Ortadaki Adam Saldırısı Nedir ?
Bu saldırı ağ üzerinde gerçekleşir, saldırgan kullanıcıyı ağdan atıp kendi yarattığı yanıltıcı ağa bağlattırmayı veyahut direkt kullanıcının bulunduğu ağa dahil olup paketleri manipüle etmeyi amaçlar.
Kablosuz ağlarda paketler tamamıyla brodcoast şekilde yayınlandığı için paketler saldırgan tarafından rahatlıkla yakalanıp, manipüle edilebilir. Bu nedenle herkese açık kablosuz ağlar büyük bir tehlike arz ediyor.
Mitm saldırısına maruz kalanlar; banka hesap bilgileri ele geçirilebilir, sosyal medya hesapları ele geçirilebilir vs. Saldırgan verileri istediği şekilde değiştirdiği için herşey saldırganın yaratıcılığına kalmış, örnek olarak; siz bankada para yollarken gönderdiğiniz ibanı ve para tutarını değiştirebilir.
Bazen ortadaki adam saldırısı için, ortadaki maymun (monkey in the middle), ortadaki canavar (monster in the middle), ortadaki makine (machine in the middle) veya ortadaki kişi (person in the middle) isimleri de kullanılır.
Ortadaki Adam Saldırısı Ne Kadar Tehlikeli ?
Bu saldırı türü genellikle bireysel hedef alsa da bazen kurum veya büyük şirketleri hedef alabilmektedir. Saldırganlar ara sunucular oluşturarak, herhangi bir iletişimde kurbanı gerçek tarafla konuştuklarına inandırabilmektedirler.
Bu nedenle şirketler ve kurumlar için büyük endişe kaynağı olmuştur. Saldırganlar; mesajlaşma hizmetlerini, ortak bir erişim noktasını, dosya depolama sistemlerini veya uzaktan çalışma uygulamalarını şirket, kurum ağına giriş kapısı olarak kullanılabilmektedirler.
Genellikle casusluk, finansal kazanç ve eğlence için yapılan ortadaki adam saldırıları; şirketlere zarar vermek, kaos ortamı oluşturmak içinde kullanılabilir. Ayrıca bir MitM saldırısında virüslü bilgisayarlara yasal olmayan SSL sertifikaları yüklenebilir ve kurbanın cihazından ekran görüntüleri alınabilir.
Yerel Ağ Üzerinden Yapılabilecek Saldırı Teknikleri
1-ARP Poisoning:
Saldırgan, sahte ARP Request çerçevesi ile kendisini hedef gösterir. Bu sayede paketler hedefinden şaşarak saldırgana gider. Saldırgan MAC Adresini hedef bilgisayarın tablosuna 'Ağ Cihazı MAC Adresi' olarak eşleştirme yaptırır. Bu sayede trafik artık saldırganın elindedir.
2-DNS Spoofing:
Türkçe adı ile DNS önbellek zehirlenmesi olan bu teknikte DNS sunucusunun ön bellek veri tabanında bulunan verileri değiştirerek veyahut yeni veri ekleyerek ad sunucunun yanlış IP adresine dönmesine ve trafiği saldırganın bilgisayarıma yönlendirmeyi amaçlar.
3-Port Stealing:
Saldırgan, sahte ARP çerçevesi oluşturur ve hedefin MAC adresini kaynak adres olarak kullanır. Switch kandırılır. Böylece hedef bilgisayar için gönderilen tüm veriler saldırganın switch portuna gönderilir.
4-STP Mangling:
STP protokolünün çalışmasına engel olan ve devamlı topoloji değişim isteği gönderen bir tekniktir.
Yerel Ağdan Uzak Ağa Gateway Aracılığıyla Yapılabilecek Saldırılar
1-ARP Poisoning
2-DNS Spoofing
3-DHCP Spoofing:
Saldırgan kendisini DHCP sunucusu olarak göstererek kurban bilgisayarlara IP adresleri verir ve gateway olarak kendi IP adresini verir. Bu sayede trafik saldırgan üzerinden akar.
4-ICMP Redirection:
Yayınlanan ICMP Redirect mesajları saldırganlar tarafından trafiği kendi üzerinden yönlenditmek için kullanılan tekniktir.
5-Route Mangling:
Saldırgan, internetteki istemci için en iyi route olduğunu söyleyerek gatewayı sahte paketler yolu ile kandırır. Paketler gatewaye ulaşamadan direkt olarak istemciye iletilir.
Uzak Ağ Üzerinde Yapılabilecek Saldırılar
1-DNS Spoofing
2-Route Mangling
3-Traffic Tunneling:
Saldırgan bir tünel oluşturur ve iç ağa yerleşmeyi amaçlar.
4-Wi-Fi Dinleme ve Evil Twin:
Saldırganlar herzaman ağdaki zaafiyetten yararlanamaz bazen ise kendine sahte bir ağ yaratır ve kullanıcıyı deauth saldırıları ile etkin ağdan atıp kendi yarattığı sahte ağa yönlendirir.
Korunma ve Tespit
-Man in the middle saldırısının tespiti oldukça zordur bu nedenle savunma kısmına daha çok ağırlık vermeliyiz.
-Kablosuz ağınızın şifresini güçlü bir şifre yapın, gerekirse whitelist seçeneğini aktif edin (sadece sizin belirlediğiniz kişiler ağa erişim sağlayabiliyor)
-Halka açık kablosuz ağlarda kendinizi koruyamazsınız bu yüzden çok zorda kalmadıkça BAĞLANMAYIN !
-Saldırı girişimlerini tespit etmek için üçüncü taraf penetrasyon yazılımlarını ve HTTPS şifrelemesini kullanın. Mümkünse yalnızca HTTPS destekli siteleri ziyaret edin.
-Sisteminize mutlaka antivirüs yazılımı ve tarayıcı koruma yazılımı indirin.
-Eğer bir şirket yada kurum sahibiyseniz çalışanlarımızı bu konuda bilinçlendirin.
-Biraz klişe kaçabilir ama verilerinizin şifrelenmesi için VPN kullanın.
-Cihazlarınızdaki "otomatik olarak bağlan" seçeneğini mutlaka kapatın, saldırgan sizi kendi sahte ağına yönlendirebilir.
Son düzenleme: