ARP engellenmesi korunma yollari
Sniffing nedir ve nasıl çalışır?
Birden fazla bilgisayari,birbirine baglayarak aralarinda bir paylasim kurmak masrafli bir istir. Paylasim,bir bilgisayardaki bilgilerin,baska bir bilgisyara aktarilmasi olarak açiklanabilir. Bu iki bilgisayar arasinda yapilan bilgi alis-veris ini yakalamaya "sniffing" denilir. Bir kaç bilgisayarin,bir ag üzerinde birbirleriyle paylasima açik olarak baglanilmasinda kullanilan en popüler yol "ethernet" dir.Ethernet protokolü bir bilgi paketini ayni devreler üzerindeki tüm bilgisayarlara yollayarak çalisir.Gonderilen paketin basliginda,paketin gidecegi bilgisayarin adresi yazar.Sadece bu paketteki adres ile adresi tutan makine bu bilgileri alabilir.Her paketi kabul eden bir makine,paket basligindaki adrese aldirmayan makine,çok karisik bir hal alacaktir.
Bu karisiklik sayesinde,sniffer isini görecektir.
Aktif ve Pasif Sniffing :
İki çeşit sniffing vardır : pasif ve aktif. Pasif sniffing, trafiği dinlemek ve yakalamaktır ve hublar ile bağlı olan networklerde kullanışlıdır.
Aktif sniffing
Aktif sniffing ise ARP (Address Resolution Protocol) spoofing (Kandırma, aldatma) başlatma veya trafiği yakalamak için switche karşı traffic flooding (Aşırı trafik yaratma) yapılmasıdır. Adındanda anlaşıldığı gibi aktif sniffing tespit edilebilir fakat pasif sniffing tespit edilemez.
Sistemlere bağlantı için kablosuz aygıtları veya hublar kullanan networklerde tüm hostlar trafiği görebilir, bu yüzden pasif paket sniffer hublar ile bağlı olan hostlara giden trafiği ve gelen trafiği yakalayacaktır. Switch kulanılan networklerde durum farklıdır. Switch, kimin yolladığını bilmek için dataya bakar ve paketi MAC adresine göre paketi alması gereken kişiye forward eder. Switch, bünyesinde sistemin tüm MAC adreslerinin bulunduğu MAC tablosunu ve bağlı oldukları port numaralarını barındırır. Bu da switchin network trafiğini segmentlere bölmesini ve trafiğin sadece doğru MAC adrese gönderilmesini sağlar. Bir switch, networkte aktarım yapılan veri miktarınında artış sağlar ve hublar ile bağlı olan networklere göre daha güvenlidir
ARP Poisoning ARP Zehirlemesi:
Eskiden ARP zehirlenmesi yapmak çok zordu, ciddi bir ağ ve, donanım bilgisi gerekiyordu. Oysa artık internetten indirilebilecek ücretsiz ve kullanımı çok kolay yazılımlarla bu saldırı bir çocuk oyuncağı haline geldi. ARP zehirlenmesi sonucunda saldırıyı yapan bilgisayar ağ trafiğini kendi üzerine alıyor ve bu trafiği izleyebilir hale geliyor. Bu sayede şifresiz giden MSN konuşmalarından dosya transferine kadar her türlü "clear text" bilgiyi kolayca izleyebiliyor. Aynı şekilde şifrelenmemiş SSL kullanmayan siteleri, şifrelenmemiş POP3 e-posta parolaları saldırıyı yapan bilgisayarı tarafından izlenebiliyor.
Bu tür saldırılarla kablosuz ağından yararlanılan bir cafede ya da bir otelde karşılaşmak da mümkün. İşin en tehlikeli yanlarından birisi ise yanınızdaki bir bilgisayarın ARP zehirlenmesi yapıp yapmadığını anlamanız hiç kolay değil.
İzlenen trafik şifrelenmiş olsa bile bunu izleyenler parolaları kırmak için kullanılan programları kullanarak bu şifreleri çözebiliyorlar. Sonuçta bilgi casusluğu, endüstri casusluğu işten bile olmuyor.
Bu tür saldırılar üniversitelerde de yaygın olarak yaşanıyor. Bu tür saldırı programlarını duyan, bu işlere meraklı öğrenciler bunları öncelikle kendi üniversitelerinde deneyebiliyorlar. Bunu merak amacıyla yapsalar bile istemeden de olsa ağın çökmesi sebep olabiliyorlar.
Dns Cache Poisoning (Dns Ön Bellek Zehirlemesi):
Burada saldırgan tüm ağa broadcast yayını yaparak kendi ipsini ve mac adresini gatewaymış gibi gösteriyor ve kurbanın internet üzerinde yaptığı tüm işlemler saldırganın makinesından geçiyor ve saldırgan tüm yaptığı işlemleri izleyebiliyor hatta msn ws de yazılan tüm txt bilgilerini rahatlıkla görebiliyor .Saldırgan gelen isteğe cevap vererek bilgileri alır ve kurbanı farklı bir sunucuya yönlendirir.
Korunma Yöntemleri !
Statik IP adresleri kullanın ve arp kayıtlarını statik olarak ekleyin ,
Snifferlardan korunmanın en iyi yolu trafiği şifrelemektir.Bunun için Network te SSH kullanın Ipsec kullanın.Bu snifferın çalışmasını engellemeyecek fakat yakaladığı verilen anlaşılması engelleyecek veya kırılması için gereken süreyi uzatacaktır.
Networkte Sniffer olup olmadığını öğrenecek birden fazla yazılım var. Bundardan bazılar:
Arp Watch
Promiscan
Antisniff
Prodetect
Gibi yazılımları kullanabilirsiniz. Snifferden en iyi korunma yöntemi trafiği şifrelemektir.
