Man In The Middle Saldırısı ve ARP Zehirlenmesi



ARP SPOOF Nedir? Nasıl Kullanılır? 

İlk başta ortadaki adam saldırısını gerçekleştirme işleminin arka planda döngü mantığını anlamak adına manuel olarak Man In The Middle Attack ' a giden yol olan ARP SPOOF'u gerçekleştireceğim. ARP zehirlenmesi tekniği kullanmak frameworkün backendini anlamak adına önemli.

Hadi gelin birazcık arp spoof çalışma mantığına bakalım : 




Arp zehirlenmesi saldırganın LAN üzerinden sahte ARP istekleri göndermesidir. Saldırganın amacı ağ geçidi gibi bir uç sistemin IP adresiyle kendi MAC adresini eşleştirerek kendi makinası üzerinden data trafiğini yönlendirmesidir.Çoğu zaman cihazlar İnternet'e bağlanmalarını sağlayan yönlendirici(router) veya ağ geçidi(gateway) ile iletişim kurmak için ARP'yi kullanır.ARP istek paketinin içinde, MAC adresini öğrenmek istediği cihazın IP adresi bulunur. ARP İsteğini ağdaki tüm cihazlar  alır , IP’nin kendisine ait olmadığını anlayan cihazlar ARP istek paketlerini siler . IP adresinin kendisine ait olduğunu anlayan cihaz istek paketi ile kaynak cihaza gönderir. ARP zehirlenmesi olarak da bilinen bir ARP sahtekarlığı, saldırganların ağ aygıtları arasındaki iletişimi engellemesine olanak tanıyan Ortadaki Adam (MITM) saldırısıdıdır.

Saldırgan kişinin temel olayı hedef cihaza :  "benim MAC adresim modem MAC adresiyle aynı"  modeme de "ben cihazım" demesi mantığına dayanır. Aslında burada saldırgan ikisi de değil sadece ortadaki cihaz. Saldırgan kişinin aslında ayrı bir MAC adresi var. Saldırgan iki cihazı da kandıracak kendini ortaya koyup gelen giden trafiği dinleyip istediği her bilgiye ulaşabilecek. Bu yüzden aynı ağdaki cihazları hacklemek kolaydır bunun en büyük sebebi de ortadaki adam saldırısıdır.Bu sayede kurbanın tüm trafiğini izleyebilme ve verilere erişebilme imkanına sahip olur.

Bu sistemde açık şu :  bizim arp isteği olmadan arp cevabı gönderme hakkımız var. Yani durduk yere hacker makinası modeme ben X Ip'yim benim MAC adresimde Y diyebiliyor. Bu sayede modem beni cihaz, cihaz da beni modem sanıyor.

Şimdi bu bilgiler ışığında hadi arp saldırımıza başlayalım.
Teknik bilgi :  Ben iki tane sanal makina kurdum biri Kali Linux diğeri Windows 10 ve bu sanal makinalarımın aynı ağda olmasını istediğim için ağ ayarımı natNetwork olarak ayarladım.





Windows makinaya gelip cmd açıyoruz.
--> ipconfig ( IP adresimizi görebiliyoruz)

--> arp -a ( arp tablolarına ulaşıyoruz.)

Windows'ta arp -a komutuyla windows'un etkileşimde olduğu cihazları görürüz. Burada hangi IP adresi hangi MAC adresine sahip görebiliyoruz. Modemin MAC adresini aklımızda tutalım. (Bu komut sayesinde herhangi bir arp saldırısı olup olmadığını anlayabiliriz. Kali ile modemin MAC adresi aynıysa saldırı vardır.)

 





Kali Linux'a dönüp saldırımızı başlatalım. Bunun için girmemiz gereken komut :

-> arpspoof -i eth0 -t 10.0.2.4 (hedef IP) 10.0.2.1(modem IP)

Şimdi burada sanal makina üzerinde çalıştığımız için hedef IP'ye ipconfigle bakabiliriz ama gerçek bir saldırıda hedef IP'yi bilemeyeceğimiz için netdiscover veya nmap ile bulabiliriz.
Bu arada yeni terminal açıp yaptığımız işlemin tersini yaparak modeme IP'yi söylememiz gerekiyor.

-> arpspoof -i eth0 -t 10.0.2.1(modem IP) 10.0.2.4 (Hedef IP)



Şimdi iki terminalde de saldırı oluyor. Başarılı olduğumuzu anlamak için Windows sanal makinaya gelip arp -a komutuyla bakıyoruz. Modem IP - MAC eşleşmesi değişmişse saldırı gerçekleşmiş demektir.
Bu arada yeni terminal açıp:
-> echo 1  > /proc/sys/net/ipv4/ip_forward
komutunu girmeliyiz. Bu komutu her arp saldırısı yaparken yeni terminal açıp yazmalıyız. Eğer yapmazsak hedef bilgisayarın interneti çöker. Bizim modemden aldığımız paketleri hedef bilgisayara iletebilmemiz için ip_forward'ı etkin hale getirmemiz gerek.





Bu komut dosyanın içine 1 yazıyor. 1 yazdığında etkin anlamına gelmektedir.Yapmadığımız takdirde karşı tarafta bağlantı kesilir.
Artık windows bilgisayarda internet erişimini kontrol ediyoruz. Eğer erişim varsa her şey yolunda gitmiş demektir. Wireshark kullanarak gelen giden paketlerden dataları alabiliriz.



ARP Zehirlenmesi Önlemek için

  • Statik ARP kullanın.
  • Paket filtrelemeyi kullanın.
  • Sanal Özel Ağ (VPN) Kullanın. 
  • Bir sahtekarlık saldırısı çalıştırın.

MITMF  Nasıl Kullanılır?


Man In The Middle Saldırısı ağ içerisindeki iki cihazın etkileşimi sırasında araya girerek gelen giden dataları alabilmemize olanak sağlayan bir saldırı çeşididir.

Şimdi ortadaki adam saldırımızı hazır frameworkle gerçekleştirmeyi göreceğiz.
Yine aynı ağda olan makinalar olmalı aynı arp spoof'taki durumlar geçerli.
Terminali açıp MITFMf klosörüne giriyoruz.

MITM Framework'te Bazı Örnek Komutlar

-> python mitmf.py -i eth0 --spoof --arp --gateway 10.0.2.1 (modem IP) --target 10.0.2.4 (Windows IP)

( Ağ geçidi verilen hedef IP adresine ARP zehirlenmesi gerçekleştirir )




->mitmf -i eth0 --spoof --arp --gateway 10.0.2.1 --target 10.0.2.4 --dns

( ARP zehirlenmesi kullanılarak DNS spoofing’i (sahteciliği) etkinleştirir. )



->mitmf -i eth0 --spoof --arp --gateway 10.0.2.1 --target 10.0.2.4 -screen

( Ben sadece girdiği yerlerin ekran görüntüsünü alsam derseniz: )




->python mitmf.py   --arp --spoof --gateway 10.0.2.1 --target 10.0.2.4 -jskeylogger

( Bir keylog atsam da olur diyorsanız: )




Örnek kullanımlar bu şekilde daha çok çeşit kullanım görmek için github  MITMf'de bulunan kodları da deneyebilirsiniz. İyi okumalar ve iyi çalışmalar. 





Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Fatrat İle Backdoor Oluşturma ve MSFCONSOLE İle Exploit Etme

Resim
FATRAT İLE BACKDOOR OLUŞTURMA Veil ile backdoor oluşturmaya altarnatif Fatrat Toolu İle Backdoor Oluşturma FUD Nedir ? Öncelikle FUD yani Full Undetected denilen şey zararlı yazılım ve kod parçacağı içeren dosyayı tamamen virüssüz olarak gösteren bir Crypter sistemdir. Normal şartlarda antivirüs uygulamaları tarafından tespit edilmesi gereken, içerisinde zararlı kod parçacıkları ve yazılımlar barındıran dosyaların tümünün antivürüs tarafından tespit edilememesini, doğal olarak da dosyanın temiz görünmesini sağlar. Fatrat  bu şekilde çalışma odaklı bir tooldur. Fatrat Yükleme Google'a fatrat github deyip code linkini kopyalıyoruz. --> git clone "https://github.com/screetsec/TheFatRat.git"  --> sudo bash setup.sh  --> cd /usr/share/metasploit-framework --> gem install bundler  --> bundle install   diyoruz son olarak ve kurulum tamamlanıyor.(Söylenilen her şeyi yüklemediğiniz takdirde çalışmayacaktır) Fatrat Kullanım --> fatrat --...
Devamı

Kali Linux Veil-Framework Nedir ? Nasıl Kullanılır ?

Resim
Veil-Framework Kurulum Github Veil-Framework Setup' tan komutları girerek kurulumu gerçekleştiriyoruz. Bunun için ilk başta git'i yüklüyoruz.Bundan sonra Veil kurulumuna geçebiliriz.Yani sırasıyla girmemiz gereken komut : -->  sudo apt-get -y install git  (git'i yüklüyoruz) -->   git clone https://github.com/Veil-Framework/Veil.git -->  cd Veil/ -->    ls   -->  ./config/setup.sh --force --silient Böylelikle kurulum tamamlanıyor. Veil-Framework Kullanım   Veil-Framework bir virus yazma tool'udur.İçerisinde 41 adet payload bulunur ve istediğimiz programlama  dilinde istediğimiz seçenekte girdiğimiz local host ve porta özel virus yazar.  Bize virus yapma imkanı veren bu toolu nasıl kullanırız bakalım.   --> Veil --> list --> use 1 (Evasion)         --> list (payload = bu araçları kullanmak için yazılan kodlar)     --> use 14 (ben bu payloadı seçiyorum siz ...
Devamı

İMAJ TİPLERİ DEĞİŞİNCE HASH DEĞİŞİR Mİ ?

Resim
DD FORMATINDA ALINAN İMAJ E01 VEYA AFF FORMATINA  ALINIRSA SONUÇLAR NASIL OLUR? Bu konuya başlamadan önce bilmemiz gereken ilk şey Adli Bilişim için önemi çok büyük olan imaj tipleri nelerdir bunları anlamak.  Adli Bilişim'de İmaj Kavramı Nedir Tipleri Nelerdir ? İmaj diğer adıyla adli kopya Adli Bilişim için çok önemlidir. Çünkü verinin delil niteliği kazanması için yapılan ilk işlem imaj  almaktır. İmaj, inceleme yapılacak dijital belgenin veri depolama biriminin birebir kopyasının alınması işlemidir. Bu bizim için neden bu kadar önemlidir? Bunun sebebi olası bir davada delilin orjinalliğinin sağlanması herhangi bir değişim, kayıp vb. olayın olmadığını kanıtlayan kesinlik gösteren belge olmasıdır.  İmaj Tipleri :  1) Raw (dd)  2) E01  3) AFF  4) SMART  İmaj tiplerini açıklamadan önce Metadata kavramını açıklamakta fayda var. Metadata , üst veri anlamına gelmektedir yani bir kaynağın ya da verinin ögelerini tanımlayan bilgilerdir. Kısaca ve...
Devamı