ARP Zehirlenmesi Nedir?

ARP Zehirlenmesi Nedir

ARP Zehirlenmesi, ağ trafiğini kesintiye uğratmak, yönlendirmek veya gözetlemek için yaygın olarak kullanılan Adres Çözümleme Protokolü’ndeki (ARP) zayıflıkları kötüye kullanan bir tür siber saldırıdır. Bu yazıda, ARP ihtiyacına, ARP Zehirlenmesini sağlayan zayıf noktalara ve kuruluşunuzu güvende tutmak için neler yapabileceğinize hızlıca göz atacağız.

ARP nedir?

Adres Çözümleme Protokolü (ARP), bilgisayar ağlarının ilk günlerinden beri kullanılan katmanlı yaklaşımı desteklemek için mevcuttur. Bir Ethernet kablosu üzerinden geçen elektrik sinyallerinden bir web sayfasını oluşturmak için kullanılan HTML koduna kadar her katmanın işlevleri, büyük ölçüde birbirinden bağımsız olarak çalışır. 1980’lerin başlarına dayanan bir ağ katmanı teknolojisi olan IPv4’ü Wi-Fi ve Bluetooth gibi daha yeni teknolojilerle şu şekilde kullanabiliriz: Daha düşük fiziksel ve veri bağlantı katmanları, radyo dalgaları gibi belirli bir ortam üzerinden veri aktarmanın özelliklerini ele alır.

ARP’nin amacı, MAC Adresleri olarak bilinen veri bağlantı katmanındaki adresler ile ağ katmanındaki tipik olarak IP adresleri olan adresler arasında çeviri yapmaktır. Ağa bağlı cihazların, o anda hangi cihaza belirli bir IP adresi atandığını “sormasına” izin verir. Cihazlar ayrıca bu eşlemeyi istenmeden ağın geri kalanına duyurabilir. Verimlilik adına, cihazlar tipik olarak bu yanıtları önbelleğe alır ve mevcut MAC-IP eşlemelerinin bir listesini oluşturur.

ARP Zehirlenmesi Nedir?

ARP Zehirlenmesi, ağdaki diğer cihazların MAC-IP eşlemelerini bozmak için ARP’deki zayıflıkların kötüye kullanılmasından oluşur. ARP 1982’de tanıtıldığında güvenlik çok önemli bir endişe değildi, bu nedenle protokolün tasarımcıları ARP mesajlarını doğrulamak için hiçbir zaman kimlik doğrulama mekanizmalarını dahil etmediler. Ağdaki herhangi bir cihaz, orijinal mesajın kendisine yönelik olup olmadığına bakılmaksızın bir ARP isteğine cevap verebilir. Örneğin, Bilgisayar A Bilgisayar B’nin MAC adresini “sorarsa”, Bilgisayar C’deki bir saldırgan yanıt verebilir ve Bilgisayar A bu yanıtı gerçek olarak kabul eder. Bu gözetim, çeşitli saldırıları mümkün kılmıştır. Bir tehdit aktörü, kolayca erişilebilen araçlardan yararlanarak, yerel bir ağdaki diğer ana bilgisayarların ARP önbelleğini “zehirleyebilir” ve ARP önbelleğini yanlış girişlerle doldurabilir. 

ARP Zehirlenmesi Saldırı Adımları

Bir ARP Zehirlenmesi saldırısının kesin adımları değişebilir, ancak genellikle en azından aşağıdakilerden oluşur:

1. Saldırgan Bir Kurban Makinesi veya Makine Seçiyor

Bir ARP Zehirlenmesi saldırısını planlamanın ve yürütmenin ilk adımı bir Hedef seçmektir. Bu, ağdaki belirli bir uç nokta, bir grup uç nokta veya yönlendirici gibi bir ağ aygıtı olabilir. Yönlendiriciler çekici hedeflerdir çünkü bir yönlendiriciye karşı başarılı bir ARP Zehirlenme Saldırısı tüm alt ağ için trafiği bozabilir. 

