ARP (Address Resolution Protocol) Nedir?
ARP ( Adres Çözümleme Protokolü), bilgisayarlar, IP adresleri ve MAC adresleri arasında eşleme sağlayan bir network haberleşme prokolüdür. Bilgisayar, belirli bir IP adresi için MAC adresini bilmiyorsa, ağdaki diğer makinelerle eşleşen MAC adresini sorarak bir ARP istek paketi gönderir.
ARP Zehirlenmesi (Spoofing) Nedir?
ARP Zehirlenmesi (ARP sahtekarlığı olarak da bilinir), ağ trafiğini kesintiye uğratmak, yönlendirmek veya casusluk yapmak için yaygın olarak kullanılan Adres Çözümleme Protokolü’ndeki (ARP) zayıflıkları kötüye kullanan bir tür siber saldırı türüdür.
ARP Zehirlenmesi, ağdaki diğer cihazların MAC-IP eşleşmelerini bozmak için ARP’deki zayıflıkların kötüye kullanılmasından oluşur. ARP, 1970 yılında ilk defa tasarlandığında güvenlik, önemli bir endişe teşkil etmiyordu. Bu nedenle, protokolün tasarımcıları ARP mesajlarını doğrulamak için, kimlik doğrulama mekanizmalarını dahil etmediler. Ağdaki herhangi bir cihaz, orijinal mesajın kendisine yönelik olup olmadığına bakılmaksızın bir ARP isteğine cevap verebilir. Örneğin, X Bilgisayarı, Y Bilgisayarının MAC adresini “sorarsa”, Z Bilgisayarındaki bir saldırgan bu sorguya cevap verebilir ve X Bilgisayarı bu yanıtı gerçek olarak kabul eder. Bu tespit, çeşitli saldırıları mümkün kılmıştır. Bir tehdit aktörü, kolayca erişilebilen araçlardan (Arpspoof, Ettercap vb.) yararlanarak, yerel bir ağdaki diğer bilgisayarların ARP önbelleğini “zehirleyebilir” ve ARP önbelleğini yanlış girişlerle doldurabilir.
ARP sahtekarlığını veya ARP zehirlenmesini başarıyla uygulayan bir siber saldırgan, ağınızdaki her belgenin kontrolünü ele geçirebilir. ARP zehirlenmesi ile siber casusluğa maruz kalabilirsiniz veya daha kötü bir senaryo olan fidye saldırısı vakası ile karşı karşıya kalabilirsiniz. Saldırgan, sizden istediği şeyi alana kadar ağ trafiğinizi durma noktasına getirebilir.
ARP Zehirlenmesi Saldırısı (Spoofing) Nasıl Yapılır?
1. Adım : ARP zehirleme saldırısında ilk adım hedef seçmektir. Hedef ağdaki belirli bir bilgisayar veya router gibi bir ağ aygıtı olabilir. Router’lar, çekici hedeflerdir çünkü bir router’a karşı başarılı bir ARP Zehirlenme Saldırısı, tüm subnet trafiğini bozabilir.
2. Adım : Saldırganın, bir ARP sızdırma aracı kullanması gerekir. Bu aracın IP adresini, hedefin IP subnet ile eşleşecek şekilde ayarlar. Popüler ARP spoofing yazılımlarına örnek olarak Arpspoof, Cain & Abel, Arpoison ve Ettercap verilebilir.
3. Adım : ARP spoofing aracını seçip çalıştıran saldırgan, ARP önbelleği bozulduğunda, genellikle trafiği yanlış yönlendirecek türden eylem gerçekleştirir. Aynı zamanda trafiği inceleyebilir, değiştirebilir veya “kara deliğe” neden olabilir. Yaşanacak sorunlar, saldırganın amaçlarına bağlıdır.
ARP Zehirlenme Saldırılarının Türleri Nelerdir?
Ortadaki Adam Saldırısı (MiTM)
MiTM (Man İn The Middle ) saldırıları , genellikle ARP zehirlenmesinin en yaygın ve potansiyel olarak en tehlikeli hedefidir. Saldırgan, genellikle bir alt ağ için, varsayılan ağ geçidi olan belirli bir IP adresine sahte ARP yanıtları gönderir. Bu, kurban makinelerin ARP önbelleklerini yerel router’ın MAC adresi yerine saldırganın makinesinin MAC adresiyle doldurmasına neden olur. Kurban makineleri, daha sonra ağ trafiğini saldırgana iletir. Ettercap gibi araçlar, saldırganın trafiği amaçlanan hedefine göndermeden önce bilgileri görüntüleyerek veya değiştirerek bir proxy görevi görmesine izin verir. Kurban için her şey normal görünebilir.
ARP spoofing ile DNS spoofing’in birleştirilmesi , bir MiTM saldırısının etkinliğini önemli ölçüde arttırabilir. Bu durumda, kurban kullanıcı google.com gibi meşru bir siteye girebilir ve kendisine doğru adres yerine saldırganın makinesinin IP adresi verilebilir.
Hizmet Reddi (DDoS) Saldırısı
DDoS (Denial of Service) saldırısı, bir veya daha fazla kullanıcının ağ kaynakları hizmetlerine erişimini engellemeyi amaçlayan bir saldırı türüdür. ARP saldırısı durumunda, bir saldırgan yüzlerce hatta binlerce IP adresini tek bir MAC adresine yönlendiren ARP mesajları gönderebilir ve hedef makineyi isteklere cevap veremeyecek duruma getirebilir. Bazen ARP taşması olarak da bilinen bu saldırı türü, network switchlerine yönelik saldırılar için de kullanılabilir ve tüm ağın performansını olumsuz etkiler.
Session Hijacking Attack (Oturum Çalma Saldırısı)
Oturum Ele Geçirme saldırıları, doğası gereği MiTM’a benzer ama saldırganlar ağ trafiğini bozmak yerine kurban makineden hedeflenen varış noktasına doğrudan iletmemesini sağlar. Saldırganların asıl amacı kurbandan gerçek bir TCP sıra numarası veya web tanımlama bilgisi almak ve kurbanın kimliğini tahmin etmektir. Örnek verecek olursak, hedef kullanıcının giriş yaptığı sosyal medya hesaplarına erişmek için kullanılabilir.