MITM (Man In The Mıddle) Saldırısı

Biz insanlar nasıl kendi aramızda konuşabiliyorsak bilgisayarlarda kendi aralarında konuşurlar.

Bir kullanıcı internete çıkmadan önce modeme istek atmaktadır. Bu istek ARP “(Address Resolution Protocol) yani Adres Çözümleme Protokolü” ile gerçekleştirilir. ARP (Adress Resolution Protocol) Cihazların MAC (Media Access Control) adreslerini ve IP (Internet Protocol) adreslerini kullanarak bağlantıyı ve haberleşmeyi sağlar.

Resimde görüldüğü gibi normal bir ağ bağlantısı kullanıcı ile internet arasındaki haberleşme siyah yolla gösterilmektedir ama MITM “(Man In The Middle) yani Ortadaki Adam” saldırısı ile bu bağlantının arasına giriyoruz. Modeme “Ben kullanıcıyım” ve kullanıcıya da “Ben Modemim” diyerek ARP (Adress Resolution Protocol) tablolarını zehirlemiş oluyoruz. Orada olan biten nerdeyse her şeyi görebiliyoruz.

Peki bu işlemi nasıl yapacağız? İlk önce kurbanı belirlememiz gerekiyor. Bunun için bizim ihtiyacımız olan şey kurbanın ve modemin MAC (Media Access Control) adresi ve IP (Internet Protocol) adresleridir. Kurbanın bilgilerine erişmek için “netdiscover” ya da “nmap” araçlarını kullanıp ağı tarayarak bulabiliriz. Bunun için komut satırına ” netdiscover ” yazıp programı başlatmamız yeterli olacaktır.

Modemin bilgileri için komut satırına ” route -n ” komutunu yazarak erişebiliriz (örn.192.168.43.1 gibi sonu 1 ile biter).

Kendi IP(Internet Protocol) ve MAC(Media Access Control) adreslerimizi terminale “ifconfig

yazarak erişebiliriz. Bize lazım olacak bir diğer şey ise bilgisayarımızın IP yönlendirme durumunu örenmeliyiz bu işlemi gerçekleştirmek için: ” cat /proc/sys/net/ipv4/ip_forward ” bu komut /proc/sys/net/ipv4/ip_forward dosyasının içeriğini ekrana yazdırmaktadır. Komutu terminalimize yazdıktan sonra eğer ” 0 ” yanıtını aldıysak bunun içini ” 1 ” olarak değiştirmemiz gerekiyor. Bu işlemi gerçekleştirmemiz için gerekli komut : ” echo 1 > /proc/sys/net/ipv4/ip_forward komutudur. Kontrol için tekrardan ” cat /proc/sys/net/ipv4/ip_forward ” komutunu yazıp bakabilirsiniz.

Eğer bu işlemi yapmazsanız hedefimiz isteği bize değil direk siyah yolla gösterilen sunucuya istek atar. Daha sonra “arpspoof” yazılımını kullanarak bu işleme başlayabiliriz. “arpspoof” yazılımı kullanırken yapmamız gereken komut: ” arpspoof -i <kendi Interface adresimiz> -t <modemin IP adresi> <Kurbanın IP adresi>

yazdıktan sonra yeni bir terminal açıp benzer şekilde ” arpspoof -i <kendi Interface adresimiz> -t <Kurbanın IP adresi> <Modemin IP adresi>

komutlarını yazarak araya girmiş oluyoruz ve ARP paketlerini zehirlemiş oluyoruz. İlk komutu yazdığımızda modeme ARP Reply paketlerini göndererek “Ben şu IP adresine sahip kullanıcıyım” diyoruz. İkinci terminalimizdeki komutu yazdığımızda ise kullanıcıya ARP Reply paketlerini göndererek “Ben Modemim” diyerek iletişimin üzerimizden geçmesini sağlıyoruz. ARP tablolarını da zehirlemiş oluyoruz.

Sanal makinedeki ARP tabloları resimdeki gibidir.

İlk durumda saldırı yapılmadan önce modemin MAC adresi 00-09-df-30-66-d2 dir. Ama ikinci duruma bakacak olursak modemin MAC adresi ile 192.168.43.16 IP numarasına sahip kullanıcının MAC adresi aynıdır.

Eğer iki komuttan birisini yazıp diğerini yazmazsak bu işlemi gerçekleştiremeyiz çünkü modeme kendimizi tanıtsak kullanıcıya tanıtamayız, kullanıcıya tanıtsak modeme tanıtamayız bu yüzden ikisini birden yazmamız gerekmektedir.

Bu işlemi gerçekleştirdikten sonra “Wireshark” ya da ağ analiz programları ile ağdaki olan bitenleri dinleyebiliriz.

Bir diğer saldırı yöntemimiz ise mitmf( Man In The Mittle Framework ) yazılımını kullanarak yapmaktır. Bu yazılımı ilk önce indirmemiz gerekmektedir. Bunu için komut satırına ” sudo apt-get install mitmf ” yazabiliriz.

ardından ” y ” yazarak tüm indirmeleri eksiksiz bir şekilde tamamlayabiliriz.

Şimdi bu yazılımı kullanmamız için gereken komut: ” mitmf –arp –spoof –gateway <modemin IP adresi> –target <Hedefin IP adresi> -i <İnterfaceniz>

yazılarak tek komut satırında deminki işlemleri gerçekleştirebiliyoruz ve dinleyebiliyoruz. Zaten fotoğrafta da gördüğünüz gibi arp, spoof paketlerini falan aktif hale getirmektedir. SSLstrip ile SSL sertifikasını engellemeye çalışıyor. –arp yazarak arp paketlerini zehirlemek için yazıyoruz. –spoof komutu ile spoof eklentilerini yüklemiş oluyoruz. –gateway modemimizin IP adresini belirlememizi sağlıyor.  –target hedefimizi belirliyor. -i ise interfacemizi belirlemektedir. Bu yazılım sayesinde ağ analiz programlarını kullanmanıza gerek kalmadan kendi kendine dinleyebiliyoruz.

Aşağıdaki resimde görüldüğü üzere verilere rahatça erişebiliyoruz.

mitmf yazılımının özellikleri sadece bunlarla da bitmiyor. –BeeF yazarsak BeeF frameworku kullanabiliriz. –jskeylogger yazarak aynı zamanda keylogger yerleştirmiş oluyoruz. –screen yazarak anlık olarak cihazın ss (screenshot) görüntüsünü almamıza sağlıyor. –interval <sayınız> yazarak bu görüntünün kaç saniyede bir çekileceğini ayarlayabilirsiniz. Bunun gibi birçok özelliğe sahiptir daha fazla bilgi almak istiyorsanız mitmf yazılımını indirdikten sonra komut satırına ” mitmf –help ” komutunu yazarak daha detaylı bilgiye ulaşabilirsiniz.

Zamanımızda yeni bir teknolojiye gidilerek HSTS “( HTTP Strict Transport Security ) yani HTTP Sıkı Taşımacılık Güvenliği” denen birşey çıktı.Güvenli Köprü Metni Aktarım Protokolü (HTTPS) ”  Secure Hypertext Transfer Protocol ” bir web sitesinin (HTTP) ” Hypertext Transfer Protocol ” güvenli bir sürümüdür. Şifreleme, Güvenli Yuva Katmanı (SSL)” Secure Sockets Layer yani Güvenli Giriş Katmanı” protokolü kullanılarak etkinleştirilir ve bir SSL sertifikasıyla doğrulanır. Bir HTTPS web sitesine bağlandığınızda, web sitesi ile kullanıcı arasında aktarılan bilgiler şifrelenir. HSTS ( HTTP Strict Transport Security ) web sitelerini HTTPS ( Secure Hypertext Transfer Protocol ) trafiğini kullanmayı zorlarlar. HSTS’yi etkinleştirmek, SSL’in etkinleştirildiği web sitelerinde iki ek güvenlik açığı olan SSL protokol saldırılarını ve çerezleri ele geçirmeyi durdurur. Bir web sitesini daha güvenli hale getirmenin yanı sıra, HSTS, yükleme prosedüründeki bir adımı kaldırarak sitelerin daha hızlı yüklenmesini sağlar.

Makalenin başında ” (nerdeyse) her şeyi görebiliyoruz. ” demiştim. Bunun nedeni HSTS teknolojisidir. Yani siz “http://… ” ‘de yazsanız site otomatik olarak ” https://… ” şekline dönecektir. Bu gibi durumda veriler şifreli olduğu için görememekteyiz.

Sonuç olarak aynı ağa bağlı olduğumuz cihaza ulaşıp verileri ele geçirdik. ARP tablolarını zehirlemeyi ve arpspoof yazılımını kullanmayı, MAC nedir?, Bilgisayarlar kendi aralarında nasıl konuşurlar?, ARP nedir ? IP nedir?, HTTP nedir? HTTPS ile HTTP nin farkı nelerdir?, HSTS teknolojisi nedir, ne işe yarar? sorularına cevaplarını bulmuş olduk.


İçerik Sahibi: Muhammet Hilmi ÖZYURT

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir