ARP spoofing yani ARP zehirlenmesi, kötü amaçlı ARP mesajları aracılığıyla gerçekleştirilen bir siber saldırıdır.
Bir ARP saldırısını tespit etmek zordur ve bir kez uygulandığında etkisini görmezden gelmek imkansızdır.
ARP zehirlenmesini başarıyla uygulayan bir bilgisayar korsanı, ağınızdaki her belgenin kontrolünü ele geçirebilir, casusluğa maruz kalabilirsiniz veya bilgisayar korsanına fidye için istenen şeyi verene kadar trafiğiniz durma noktasına gelebilir.
ARP Nedir?
2001 yılında geliştiriciler, Unix geliştiricilerine adres çözümleme protokolünü (ARP) tanıttı ve bu terimi yeni ana bilgisayarlara IP düzeyinde bağlantılar kurabilecek bir iş gücü olarak tanımladılar.
Teoride, bir ARP şunları yapmalıdır:
- Yeni bir cihaz, bir IP adresi sağlayarak yerel alan ağına (LAN) katılmayı ister.
- LAN üzerindeki cihazlar IP adresi üzerinden iletişim kurmaz. ARP, IP adresini bir MAC adresine çevirir.
- ARP, bir IP adresi için kullanılacak MAC adresini bilmiyorsa, eksik olanı bulmak için ağdaki diğer makineleri sorgulayan bir ARP paket isteği gönderir.
Bu işlev, ağ yöneticilerine çok zaman kazandırır. İstekler perde arkasında işlenir ve ağ gerekli tüm temizliği yapar. Ama yine de tehlikeler vardır.
ARP Saldırıları: Temel Tanımlar
Önemli verilere erişmeyi uman kötü niyetli bir geliştirici, güvenlik açıklarını açığa çıkarabilir, içeri gizlice girebilir ve siz tüm bunların yapıldığını asla bilemezsiniz.
İki tür ARP saldırısı vardır.
ARP spoofing: Bir bilgisayar korsanı, bir saldırganın MAC adresini halihazırda LAN’da bulunan bir bilgisayarın IP’sine bağlayan sahte ARP paketleri gönderir.
ARP zehirlenmesi: Başarılı bir ARP sahtekarlığından sonra bir bilgisayar korsanı şirketin ARP tablosunu değiştirir, böylece tablolar sahte MAC haritaları içerir.
Amaç, bir bilgisayar korsanının MAC’ini LAN ile bağlamaktır. Sonuç olarak güvenliği ihlal edilmiş LAN’a gönderilen tüm trafik bunun yerine saldırgana gider.
Başarılı bir ARP saldırısının sonunda bir bilgisayar korsanı aşağıdakileri yapabilir:
- Hijack: LAN’ı serbest bırakmadan önce LAN’a giden her şeyi gözden geçirilebilir.
- Deny service: Bir tür fidye ödenmediği sürece, virüslü LAN’dan herhangi bir şeyi serbest bırakmayı reddedebilir.
- Sit in the middle: Ortadaki adam saldırısı gerçekleştiren biri, belgeleri göndermeden önce değiştirmek de dahil olmak üzere hemen hemen her şeyi yapabilir. Bu saldırılar hem gizliliği tehdit eder hem de kullanıcı güvenini azaltır. Herhangi birinin gerçekleştirebileceği en tehlikeli saldırılar arasındadır.
Bir bilgisayar korsanı bir son ana bilgisayarı devralmak istiyorsa, işin hızlı bir şekilde yapılması gerekir. ARP işlemleri yaklaşık 60 saniye içinde sona erer. Ancak bir ağda istekler 4 saate kadar oyalanabilir. Bu, bir bilgisayar korsanının bir saldırıyı hem düşünmesi hem de gerçekleştirmesi için bolca zamanı olmasını sağlar.
ARP Güvenlik Açıkları
ARP geliştirildiğinde hedefler hız, işlevsellik ve özerklikti. Protokol güvenlik göz önünde bulundurularak yapılmamıştır ve kötü niyetli amaçlar için sahtekarlık ve ince ayar yapmanın çok kolay olduğu kanıtlanmıştır.
Bir bilgisayar korsanının bu işi yapmak için sadece birkaç araca ihtiyacı vardır.
Bağlantı: Bilgisayar korsanının LAN bağlantılı bir makinenin kontrolüne ihtiyacı vardır. Daha da iyisi, bilgisayar korsanı zaten doğrudan LAN’a bağlıdır.
Kodlama becerileri: Bilgisayar korsanı, sistemde hemen kabul edilen veya depolanan ARP paketlerini nasıl yazacağını bilmelidir.
Dış araçlar: Bir bilgisayar korsanı, Arpspoof gibi bir kimlik sahtekarlığı aracını kullanarak tahrif edilmiş veya başka bir şekilde orijinal olmayan ARP yanıtları gönderebilir.
