Aynı Ağdaki Bilgisayarın Farklı Bir Ağ ile Olan Trafiğinin Ettercap Uygulaması ile Dinlenerek Kritik Erişim Bilgilerinin Elde Edilmesi

Uygun şekilde yapılandırılmamış ağlarda saldırgan, hedef olarak seçtiği iki bilgisayar arasına girebilir ve trafiği izleyebilir. Bu yazıda, Linux bilgisayarda kurulu olan Ettercap uygulaması kullanılarak, kendisi ile aynı ağda bulunan bilgisayarlar ve ağ geçidi (gateway) arasına girilecek ve kritik bilgi elde edilecektir.

Yerel ağda bilgisayarlar haberleşmek için IP adresi yerine 48 bitlik gerçek donanım adreslerini (MAC adresi) kullanırlar. IP adresinden MAC adresini öğrenmek için de ARP (Address Resolution Protocol) kullanılır. Bu protokol ile aynı subnet’teki IP adreslerinde bulunun MAC adresleri öğrenilir ve iletişim bu MAC adresi üzerinden sağlanır.

ARP protokolü için bilgisayarlar ARP tablosunu kullanırlar. Bu tabloda IP-MAC eşleşmesi tutulur. Bilgisayar yerel ağdaki bir IP adresine erişmek istediğinde önce bu tabloyu kontrol eder ve erişmek istediği IP adresine ait kayıt mevcut ise, kayıttaki MAC adresi üzerinden haberleşme başlar. Şayet ilgili kayıt mevcut değil ise, bir ARP isteği gönderir ve gelen cevaba göre IP adresinin bulunduğu MAC adresini öğrenir ve ARP tablosuna ekler. Bundan sonraki iletişimlerde ARP isteği göndermez, bu tablodaki kayıda göre haberleşme başlar.

ARP protokolü kullanılarak yerel ağda ARP Zehirlemesi (ARP poisoning) saldırısı yapılabilir. Bu saldırıda saldırgan 2 kurban arasına girerek MitM (Man in the Middle) saldırısı yapar. Saldırı temelde ARP tablosunu zehirlemeye dayalıdır. Saldırgan her iki kurbana da sahte ARP paketleri göndererek kendisini diğer kurbanmış gibi tanıtır. Saldırının başarılı olması durumunda kurbanları zehirleyerek ARP tablosunu değiştirmiş olur ve iki kurban arasındaki tüm trafik saldırgan üzerinden aktarılmış olur.

Aşağıdaki anlatılacak olan senaryoya ilişkin bilgiler şu şekildedir:

Bulunulan Alt Ağ (Subnet): 192.168.35.0/24
Saldırgan: 192.168.35.60 (attacker)
Kurban 1: 192.168.35.21 (ftpserver)
Kurban 2: 192.168.35.55 (client)
Kullanılan araç: Ettercap
Saldırı türü: MitM
Saldırı Adı: Arp Zehirlemesi (ARP Poisoning)
Saldırı katmanı: Layer2 (OSI)
Saldırı yapılabilecek kitle: Aynı alt ağda bulunan tüm cihazlar
Saldırı sonunda ele geçirilen bilgi: FTP kullanıcı bilgileri

Saldırganın ağ kartı bilgilerine baktığımızda MAC adresinin 00:0c:29:2f:47:f5 olduğunu görüyoruz. Bu MAC adresi bizim için önemli, çünkü saldırı gerçekleştiğinde kurbanların ARP tablosunda bu MAC adresiyle ilgili bir problem olduğunu göreceğiz.

ifconfig eth1

Saldırganın bulunduğu ağdaki diğer cihazların tespiti için arp-scan aracı kullanılabilir.

arp-scan -l -I eth1

Saldıraya başlamadan önce kurban bilgisayarlarının arp tablosuna baktığımızda, ARP tablosunda herhangi bir problem olmadığını görüyoruz.

1. kurbana ait bilgisayarın ARP tablosu aşağıdaki gibidir.

ifconfig eth1
netstat -nlpt | grep 21
arp

2. kurbana ait bilgisayarın ARP tablosu aşağıdaki gibidir.

ifconfig eth0
arp

Saldırgan bu saldırı için Ettercap aracı kullanacaktır. Ettercap çok amaçlı bir network sniff aracıdır. Saldırıyı arayüzden yapmak için ettercap -G komutu ile aracı çalıştırırır.

ettercap -G

Saldırgan saldırıyı başlatmak için “Sniff >> Unified sniffing” sekmesini tıklar.

Saldırgan, daha sonra, hangi ağ adaptörü üzerinden saldırı yapmak istiyorsa o adaptörü seçer

Saldırgan bulunduğu subnetteki cihazları keşfetmek için “Hosts >> Scan for hosts” sekmesini tıklayarak cihazları keşfeder.

Sonrasında “Hosts >> Host list” sekmesinden keşfedilen cihazları görüntüleyebilir.

Saldırgan keşif yapılan cihazlar arasından istediği iki cihazın arasına girerek trafiği dinleyebilir. Senaryoda saldırgan Kurban 1 olarak 192.168.35.21 ip adresli cihazı, Kurban 2 olarak da 192.168.35.55 ip adresli cihazı seçmiştir.

Hedef olarak 1. kurban makinesinin seçimi aşağıdaki gibidir.

Hedef olarak 2. kurban makinesinin seçimi aşağıdaki gibidir.

Seçilen hedefler Targets sekmesinde görülmektedir. Burada daha fazla kurban seçilerek saldırı yüzeyi genişletilebilirdi.

Kurbanları seçtikten sonra hangi saldırının yapılacağının seçimi yapılır. Bunun için saldırgan “Mitm >> Arp poisoning” sekmesine tıklar.

Saldrgan yeni açılan pencerede “Sniff remote connection” seçeneğini seçer.

Saldırgan “Start >> Start sniffing” sekmesinden saldırıyı başlatır.

Böylece sniffing işlemi başlamıştır.

Saldırıyı başlattıktan sonra iki kurban arasındaki trafik saldırgan bilgisayarının üzerinden geçeceği için iki cihaz arasındaki tüm trafiği saldırgan görecektir.

Not: Komut satırında benzer işlemleri gerçekleştirmek için aşağıdaki komut kullanılabilir.

ettercap -T -q -i eth0 -M ARP //192.168.35.21//

 

Saldırı başladıktan sonra Kurban 1’in ARP tablosunu inceleyelim.

ifconfig eth1
netstat -a | grep ftp
arp

Ekran görüntüsünde de görüldüğü gibi ARP tablosunda 2 adet aynı mac adresli kayıt vardır. Bu MAC adresi aslında saldırgan cihazının MAC adresidir. Saldırgan Kurban 2’nin MAC adresinin kendisinde olduğunu Kurban 1’e söyleyerek (ARP paketleri ile) Kurban 1’in ARP tablosunu zehirlemiştir. Dolayısıyla Kurban 1, Kurban 2’ye erişmek istediğinde ARP tablosuna bakacak ve paketleri Kurban 2 yerine Saldırgan’a gönderecektir. Aynı zehirleme işleme Kurban 2’ye de yapıldığı için Kurban 2’nin de ARP tablosunda aynı MAC adresli iki kayıt görülecektir.

Senaryo gereği Kurban 2, Kurban 1 üzerinde kurulu ftp sunucuya kullanıcı adı ve parola girerek bağlantı sağlıyor.

ifconfig eth0
ftp 192.168.35.21

Kurban 2 ile Kurban 1 arasındaki tüm trafik Saldırgan üzerinden geçeceği için Saldırgan tüm trafiği görür. Tüm trafiği görüntülemek için tcpdump veya wireshark aracı kullanılabilir. Ettercap aracı da trafik üzerinde herhangi bir protokole ait kullanıcı adı parola yakaladığı zaman bunu kullanıcıya göstermektedir.

FTP protokolünde herhangi bir şifreleme mekanizması olmadığı için trafiği dinleyen saldırgan kullanıcı adı ve parola bilgilerini de ele geçirmiştir. FTP yerine FTPS protokolü kullanılmış olsaydı, trafik şifreli gönderileceği için saldırgan trafiği dinlese dahi ekstra yöntemler uygulamadığı sürece şifreli trafiği çözemeyecek ve kullanıcı adı&parola bilgilerini ele geçiremeyecekti.

Sıra saldırının en önemli adımına geldi. Saldırıyı sonlandırırken “Mitm >> Stop mitm attack(s)” sekmesinin kullanılması gerekir. Bu sekme kullanılarak sonlandırıldığında iz bırakmamak adına ettercap aracı tekrar kurbanlara ARP paketleri göndererek, zehirlemiş olduğu ARP tablolarının tekrar eski haline dönmesini sağlamış olur.

Böylece MitM saldırısı durmuş olur.

 

http://ekaragol.blogspot.com.tr/2015/02/arp-zehirlemesi-ile-bilgi-edinme.html