- 14 Tem 2013
- 1,402
- 0
Günümüzde bilgi alışverişi internet denilen milyonlarca ağın birbirine bağlanmasıyla meydana gelen yapı sayesinde hatsafhaya ulaşmıştır.Artık neredeyse her evde internet bağlantısı mevcuttur.Milyonlarca insan sosyal medya profillerine giriş yapıp,internette gezmektedirler.Ancak dışardan gelebilcek bir saldırı sonucunda ne gibi durumlarla karşılaşabileceklerinin farkında değillerdir.Bugün MITM(Man in The Middle) yani ortadaki adam saldırılarından-network sniffing ten bahsedeceğim.Nasıl yapılabilceğine değinip olayın ciddiyetini kavramanız için neler olabileceğini anlatacağım ve son olarakta nasıl korunabiliriz,network güvenliğimizi nasıl sağlayabiliriz noktalarına değineceğim.
MITM(Man in The Middle)
Saldırgan kişinin sunucu-istemci arasına girmesi;gidip gelen paketleri sniff ederek trafiği ele geçirmesi ve bunun sonucunda trafikteki bilgileri ele geçirmesidir.
X'den Çıkan Paket Y'ye giderken;
X kendi ağına(networkune) Y Bilgisayarının Mac adresini sorar,biliniyorsa cevap verilir bilinmiyorsa cevap verilmez.Bu işlem ARP Request paketleriyle gerçekleşir.
X'den çıkan paket Y Bilgisayarına ulaştığında ARP Reply paketiyle cevap verir.Y'nin mac adresi X Bilgisayarında kayıt altına alınır.Bir sonraki paket yani veri aktarımında bu mac adresi kullanılır.
Bu noktada Saldırgan bir Z Bilgisayarı ARP Request paketleriyle Mac adres kontrolü yapılmadan ARP Reply paketi gönderirse X İle Y Bilgisayarı arasına girmiş olur.MITM için kullanılan en yaygın saldırı biçimi ARP Spoofing saldırısıdır.Z bilgisayarı arp spoofing(mac adres taklidi) ile araya girmiş olur.
Bundan sonra x ile y arasında gidip gelen paketleri sniffleyerek kişisel verilere ulaşabilir.
Şimdi bu saldırıyı windows altında nasıl yapabiliriz ona değineyim.
Cain & Abel adlı program yardımıyla bu saldırıyı gerçekleştirebiliriz.
Cain & Abel Network üzerindeki hedef bilgisayarın tüm ağ trafiğini dinlemeyi,şifrelerini çalmayı,bilgisayar hakkında bilgi toplamayı sağlar.
Programı indirip kurduğunuzu varsayarak görsel olarak anlatıcam.(Anlatılanlar tamamen eğitim amaçlıdır.)
İlk önce yukardaki gibi configure sekmesinden şuanki IP adresine sahip,uygun olan ağ kartını seçiyoruz.
Daha sonra yukardaki gibi sniffer sekmesine geliyoruz.Kutucuk içine alınan küçük buton yardımıyla sniffer başlatılabilir yada durdurulabilir.Snifferi başlatıyoruz.
Daha sonra resimdeki kutucuk içine alınan + butonuna basıyoruz.Tamam diyoruz.Burda ağdaki bilgisayarları buluyor.
Daha sonra sağ alttaki kutucuk içindeki APR sekmesine geçiyoruz.Burdan yukardaki + işaretine basıyoruz.(yandakiler seçili olmasın yoksa +'ye tıklanmaz)
+ İşaretine bastığınızda aşağıdaki gibi bir ekran gelecektir.Birinci kısımdan hedef IP 2. kısımdan gateway seçilir.
Ve en son resimdeki gibi yukardaki apr butonuna basılarak işlem başlatılır.
Bundan sonra apr listesinde hedef bilgisayarın yanında poisoning yazıcaktır.Sağ taraftan giriş bilgileri,yakalanan şifreleri vs görebilirsiniz.Hash'leri kırabilirsiniz.
Neler Yapılabilir?
Herhangi bir saldırgan yukardaki gibi ağımıza sızdığında bize bu saldırıyı yaptığı takdirde kişisel verilerimizi ele geçirebiliriz.
Session(oturum) kodlarımızı ele geçirebilir bu sayede direk olarak bu kod üzerinden hedef sitede bizim girişimizi yapabilir.
Bağlandığımız site SSL(Secure Socket Layer-Güvenli Veri Aktarımı) kullanıyorsa adres çubuğunda sitenin adresnin önünde https yazar.Bu durumlarda daha güvende olduğumuz söylenebilir ancak saldırgan kişi sahte SSL sertifikaları oluşturarak bağlantıyı taklit edebilir.
Taklit durumlarında bağlanacağınız site kontrol edilcek ve tarayıcınız sizi uyaracaktır.(Bağlantıya güveniyor musunuz diye).Eğer bağlantıyı onaylarsanız bütün bilgilerinizi elegeçirme fırsatını yakalayacaktır.Böyle durumlarda bağlantıları onaylamamalısınız.
Saldırının Tespiti
Windows üzerinde tracert <siteadresi> komutuyla paket aktarımının takip ettiği yolu izleyebiliriz.
yukarıda görüldüğü üzere paket 192.168.42.129 üzerinden geçiyor bu yolu izliyor.
Cmd'yi açıp ipconfig yazıp Varsayılan Ağ Geçidi numaramıza bakalım.2 veriyi karşılaştıralım.
2 veri aynıysa sıkıntı yoktur.
Eğer burda x.x.x.x adında yolu takip etmiş olsaydı;
x.x.x.x numaralı ağımızdaki bilgisayar MITM saldırısı ile araya girmiş olucaktı.
Kısacası bizden çıkan paketin gideceği yer ağın çıkış kapısı olmalıdır.Eğer böyle değilse networkunuzu gözden geçirmelisiniz.
Network Sızmalarını Engellemek İçin;
Mac Filtreleme Kullanabilirsiniz.
Şifrelerinizde özel karakterler kullanın.
MITM Saldırılarını engellemek için Etherwall adlı yazılımı kullanabilirsiniz.Araştırmanızı öneririm.
Şimdilik yazacaklarım bu kadar bir sonraki makalemde görüşmek üzere.
xMaterdom Tarafından TurkHackTeam İçin Güvenlik Amacıyla Yazılmıştır.
MITM(Man in The Middle)
Saldırgan kişinin sunucu-istemci arasına girmesi;gidip gelen paketleri sniff ederek trafiği ele geçirmesi ve bunun sonucunda trafikteki bilgileri ele geçirmesidir.
X'den Çıkan Paket Y'ye giderken;
X kendi ağına(networkune) Y Bilgisayarının Mac adresini sorar,biliniyorsa cevap verilir bilinmiyorsa cevap verilmez.Bu işlem ARP Request paketleriyle gerçekleşir.
X'den çıkan paket Y Bilgisayarına ulaştığında ARP Reply paketiyle cevap verir.Y'nin mac adresi X Bilgisayarında kayıt altına alınır.Bir sonraki paket yani veri aktarımında bu mac adresi kullanılır.
Bu noktada Saldırgan bir Z Bilgisayarı ARP Request paketleriyle Mac adres kontrolü yapılmadan ARP Reply paketi gönderirse X İle Y Bilgisayarı arasına girmiş olur.MITM için kullanılan en yaygın saldırı biçimi ARP Spoofing saldırısıdır.Z bilgisayarı arp spoofing(mac adres taklidi) ile araya girmiş olur.
Bundan sonra x ile y arasında gidip gelen paketleri sniffleyerek kişisel verilere ulaşabilir.
Şimdi bu saldırıyı windows altında nasıl yapabiliriz ona değineyim.
Cain & Abel adlı program yardımıyla bu saldırıyı gerçekleştirebiliriz.