Sabır: Bazı bilgisayar korsanları sistemlere hızla girer. Ancak diğerleri, LAN’ı kandırmadan önce düzinelerce hatta yüzlerce istek göndermelidir.
ARP durumsuzdur ve ağlar ARP yanıtlarını önbelleğe alma eğilimindedir. Ne kadar uzun süre oyalanırlarsa, o kadar tehlikeli olurlar. Bir sonraki saldırıda artık bir yanıt kullanılabilir ve bu da ARP zehirlenmesine yol açar.
Geleneksel bir ARP sisteminde kimlik doğrulama yöntemi yoktur. Ana bilgisayarlar, paketlerin gerçek olup olmadığını ve nereden geldiklerini bile belirleyemez.
ARP Zehirlenme Saldırısını Önleme
Bilgisayar korsanları, bir LAN’ı ele geçirmek için öngörülebilir bir dizi adım kullanır. Sahte bir ARP paketi gönderirler, sahtekarlığa bağlanan bir istek gönderirler ve devralırlar. İstek, LAN üzerindeki tüm bilgisayarlara yayınlanır ve kontrol tamamlanır.
Ağ yöneticileri, ARP sahtekarlığını algılamak için iki teknik kullanabilir.
- Pasif: ARP trafiğini izleyin ve haritalama tutarsızlıklarını arayın.
- Aktif: Sahte ARP paketlerini ağa enjekte edin. Bunun gibi bir sızdırma saldırısı, sisteminizdeki zayıf noktaları belirlemenize yardımcı olur. Onları hızla düzeltin ve devam eden bir saldırıyı durdurun.
Bazı geliştiriciler bir sahtekarlığı tespit etmek için kendi kodlarını yazmaya çalışır, ancak bu riskleri de beraberinde getirir. Protokol çok katıysa, aşırı yanlış alarmlar erişimi yavaşlatır. Protokol çok yumuşaksa, yanlış bir güvenlik hissine sahip olduğunuz için devam eden saldırılar yok sayılır.
Şifreleme yardımcı olabilir. Bir bilgisayar korsanı sisteminize girer ve yalnızca şifre çözme anahtarı olmayan bozuk metin alırsa, hasar sınırlı olur. Ancak tam koruma için tutarlı bir şekilde şifreleme uygulamanız gerekir.
VPN kullanımı olağanüstü bir koruma kaynağı olabilir. Cihazlar şifreli bir tünel üzerinden bağlanır ve tüm iletişim anında şifrelenir.
ARP Sorunlarını Tespit İçin Kullanabileceğiniz Araçlar
Birçok işletme, hem ağınızı denetlemek hem de ARP sorunlarını tespit etmek için kullanabileceğiniz izleme programları sağlar.
Aşağıdaki listede ARP sorunlarını tespit için kullanabileceğiniz yaygın çözümleri bulabilirsiniz:
Arpwatch: Bu Linux aracı ile değişen IP ve MAC adresleri dahil olmak üzere ethernet etkinliğini izleyebilir, her gün günlüğü gözden geçirebilir ve saldırının tam olarak ne zaman gerçekleştiğini anlamak için zaman damgalarına erişebilirsiniz.
ARP-GUARD: Anahtarların ve yönlendiricilerin çizimleri de dahil olmak üzere mevcut ağınızın grafiksel genel görünümünden yararlanmanızı sağlar. Programın ağınızda hangi cihazların bulunduğuna dair bir anlayış geliştirmesine ve gelecekteki bağlantıları kontrol etmek için kurallar oluşturmasına izin verir.
XArp: Güvenlik duvarınızın altında gerçekleşen saldırıları tespit etmek için bu aracı kullanabilirsiniz. Bir saldırı başlar başlamaz bildirim alabilir ve daha sonra ne yapacağınızı belirlemek için aracı kullanabilirsiniz.
Wireshark: Ağınızdaki tüm aygıtların grafiksel olarak anlaşılmasını geliştirmek için bu aracı kullanabilirsiniz. Bu araç güçlüdür, ancak düzgün bir şekilde uygulamak için gelişmiş becerilere ihtiyacınız olabilir.
Paket filtreleme: Gelen ve giden IP paketlerini izleyerek ağ erişimini yönetmek için bu güvenlik duvarı tekniğini kullanabilirsiniz. Kaynak ve hedef IP adreslerine, bağlantı noktalarına ve protokollere göre paketlere izin verilir veya durdurulur.
Statik ARP: Bu ARP’ler önbelleğe eklenir ve kalıcı olarak tutulur. Bunlar, MAC adresleri ve IP adresleri arasında kalıcı eşlemeler olarak hizmet eder.