17-09-2017, Saat: 17:53
Bugün sizlere Man-In-The-Middle saldırısının nasıl gerçekleştiğini anlatacağım.
MITM yani Man-In-The-Middle saldırısı ağlarda switch kullanımı olduğu zaman yapılabilcek bir saldırı çeşididir.
Bu saldırı gerçekleştiği zaman saldırgan kendisini diğer kullanıcılara switch olarak tanıtır, böylece switche gidecek paketler size gelir.
Fark edilmemek ve internet akışınında tamamlanması için bize gelen paketleri switche yollayarak iletişimi tamamlarız.
Bu saldırıyı yaptığımız zaman ağdaki diğer kullanıcıların gönderdikleri tüm paketleri okuyabilir hale geliriz.
Olayı daha anlaşılabilir kılmak için size hazırladığım resimler.
İsterseniz analize başlayalım.
Buradaki işlemlerde ARP zehirleme saldırısı kullanılmıştır.
Ve belli başlı çeşitleri olup, farklı bir şekilde işlem gösterilcektir.(DNS tünelleme, ICMP yönlendirme, vb.)
ARP saldırısını anlayabilmek için normal bir ARP paketini inceleyeceğiz.
İlk yollanan pakette cihazımız switchin kim olduğunu sormakta.
İkinci pakette ise switchden gelen bilgiye göre kendisini tanımlayacak bir MAC adresi yolluyor.
Böylece cihazımız kendi ARP listesine bu MAC adresini ekleyerek switchi tanımlamış oluyor.
Eğer kullanıcımız ağdaki diğer kişileride sorgulamak isterse bir ARP taraması gerçekleştirecektir.
Burada kullanıcımız tüm ip aralığına bir ARP sorgusu iletmekte, ve geri dönüş aldığı tüm cihazları kendi ARP listesine ekleyecektir.
Elindeki verileri alan saldırganımız işlemleri başlatmak için ARP zehirlemeyi başlattığında ise buna benzer bir şekilde paketler tüm ağa yollanıcaktır.
Saldırgan hazırladığı ARP paketlerini tüm ağa yollayarak switche bağlı tüm kullanıcılara iletilmesini istemekte.
Yollanan pakette ise switchin değiştiğini ve yeni switchin kendi MAC adresi olduğunu belirtmekte.
Bu paketi kabul eden kullanıcılar yeni switchi kabul ederek MITM saldırısı gerçekleşmiş olur.
Ağa yeni katılan kullanıcılar ARP sorgusunu yolladığında siz hala paket yollamaya devam ediyorsanız sizi switch olarak kabul edecektir.
Belli antivirus programları alınan switch değiştirme paketlerini analiz ederek bu ARP paketini kabul etmeyebilir.
Başka bir yazımda görüşmek dileğiyle, esen kalın.
MITM yani Man-In-The-Middle saldırısı ağlarda switch kullanımı olduğu zaman yapılabilcek bir saldırı çeşididir.
Bu saldırı gerçekleştiği zaman saldırgan kendisini diğer kullanıcılara switch olarak tanıtır, böylece switche gidecek paketler size gelir.
Fark edilmemek ve internet akışınında tamamlanması için bize gelen paketleri switche yollayarak iletişimi tamamlarız.
Bu saldırıyı yaptığımız zaman ağdaki diğer kullanıcıların gönderdikleri tüm paketleri okuyabilir hale geliriz.
Olayı daha anlaşılabilir kılmak için size hazırladığım resimler.
Normal Bir Bağlantıda Gerçekleşen İşlem
MITM saldırısı yapıldığında gerçekleşen işlem.
İsterseniz analize başlayalım.
Buradaki işlemlerde ARP zehirleme saldırısı kullanılmıştır.
Ve belli başlı çeşitleri olup, farklı bir şekilde işlem gösterilcektir.(DNS tünelleme, ICMP yönlendirme, vb.)
ARP saldırısını anlayabilmek için normal bir ARP paketini inceleyeceğiz.
İlk yollanan pakette cihazımız switchin kim olduğunu sormakta.
İkinci pakette ise switchden gelen bilgiye göre kendisini tanımlayacak bir MAC adresi yolluyor.
Böylece cihazımız kendi ARP listesine bu MAC adresini ekleyerek switchi tanımlamış oluyor.
Eğer kullanıcımız ağdaki diğer kişileride sorgulamak isterse bir ARP taraması gerçekleştirecektir.
Burada kullanıcımız tüm ip aralığına bir ARP sorgusu iletmekte, ve geri dönüş aldığı tüm cihazları kendi ARP listesine ekleyecektir.
Elindeki verileri alan saldırganımız işlemleri başlatmak için ARP zehirlemeyi başlattığında ise buna benzer bir şekilde paketler tüm ağa yollanıcaktır.
Saldırgan hazırladığı ARP paketlerini tüm ağa yollayarak switche bağlı tüm kullanıcılara iletilmesini istemekte.
Yollanan pakette ise switchin değiştiğini ve yeni switchin kendi MAC adresi olduğunu belirtmekte.
Bu paketi kabul eden kullanıcılar yeni switchi kabul ederek MITM saldırısı gerçekleşmiş olur.
Ağa yeni katılan kullanıcılar ARP sorgusunu yolladığında siz hala paket yollamaya devam ediyorsanız sizi switch olarak kabul edecektir.
Belli antivirus programları alınan switch değiştirme paketlerini analiz ederek bu ARP paketini kabul etmeyebilir.
Başka bir yazımda görüşmek dileğiyle, esen kalın.
(Son Düzenleme: 19-09-2017, Saat: 17:57, Düzenleyen: Ragnarök.)