2. Saldırgan Araçları Başlatır ve Saldırıya Başlar

ARP Zehirlenmesi saldırısı yapmak isteyen herkes için çok çeşitli araçlar kolayca kullanılabilir. Saldırgan, kendi seçtiği aracı başlattıktan ve uygun ayarları yapılandırdıktan sonra saldırıya başlayacaktır. ARP mesajlarını hemen yayınlamaya başlayabilir veya bir istek alınana kadar bekleyebilirler. 

3. Saldırgan Yanlış Yönlendirilen Trafikle Bir Şey Yapıyor

Bir kurban makinedeki veya makinelerdeki ARP önbelleği bozulduğunda, saldırgan genellikle yanlış yönlendirilen trafikle bir tür eylem gerçekleştirir. Onu inceleyebilir, değiştirebilir veya “kara deliğe” neden olabilir ve asla hedeflenen varış noktasına ulaşamazlar. Kesin eylem, saldırganın amaçlarına bağlıdır.

ARP Zehirlenme Saldırılarının Türleri

Bir ARP Zehirlenmesi saldırısının meydana gelmesinin iki genel yolu vardır: Saldırgan, belirli bir hedef için ARP isteklerini görmek için bekleyebilir ve bir yanıt verebilir ya da “gereksiz ARP” olarak bilinen istenmeyen bir yayın mesajı gönderebilir. İlk yaklaşım ağda daha az fark edilir, ancak potansiyel olarak etkileri daha az geniş kapsamlıdır. Gereksiz bir ARP daha hızlı olabilir ve daha fazla sayıda kurbanı etkileyebilir, ancak çok sayıda ağ trafiği oluşturmanın dezavantajıyla birlikte gelir. Her iki yaklaşımda da, kurban makinelerdeki bozuk ARP önbellek(ler)i daha ileri amaçlar için kullanılabilir:

Ortadaki Adam (MiTM) Saldırısı

MiTM saldırıları , muhtemelen ARP zehirlenmesinin en yaygın ve potansiyel olarak en tehlikeli hedefidir. Saldırgan, belirli bir alt ağ için tipik olarak varsayılan ağ geçidi olan belirli bir IP Adresi için sahte ARP yanıtları gönderir. Bu, kurban makinelerin ARP önbelleklerini yerel yönlendiricinin MAC adresi yerine saldırganın makinesinin MAC adresiyle doldurmasına neden olur. Kurban makineleri daha sonra ağ trafiğini yanlış bir şekilde saldırgana iletir. Ettercap gibi araçlar, saldırganın, trafiği amaçlanan hedefine göndermeden önce bilgileri görüntüleyerek veya değiştirerek bir proxy görevi görmesine izin verir. Kurban için her şey normal görünebilir. 

ARP Zehirlenmesi ile DNS Zehirlenmesinin birleştirilmesi , bir MiTM saldırısının etkinliğini önemli ölçüde artırabilir. Bu senaryoda, kurban kullanıcı google.com gibi meşru bir siteye girebilir ve kendisine doğru adres yerine saldırganın makinesinin IP adresi verilebilir. 

Hizmet Reddi (DoS) Saldırısı

Bir DoS saldırısı, bir veya daha fazla kurbanın ağ kaynaklarına erişimini engellemeyi amaçlar. ARP durumunda, bir saldırgan yüzlerce hatta binlerce IP adresini yanlış bir şekilde tek bir MAC adresine eşleyen ARP Yanıt mesajları gönderebilir ve bu da potansiyel olarak hedef makineyi bunaltabilir. Bazen ARP taşması olarak da bilinen bu saldırı türü, anahtarları hedeflemek için de kullanılabilir ve potansiyel olarak tüm ağın performansını etkiler. 

Oturum çalma

Oturum Ele Geçirme saldırıları, doğası gereği Ortadaki Adam’a benzer, ancak saldırganın trafiği kurban makineden hedeflenen varış noktasına doğrudan iletmemesi dışında. Bunun yerine saldırgan, kurbandan gerçek bir TCP sıra numarası veya web tanımlama bilgisi alır ve kurbanın kimliğini varsaymak için kullanır. Bu, örneğin, giriş yapmışlarsa hedef kullanıcının sosyal medya hesabına erişmek için kullanılabilir. 