Sniffing nedir ve nasıl çalışır?
Birden fazla bilgisayari,birbirine baglayarak aralarinda bir paylasim kurmak masrafli bir istir. Paylasim,bir bilgisayardaki bilgilerin,baska bir bilgisyara aktarilmasi olarak açiklanabilir. Bu iki bilgisayar arasinda yapilan bilgi alis-veris ini yakalamaya "sniffing" denilir. Bir kaç bilgisayarin,bir ag üzerinde birbirleriyle paylasima açik olarak baglanilmasinda kullanilan en popüler yol "ethernet" dir.Ethernet protokolü bir bilgi paketini ayni devreler üzerindeki tüm bilgisayarlara yollayarak çalisir.Gonderilen paketin basliginda,paketin gidecegi bilgisayarin adresi yazar.Sadece bu paketteki adres ile adresi tutan makine bu bilgileri alabilir.Her paketi kabul eden bir makine,paket basligindaki adrese aldirmayan makine,çok karisik bir hal alacaktir.
Bu karisiklik sayesinde,sniffer isini görecektir.
Aktif ve Pasif Sniffing :
İki çeşit sniffing vardır : pasif ve aktif. Pasif sniffing, trafiği dinlemek ve yakalamaktır ve hublar ile bağlı olan networklerde kullanışlıdır.
Aktif sniffing
Aktif sniffing ise ARP (Address Resolution Protocol) spoofing (Kandırma, aldatma) başlatma veya trafiği yakalamak için switche karşı traffic flooding (Aşırı trafik yaratma) yapılmasıdır. Adındanda anlaşıldığı gibi aktif sniffing tespit edilebilir fakat pasif sniffing tespit edilemez.
Sistemlere bağlantı için kablosuz aygıtları veya hublar kullanan networklerde tüm hostlar trafiği görebilir, bu yüzden pasif paket sniffer hublar ile bağlı olan hostlara giden trafiği ve gelen trafiği yakalayacaktır. Switch kulanılan networklerde durum farklıdır. Switch, kimin yolladığını bilmek için dataya bakar ve paketi MAC adresine göre paketi alması gereken kişiye forward eder. Switch, bünyesinde sistemin tüm MAC adreslerinin bulunduğu MAC tablosunu ve bağlı oldukları port numaralarını barındırır. Bu da switchin network trafiğini segmentlere bölmesini ve trafiğin sadece doğru MAC adrese gönderilmesini sağlar. Bir switch, networkte aktarım yapılan veri miktarınında artış sağlar ve hublar ile bağlı olan networklere göre daha güvenlidir
ARP Poisoning ARP Zehirlemesi:
Eskiden ARP zehirlenmesi yapmak çok zordu, ciddi bir ağ ve, donanım bilgisi gerekiyordu. Oysa artık internetten indirilebilecek ücretsiz ve kullanımı çok kolay yazılımlarla bu saldırı bir çocuk oyuncağı haline geldi. ARP zehirlenmesi sonucunda saldırıyı yapan bilgisayar ağ trafiğini kendi üzerine alıyor ve bu trafiği izleyebilir hale geliyor. Bu sayede şifresiz giden MSN konuşmalarından dosya transferine kadar her türlü "clear text" bilgiyi kolayca izleyebiliyor. Aynı şekilde şifrelenmemiş SSL kullanmayan siteleri, şifrelenmemiş POP3 e-posta parolaları saldırıyı yapan bilgisayarı tarafından izlenebiliyor.
Bu tür saldırılarla kablosuz ağından yararlanılan bir cafede ya da bir otelde karşılaşmak da mümkün. İşin en tehlikeli yanlarından birisi ise yanınızdaki bir bilgisayarın ARP zehirlenmesi yapıp yapmadığını anlamanız hiç kolay değil.
İzlenen trafik şifrelenmiş olsa bile bunu izleyenler parolaları kırmak için kullanılan programları kullanarak bu şifreleri çözebiliyorlar. Sonuçta bilgi casusluğu, endüstri casusluğu işten bile olmuyor.
Bu tür saldırılar üniversitelerde de yaygın olarak yaşanıyor. Bu tür saldırı programlarını duyan, bu işlere meraklı öğrenciler bunları öncelikle kendi üniversitelerinde deneyebiliyorlar. Bunu merak amacıyla yapsalar bile istemeden de olsa ağın çökmesi sebep olabiliyorlar.
Dns Cache Poisoning (Dns Ön Bellek Zehirlemesi):
Burada saldırgan tüm ağa broadcast yayını yaparak kendi ipsini ve mac adresini gatewaymış gibi gösteriyor ve kurbanın internet üzerinde yaptığı tüm işlemler saldırganın makinesından geçiyor ve saldırgan tüm yaptığı işlemleri izleyebiliyor hatta msn ws de yazılan tüm txt bilgilerini rahatlıkla görebiliyor .Saldırgan gelen isteğe cevap vererek bilgileri alır ve kurbanı farklı bir sunucuya yönlendirir.
Korunma Yöntemleri !
Statik IP adresleri kullanın ve arp kayıtlarını statik olarak ekleyin ,
Snifferlardan korunmanın en iyi yolu trafiği şifrelemektir.Bunun için Network te SSH kullanın Ipsec kullanın.Bu snifferın çalışmasını engellemeyecek fakat yakaladığı verilen anlaşılması engelleyecek veya kırılması için gereken süreyi uzatacaktır.
Networkte Sniffer olup olmadığını öğrenecek birden fazla yazılım var. Bundardan bazılar:
Arp Watch
Promiscan
Antisniff
Prodetect
Gibi yazılımları kullanabilirsiniz. Snifferden en iyi korunma yöntemi trafiği şifrelemektir.
Son düzenleme:
