MAC adresi olan FF:FF:FF:FF:FF:FF koyulur. Bütün bilgisayarlar bu mesajı alır ancak sadece 192.168.2.120 ip adresine sahip bilgisayar bu mesaja ARP reply cevap verir.
· ARP reply mesajı ile “192.168.2.120 ip adresinin sahibi benim” cevap verir. Repyl mesajında destination olarakda request mesajında bulunan source makinasının(yani request mesajını gönderen makinanın) adresi yazılır.
· Üçüncü mesaj tipi RARP yani A Reverse ARP Request. ARP request mesajına benzer bir içeriği vardır ancak mesajı gönderen bilgisayar “AB:0B:B4:3A:E1:E2 Mac adresi kime ait” der
· Dördüncü mesaj tipi ise A RARP Reply mesajıdır. Bu mesajda A Reverse ARP Request mesajını alan bilgisayar cevap olarak “ Benim mac adresim AB:0B:B4:3A:E1:E2 ve benim ip adresim 192.168.2.122” der
ARP poisoning saldırıları son zamanlarda trojen ataklarında daha çok client a ulaşmak için kullanılsada ARP protokol atakları genelde sistemde bottlenecklar( dar boğaz), yanlış gatewaylere yönlendirme ve bağlantıya müdahele, sniffing için kullanılmaktadır.
ARP poisoning attackları araya grime kanca atma attacklarıdır. ARP poisoning mesela windows clientlarında clientın kullandığı ARP Table cash ini zehirliyerek gerçekleştirilebilir. Burada zehirlemek ile kastedilen ARP Tablosundaki bilgilerin maniple edilmesidir. ARP poisoning attacklarının mantığı şudur:
· A bilgisayarı B bilgisayarı ile haberleşmek istiyor olsun.
· Saldırganın bilgisayarı C bilgisayarı olsun.
· Saldırgan A ve B bilgisayarlarının arasına girip bütün trafiği kendi üzerinden geçirerek sniffing yaparak dataları çalmak istiyecektir.
· Bunu da şöyle yapacaktır. A bilgisayarından gelen paketlere ben B bilgisayarıyım diyecek B bilgisayarından gelen paketlere ben A bilgisayarıyım diyecektir. Bu durumda A bilgisayarı C bilgisayarını B bilgisayarı sanarken B bilgisayarıda C bilgisayarını A bilgisayarı sanacaktır.
· Bu sayede A bilgisayarı B bilgisayarına göndereceği dataları C bilgisayarına B bilgisayarıda A bilgisayarına göndereceği dataları C bilgisayarına gönderecek ve böylece bütün datalar C bilgisayarının yani HACKERIN bilgisayarının üzerinden akacaktır. Hackerda dataları sniff ederek istediği bilgiye ulaşabilecektir.
ARP poisoning saldırılarını önlemek için yapılabilecek şeyler kısaca şöyle özetlenebilir:
· ARP saldırılarında sniff edilen datanın çalınmasını önlemenin en iyi yollarından biri gönderilen dataları şifrelemektir. Bunun için en çok kullanılan yöntem IPSEC dir.
· ARP saldırılarını önlemenin diğer bir yoluda sertifika ile haberleşmektir. Buda şöyle özetlenebilir mesela windows tabanlı bir LAN ımızın olduğunu düşünelim. Bir CA(Certification Authority) kurarız. Clientlara sertifikası olmayan bilgisayarla haberleşmemelerini deklere ederiz. Bu sayede araya girmek isteyen hacker bizim yetkili CA mizden sertifika almadığı için iki clientın arasına giremeyecektir.
· Ufak networklerde ARP zehirleme saldırılarını önlemenin diğer bir yoluda static ARP tabloları oluşturarak ARP poisoning i engellemektir. Bu işlem windows sistemlerinde şöyle yapılabilir:
-arp –a komutu ile bilgisayarınızdaki ARP Table ı görebilirsiniz.
-Bu gördüğünüz ARP kayıtları dinamic kayıtlardır yani değiştirilebilirler. Bunlar yerine mesela Active Directory, File Server, CA Server yada LDAP serverlarınızın ARP kayıtlarınızı clientlarınıza statik olarak girersek attacker ARP tablonuzu zehirleyerek verilerimizi sniff edemeyecektir.
-arp –s <ipadresi> <mac adresi> şeklinde kayıtları girerek ARP tablomuzu static hale getirebiliriz.
2) Arp poisoning için kullanılabilecek diğer toollar nelerdir ?
Kullanılabilecek diğer toollar şöyle:
· Arp Tool 1.0.2 by Krzysztof Burghardt
· Etherial yada Wireshark
· Arpoison
· Dsniff
· Ettercap
· Parasite
· WinArpSpoofer
Emin Parmaksızoğlu
Arp poisoning diğer adı ile arp tablo zehirlenmesi ethernet protokol mimarisinin bir açığıdından kaynaklanan saldırı şeklidir. Arp poisoning i anlamak için öncelikle arp protokolünün nasıl çalıştığını bilmek gereklidir. ARP aslında fiziksel adreslere karşılık gelen IPV4 adresine belirlemeye yarayan bir protokoldür. ARP protokolünün mesajları içinde kulandığı bilgiler şunlardır:
· Hardware Type: Bu bilgi kullanılan donanım bilgisini barındırmaktadır. Ethernet için değer 1 dir.
· Protocol Type: Kullanılan protokolün bilgisini vermektedir 0800 Hexedecimal olması Internet protokolünü belirtir.
· Lenght of Hardware adress: Donanımın hardware adresinin yani MAC adresinin uzunluğunu belirmektedir. MAC adresinin uzunluğu 6 dır FF:FF:FF:FF:FF:FF
· Operation Code: Bu bilgi ile mesajın ARP request mesajımı yoksa ARP reply mesajım olduğunu anlayabiliriz.
Bu bilgilerin dışında ARP request paketlerinde Sender Hardware Adress olarak mesajı gönderen makinanın MAC adres bilgisi yer alır. Ayrıca Target’s Hardware Adress olarakda 00:00:00:00:00:00 adresi yer almaktadır.
Yukarıda bahsettiğimiz reply ve request mesajları nelerdir onlara bakacak olursak:
ARP protokolü dört temel mesaj kullanmaktadır.
· Bu mesajlardan biri ARP request diğeri ise ARP reply dır. ARP request mesajı broascast gönderilen bir mesajdır ve içeriği şöyledir “ 192.168.2.120 ip adresi kime ait “ . Bu mesajın tüm bilgisayarlara gönderilmesi gerekir çünkü mesajı göndereceğim hedefi bilmemekteyim yani mesajı göndereceğim makinanın MAC adresini bilmemekteyim. Bu yüzden mesaja destination adresi olarak broadcast MAC adresi olan FF:FF:FF:FF:FF:FF koyulur. Bütün bilgisayarlar bu mesajı alır ancak sadece 192.168.2.120 ip adresine sahip bilgisayar bu mesaja ARP reply cevap verir.
· ARP reply mesajı ile “192.168.2.120 ip adresinin sahibi benim” cevap verir. Repyl mesajında destination olarakda request mesajında bulunan source makinasının(yani request mesajını gönderen makinanın) adresi yazılır.
· Üçüncü mesaj tipi RARP yani A Reverse ARP Request. ARP request mesajına benzer bir içeriği vardır ancak mesajı gönderen bilgisayar “AB:0B:B4:3A:E1:E2 Mac adresi kime ait” der
· Dördüncü mesaj tipi ise A RARP Reply mesajıdır. Bu mesajda A Reverse ARP Request mesajını alan bilgisayar cevap olarak “ Benim mac adresim AB:0B:B4:3A:E1:E2 ve benim ip adresim 192.168.2.122” der
ARP poisoning saldırıları son zamanlarda trojen ataklarında daha çok client a ulaşmak için kullanılsada ARP protokol atakları genelde sistemde bottlenecklar( dar boğaz), yanlış gatewaylere yönlendirme ve bağlantıya müdahele, sniffing için kullanılmaktadır.
ARP poisoning attackları araya grime kanca atma attacklarıdır. ARP poisoning mesela windows clientlarında clientın kullandığı ARP Table cash ini zehirliyerek gerçekleştirilebilir. Burada zehirlemek ile kastedilen ARP Tablosundaki bilgilerin maniple edilmesidir. ARP poisoning attacklarının mantığı şudur:
· A bilgisayarı B bilgisayarı ile haberleşmek istiyor olsun.
· Saldırganın bilgisayarı C bilgisayarı olsun.
· Saldırgan A ve B bilgisayarlarının arasına girip bütün trafiği kendi üzerinden geçirerek sniffing yaparak dataları çalmak istiyecektir.
· Bunu da şöyle yapacaktır. A bilgisayarından gelen paketlere ben B bilgisayarıyım diyecek B bilgisayarından gelen paketlere ben A bilgisayarıyım diyecektir. Bu durumda A bilgisayarı C bilgisayarını B bilgisayarı sanarken B bilgisayarıda C bilgisayarını A bilgisayarı sanacaktır.
· Bu sayede A bilgisayarı B bilgisayarına göndereceği dataları C bilgisayarına B bilgisayarıda A bilgisayarına göndereceği dataları C bilgisayarına gönderecek ve böylece bütün datalar C bilgisayarının yani HACKERIN bilgisayarının üzerinden akacaktır. Hackerda dataları sniff ederek istediği bilgiye ulaşabilecektir.
ARP poisoning saldırılarını önlemek için yapılabilecek şeyler kısaca şöyle özetlenebilir:
· ARP saldırılarında sniff edilen datanın çalınmasını önlemenin en iyi yollarından biri gönderilen dataları şifrelemektir. Bunun için en çok kullanılan yöntem IPSEC dir.
· ARP saldırılarını önlemenin diğer bir yoluda sertifika ile haberleşmektir. Buda şöyle özetlenebilir mesela windows tabanlı bir LAN ımızın olduğunu düşünelim. Bir CA(Certification Authority) kurarız. Clientlara sertifikası olmayan bilgisayarla haberleşmemelerini deklere ederiz. Bu sayede araya girmek isteyen hacker bizim yetkili CA mizden sertifika almadığı için iki clientın arasına giremeyecektir.
· Ufak networklerde ARP zehirleme saldırılarını önlemenin diğer bir yoluda static ARP tabloları oluşturarak ARP poisoning i engellemektir. Bu işlem windows sistemlerinde şöyle yapılabilir:
-arp –a komutu ile bilgisayarınızdaki ARP Table ı görebilirsiniz.
-Bu gördüğünüz ARP kayıtları dinamic kayıtlardır yani değiştirilebilirler. Bunlar yerine mesela Active Directory, File Server, CA Server yada LDAP serverlarınızın ARP kayıtlarınızı clientlarınıza statik olarak girersek attacker ARP tablonuzu zehirleyerek verilerimizi sniff edemeyecektir.
-arp –s <ipadresi> <mac adresi> şeklinde kayıtları girerek ARP tablomuzu static hale getirebiliriz.
2) Arp poisoning için kullanılabilecek diğer toollar nelerdir ?
Kullanılabilecek diğer toollar şöyle:
· Arp Tool 1.0.2 by Krzysztof Burghardt
· Etherial yada Wireshark
· Arpoison
· Dsniff
· Ettercap
· Parasite
· WinArpSpoofer
Emin Parmaksızoğlu
sitenizi ilk defa gördüm bugün ve beğendim sitenizde aktif olacağım.Selam ve Dua İle