Cain & Abel Network üzerindeki hedef bilgisayarın tüm ağ trafiğini dinlemeyi,şifrelerini çalmayı,bilgisayar hakkında bilgi toplamayı sağlar.
Programı indirip kurduğunuzu varsayarak görsel olarak anlatıcam.(Anlatılanlar tamamen eğitim amaçlıdır.)
İlk önce yukardaki gibi configure sekmesinden şuanki IP adresine sahip,uygun olan ağ kartını seçiyoruz.
Daha sonra yukardaki gibi sniffer sekmesine geliyoruz.Kutucuk içine alınan küçük buton yardımıyla sniffer başlatılabilir yada durdurulabilir.Snifferi başlatıyoruz.
Daha sonra resimdeki kutucuk içine alınan + butonuna basıyoruz.Tamam diyoruz.Burda ağdaki bilgisayarları buluyor.
Daha sonra sağ alttaki kutucuk içindeki APR sekmesine geçiyoruz.Burdan yukardaki + işaretine basıyoruz.(yandakiler seçili olmasın yoksa +'ye tıklanmaz)
+ İşaretine bastığınızda aşağıdaki gibi bir ekran gelecektir.Birinci kısımdan hedef IP 2. kısımdan gateway seçilir.
Ve en son resimdeki gibi yukardaki apr butonuna basılarak işlem başlatılır.
Bundan sonra apr listesinde hedef bilgisayarın yanında poisoning yazıcaktır.Sağ taraftan giriş bilgileri,yakalanan şifreleri vs görebilirsiniz.Hash'leri kırabilirsiniz.
Neler Yapılabilir?
Herhangi bir saldırgan yukardaki gibi ağımıza sızdığında bize bu saldırıyı yaptığı takdirde kişisel verilerimizi ele geçirebiliriz.
Session(oturum) kodlarımızı ele geçirebilir bu sayede direk olarak bu kod üzerinden hedef sitede bizim girişimizi yapabilir.
Bağlandığımız site SSL(Secure Socket Layer-Güvenli Veri Aktarımı) kullanıyorsa adres çubuğunda sitenin adresnin önünde https yazar.Bu durumlarda daha güvende olduğumuz söylenebilir ancak saldırgan kişi sahte SSL sertifikaları oluşturarak bağlantıyı taklit edebilir.
Taklit durumlarında bağlanacağınız site kontrol edilcek ve tarayıcınız sizi uyaracaktır.(Bağlantıya güveniyor musunuz diye).Eğer bağlantıyı onaylarsanız bütün bilgilerinizi elegeçirme fırsatını yakalayacaktır.Böyle durumlarda bağlantıları onaylamamalısınız.
Saldırının Tespiti
Windows üzerinde tracert <siteadresi> komutuyla paket aktarımının takip ettiği yolu izleyebiliriz.
yukarıda görüldüğü üzere paket 192.168.42.129 üzerinden geçiyor bu yolu izliyor.
Cmd'yi açıp ipconfig yazıp Varsayılan Ağ Geçidi numaramıza bakalım.2 veriyi karşılaştıralım.
2 veri aynıysa sıkıntı yoktur.
Eğer burda x.x.x.x adında yolu takip etmiş olsaydı;
x.x.x.x numaralı ağımızdaki bilgisayar MITM saldırısı ile araya girmiş olucaktı.
Kısacası bizden çıkan paketin gideceği yer ağın çıkış kapısı olmalıdır.Eğer böyle değilse networkunuzu gözden geçirmelisiniz.
Network Sızmalarını Engellemek İçin;
Mac Filtreleme Kullanabilirsiniz.
Şifrelerinizde özel karakterler kullanın.
MITM Saldırılarını engellemek için Etherwall adlı yazılımı kullanabilirsiniz.Araştırmanızı öneririm.
Şimdilik yazacaklarım bu kadar bir sonraki makalemde görüşmek üzere.
xMaterdom Tarafından TurkHackTeam İçin Güvenlik Amacıyla Yazılmıştır.
Moderatör tarafında düzenlendi: