- Katılım
- 14 Kas 2024
- Mesajlar
- 1,218
- Tepkime puanı
- 2
- Puanları
- 38
ARP Spoofing Nedir? sorusunun yanıtlarında MitM (Ortadaki Adam) gibi riskli siber saldırıları kolaylaştırmak için kanal işlevi gören bir siber tehdit türü gizli.
Tam olarak eş anlamlı olmasa da ARP sahtekarlığı veya ARP zehirlenmesi gibi isimlerle karşımıza çıkan ARP spoofing’le ilgili detaylara geçmeden önce ARP’ın ne anlama geldiğini netleştirmek önemli.
Bu eşleme prosedürü, IP ve MAC adreslerinin uzunlukları farklı olduğundan ve sistemlerin birbirini tanıyabilmesi için bir çeviriye ihtiyaç duyulduğundan önemlidir. En çok kullanılan IP; IPv4 (IP sürüm 4’tür) ve bir IP adresi 32 bit uzunluğundadır. Ancak MAC adresleri 48 bit uzunluğundadır. ARP, 32 bit adresi 48’e çevirir ve bunun tersi de geçerlidir.
Açık Sistemler Ara Bağlantısı ((Open Systems Interconnection) modeli olarak bilinen ve ilk olarak 1970’lerin sonlarında geliştirilen ağ modeli OSI modeli, belirli bir ağ sisteminde neler olup bittiğini göstermek için katmanlar kullanır. Bu, hangi katmanın ağda yüklü olan uygulamayı, cihazı veya yazılımı etkilediğini ve söz konusu katmanı yönetmekten hangi BT uzmanının sorumlu olduğunu belirlemede önemlidir.
MAC adresi, veri aktarımının gerçekleşebilmesi için fiziksel olarak bağlı iki cihaz arasında bir bağlantı kuran ve sonlandıran veri bağlantı katmanı (data link layer) olarak da bilinir. IP adresi aynı zamanda ağ katmanı (network layer) veya farklı yönlendiriciler aracılığıyla veri paketlerinin iletilmesinden sorumlu katman olarak da adlandırılır.
ARP, OSI modelinin 2. katmanında (veri bağlantı katmanı) çalışır. Veri bağlantı katmanı, fiziksel katman ile ağ katmanı (IPv4, IPv6, ICMP… ) arasındaki boşluğu kapatır. ARP, katman 2 adreslerinin katman 3 adresleriyle eşlenmesinden sorumludur. Katman 2 cihazları, bu eşlemeyi anahtarın belirli bir IP adresine bağlı trafiği doğru anahtar bağlantı noktasına yönlendirmek için kullandığı “ARP önbelleklerinde” depolar.
ARP önbelleği, her bir IP adresinin ve eşleşen MAC adresinin bir listesini tutar. ARP önbelleği dinamiktir, ancak ağdaki kullanıcılar IP adreslerini ve MAC adreslerini içeren statik bir ARP tablosu da yapılandırabilir. ARP önbellekleri, bir IPv4 Ethernet ağındaki tüm işletim sistemlerinde tutulur.
ARP’in kimlik doğrulama mekanizması olmadığından ARP saldırılarına dair tespit ve önleme stratejilerine odaklanmak önemlidir.
ARP’deki güvenlik açıklarından yararlanan siber suçluların, IP/MAC adres eşleştirmeleriyle kendilerini gizlediği bu saldırı türü, hassas veriler kurbanların bilgisi olmadan bilgisayarlar arasında iletilebildiğinden çok tehlikelidir.
Saldırganların MAC adresleri ile IP adresleri arasındaki ilişkiyi manipüle etmesiyle ortaya çıkan ARP spoofing saldırıları, yalnızca verilerinizin çalınmasına değil, oturum ele geçirmeye ve ağ çökmelerine neden olabilir. Hatta siber korsanların LAN’ınızdaki iletişimi kesip değiştirebildiği ortadaki adam saldırısının (MitM) ilk adımı olabilirler. Dağıtılmış hizmet reddi (DDoS) saldırılarına da yol açabilirler.
ARP spoofing, DNS spoofing’teki gibi “önbellek zehirlenmesi” tekniğini kullanır. DNS sunucularındaki zayıflıklardan yararlanan DNS önbellek zehirlenmesi saldırıları için DNS Spoofing Nedir? adlı yazımıza göz atabilirsiniz.
Bu saldırılarda genelde aşağıdaki yol izlenir:
Ek olarak ARP sahtekarlığını tespit etmek için işletim sisteminin yerleşik özellikleri kullanılabilir ancak geniş bir ağla çalışırken komut istemi kullanmak hantal ve zor olacaktır.
ARP spoofing saldırılarında siber suçluların MAC adresi bir IP adresine bağlandığında, saldırgan meşru MAC adresine yönlendirilen herhangi bir mesajı alabilir, değiştirebilir veya engelleyebilir.
İşletmeler için trajedi yaratabilecek başka saldırılara yol açabilme potansiyeli nedeniyle Arp zehirlenmesinin tespit ve önlemlerine dair araştırmaların yapılması ve ARP Spoofing Nedir? sorusu ile en güncel önlemlere odaklanılması önerilir.
Tam olarak eş anlamlı olmasa da ARP sahtekarlığı veya ARP zehirlenmesi gibi isimlerle karşımıza çıkan ARP spoofing’le ilgili detaylara geçmeden önce ARP’ın ne anlama geldiğini netleştirmek önemli.
Address Resolution Protocol Nedir?
Açılımı Adres Çözümleme Protokolü (Address Resolution Protocol) olan ARP, bir cihaz bir Yerel Alan Ağı veya Ethernet üzerinde başka bir cihazla iletişim kurmak istediğinde kullanılan bir protokoldür. ARP, İnternet Protokolü (IP) adreslerini bir Medya Erişim Kontrolü (Media Access Control – MAC) adresine çevirir.Bu eşleme prosedürü, IP ve MAC adreslerinin uzunlukları farklı olduğundan ve sistemlerin birbirini tanıyabilmesi için bir çeviriye ihtiyaç duyulduğundan önemlidir. En çok kullanılan IP; IPv4 (IP sürüm 4’tür) ve bir IP adresi 32 bit uzunluğundadır. Ancak MAC adresleri 48 bit uzunluğundadır. ARP, 32 bit adresi 48’e çevirir ve bunun tersi de geçerlidir.
Açık Sistemler Ara Bağlantısı ((Open Systems Interconnection) modeli olarak bilinen ve ilk olarak 1970’lerin sonlarında geliştirilen ağ modeli OSI modeli, belirli bir ağ sisteminde neler olup bittiğini göstermek için katmanlar kullanır. Bu, hangi katmanın ağda yüklü olan uygulamayı, cihazı veya yazılımı etkilediğini ve söz konusu katmanı yönetmekten hangi BT uzmanının sorumlu olduğunu belirlemede önemlidir.
MAC adresi, veri aktarımının gerçekleşebilmesi için fiziksel olarak bağlı iki cihaz arasında bir bağlantı kuran ve sonlandıran veri bağlantı katmanı (data link layer) olarak da bilinir. IP adresi aynı zamanda ağ katmanı (network layer) veya farklı yönlendiriciler aracılığıyla veri paketlerinin iletilmesinden sorumlu katman olarak da adlandırılır.
ARP, OSI modelinin 2. katmanında (veri bağlantı katmanı) çalışır. Veri bağlantı katmanı, fiziksel katman ile ağ katmanı (IPv4, IPv6, ICMP… ) arasındaki boşluğu kapatır. ARP, katman 2 adreslerinin katman 3 adresleriyle eşlenmesinden sorumludur. Katman 2 cihazları, bu eşlemeyi anahtarın belirli bir IP adresine bağlı trafiği doğru anahtar bağlantı noktasına yönlendirmek için kullandığı “ARP önbelleklerinde” depolar.
ARP önbelleği, her bir IP adresinin ve eşleşen MAC adresinin bir listesini tutar. ARP önbelleği dinamiktir, ancak ağdaki kullanıcılar IP adreslerini ve MAC adreslerini içeren statik bir ARP tablosu da yapılandırabilir. ARP önbellekleri, bir IPv4 Ethernet ağındaki tüm işletim sistemlerinde tutulur.
ARP’in kimlik doğrulama mekanizması olmadığından ARP saldırılarına dair tespit ve önleme stratejilerine odaklanmak önemlidir.
ARP Zehirlenmesi Nedir?
ARP zehirlenmesi ya da ARP spoofing siber suçluların, MAC adresini ağdaki meşru bir cihazın veya sunucunun IP adresiyle ilişkilendirmek amacıyla, hedef LAN’a sahte ARP mesajları gönderdiği bir saldırı türüdür. Bir saldırganın bir ağdaki veri çerçevelerini ele geçirmesine, trafiği yönlendirmesine veya tüm trafiği durdurmasına izin verebilir.ARP’deki güvenlik açıklarından yararlanan siber suçluların, IP/MAC adres eşleştirmeleriyle kendilerini gizlediği bu saldırı türü, hassas veriler kurbanların bilgisi olmadan bilgisayarlar arasında iletilebildiğinden çok tehlikelidir.
Saldırganların MAC adresleri ile IP adresleri arasındaki ilişkiyi manipüle etmesiyle ortaya çıkan ARP spoofing saldırıları, yalnızca verilerinizin çalınmasına değil, oturum ele geçirmeye ve ağ çökmelerine neden olabilir. Hatta siber korsanların LAN’ınızdaki iletişimi kesip değiştirebildiği ortadaki adam saldırısının (MitM) ilk adımı olabilirler. Dağıtılmış hizmet reddi (DDoS) saldırılarına da yol açabilirler.
ARP spoofing, DNS spoofing’teki gibi “önbellek zehirlenmesi” tekniğini kullanır. DNS sunucularındaki zayıflıklardan yararlanan DNS önbellek zehirlenmesi saldırıları için DNS Spoofing Nedir? adlı yazımıza göz atabilirsiniz.
ARP Spoofing Saldırısı Nasıl Yapılır?
ARP spoofing saldırısında siber suçlular, yerel alan ağını sahte ARP paketleriyle doldurur. Bu manipülasyonun ardından, tüm trafik, hedeflenen varış yerine ulaşmadan önce saldırganın bilgisayarına yönlendirilir. Üstüne üstlük, saldırgan verileri gerçek alıcıya iletmeden önce bozabilir veya tüm ağ iletişimini durdurabilir.Bu saldırılarda genelde aşağıdaki yol izlenir:
- Yerel ağa girdikten sonra, davetsiz misafir, aygıtların IP adreslerini arar.
- Cihazın IP adresi, kurbanın IP alt ağına uyacak şekilde ayarlanır.
- Saldırganın MAC adresi, ARP paketlerinde kurbanın IP adresiyle birleştirilir ve yönlendirici ve PC’nin birbirleri yerine saldırgana bağlanmasına neden olur.
- Sonuç olarak, ARP önbelleği güncellenir, PC ve yönlendirici davetsiz misafir ile iletişim kurmaya devam eder. Diğer ana bilgisayarlar artık saldırganın sahte ARP önbellek girdilerini gördüğünden, verileri saldırgana aktarır.
ARP Spoofing Nasıl Tespit Edilebilir?
ARP spoofing saldırılarını tespit etmek için kullanılan farklı yöntemlerin başında üçüncü taraf cihaz uygulamaları yer alır. Tüm ağ trafiğinizi görüntülemenize, sorun giderme ve analize olanak tanıyan Wireshark gibi ağ araçları bu amaçla kullanılmaktadır. Özellikle ARP spoofing saldırıları açısından ağı aktif olarak taramak için tasarlanmış XArp gibi programlar da önerilmektedir.Ek olarak ARP sahtekarlığını tespit etmek için işletim sisteminin yerleşik özellikleri kullanılabilir ancak geniş bir ağla çalışırken komut istemi kullanmak hantal ve zor olacaktır.
ARP Zehirlenmesi Nasıl Önlenir?
DDoS saldırıları için fırlatma rampası işlevi görebilen ARP zehirlenmesi olasılığını azaltmak için başvurulan yöntemleri şu şekilde sıralayabiliriz:- Veri Kodlama ve Kimlik Doğrulama: Herhangi bir iletide veri gönderenin kimliğini doğrulamak, kötü niyetli bir saldırıdan kaçınmaya yardımcı olur.
- Şifreleme: Verilerin gizliliğini ve bütünlüğünü sağlamak için tüm ağ trafiği uçtan uca şifrelenmelidir. TLS/SSL ve SSH gibi kriptografik ağ protokollerini kullanarak aktarım halindeki verilerin şifrelenmesi önerilir.
- Paket filtreleme: Paket filtreleme, paketlerin çelişkili kaynak detayları içerip içermediğini belirleyerek ve kusurlu paketlerin diğer kullanıcılara ulaşmasını engelleyerek çalışır. Paket filtreleri, ağ üzerinden gönderilen tüm paketleri analiz etmeleri açısından denetçilere benzer ve genellikle güvenlik duvarı uygulamalarıyla birlikte kullanılır.
- ARP Statiği: ARP, her IP adresi için statik girişlerin geliştirilmesine izin verir. Statik bir ARP girişi kullanarak herhangi birinin o adres için ARP yanıtlarını dinlemesini engelleyebilirsiniz. Geleneksel olmasına rağmen iyi sonuç veren bu yöntemde değişiklik olasılığının ortadan kaldırılması için alt ağ makineleri için önceden ayarlanmış bir ARP, manuel olarak yapılandırılır. Ancak bu yöntem, büyük ağlar için çok sayıda statik ARP olacağı için ve herhangi bir küçük değişiklik ağ yöneticisi için çok fazla güçlük çıkaracağı için tavsiye edilmez.
- VPN: VPN’ler ARP spoofing saldırılarından korumanın en güvenli yollarından biridir çünkü VPN’ler, veri aktarımı için yalnızca şifreli bir tünel kullanmakla kalmaz, aynı zamanda içinden geçen verileri de şifreler.
- Anti-ARP Yazılımı: Davetsiz misafirleri tanımlamak ve durdurmak için Anti-ARP yazılımları etkili olabilmektedir. Bu tip yazılımlar gönderilene kadar verileri kontrol edip doğrulayarak ve yanı sıra sahte çıkışlardan gelen verileri engelleyerek çalışırlar.
Özet
ARP, IP adresini MAC adresiyle ilişkilendirmek için kullanılan bir protokoldür. Ağda IP çakışmasını önlemek ve bağlantıları herhangi bir şekilde engellemek ya da durdurmak için kullanılmaktadır. Kimlik doğrulama eksikliği nedeniyle ARP, siber saldırılar açısından güvenlik açığı yaratmakta, saldırganların hassas verilere yetkisiz erişim sağlamasına yol açmaktadır.ARP spoofing saldırılarında siber suçluların MAC adresi bir IP adresine bağlandığında, saldırgan meşru MAC adresine yönlendirilen herhangi bir mesajı alabilir, değiştirebilir veya engelleyebilir.
İşletmeler için trajedi yaratabilecek başka saldırılara yol açabilme potansiyeli nedeniyle Arp zehirlenmesinin tespit ve önlemlerine dair araştırmaların yapılması ve ARP Spoofing Nedir? sorusu ile en güncel önlemlere odaklanılması önerilir.