ARP Zehirlenmesi Saldırısının Amacı Nedir?

Bilgisayar korsanlarının çok çeşitli nedenleri vardır ve ARP Zehirlenmesi de bir istisna değildir. Bir saldırgan, üst düzey casusluktan ağda kaos yaratma heyecanına kadar çeşitli nedenlerle ARP zehirlenmesi saldırısı gerçekleştirebilir. Olası bir senaryoda, saldırgan belirli bir alt ağ için varsayılan ağ geçidi rolünü üstlenmek için sahte ARP iletileri kullanacak ve tüm trafiği yerel yönlendirici yerine saldırganın makinesine yönlendirecektir. Daha sonra trafiği gözetleyebilir, değiştirebilir veya bırakabilirler. Bu saldırılar, geride kanıt bırakmaları anlamında “gürültülü”dür, ancak ağın fiili işleyişine müdahale etmeleri gerekmez. Amaç casusluksa, saldıran makine trafiği orijinal hedefine ileterek son kullanıcıya herhangi bir şeyin değiştiğine dair hiçbir belirti vermez. 

Öte yandan, bir DoS saldırısının amacı, ağ işletiminde oldukça belirgin bir kesinti yaratmak olabilir. Bu, bir işletmenin faaliyet gösterme yeteneğinden mahrum bırakılmasını hedefleyebilirken, DoS saldırıları genellikle daha az yetenekli saldırganlar tarafından sorun yaratmanın keyfi için gerçekleştirilir. 

ARP Zehirlenmesi düşünüldüğünde içeriden saldırılar özellikle endişe vericidir. Sahte ARP mesajları yerel bir ağın sınırlarının ötesine ulaşmayacaktır, bu nedenle saldırı yerel olarak bağlı bir cihazdan gelmelidir. Dışarıdan birinin bir ARP saldırısı başlatması imkansız değildir, ancak önce yerel bir sistemi başka yollarla uzaktan tehlikeye atmaları gerekir. Bu arada, içeriden birinin yalnızca ağ erişimine ve bazı kolay erişilebilir araçlara ihtiyacı olacaktır. 

ARP Zehirlenme Saldırısının Etkileri Nelerdir?

Bir ARP Zehirlenmesi saldırısının en doğrudan etkisi, yerel ağdaki bir veya daha fazla ana bilgisayara yönlendirilen trafiğin bunun yerine saldırganın seçtiği bir hedefe yönlendirilmesidir. Bunun tam olarak ne gibi bir etkisi olacağı, saldırının özelliklerine bağlıdır. Trafik, saldırganın makinesine veya var olmayan bir konuma gönderilebilir. İlk durumda, gözlemlenebilir bir etki olmayabilir, ikincisi ise ağa erişimi engelleyebilir.

ARP önbellek zehirlenmesinin kendisinin kalıcı bir etkisi olmayacaktır. ARP girişleri, uç cihazlarda birkaç dakikadan anahtarlar için birkaç saate kadar herhangi bir yerde önbelleğe alınır. Saldırgan tabloları aktif olarak zehirlemeyi bırakır bırakmaz, bozuk girişler eskiyecek ve uygun trafik akışı kısa sürede yeniden başlayacaktır. ARP Zehirlenmesi tek başına kurban makinelerde kalıcı bir enfeksiyon veya dayanak bırakmaz. Ancak, bilgisayar korsanları çoğu zaman birçok saldırı türünü birlikte zincirler ve ARP zehirlenmesi daha büyük bir kampanyanın parçası olarak kullanılabilir.

ARP Zehirlenme Saldırıları Nasıl Önlenir

Statik ARP Tabloları

Bir ağdaki tüm MAC adreslerini doğru IP adreslerine statik olarak eşlemek mümkündür. Bu, ARP Zehirlenmesi saldırılarını önlemede oldukça etkilidir, ancak muazzam bir idari yük ekler. Ağda yapılacak herhangi bir değişiklik, tüm ana bilgisayarlarda ARP tablolarının manuel olarak güncellenmesini gerektirecek ve bu da statik ARP tablolarını çoğu büyük kuruluş için olanaksız hale getirecektir. Yine de, güvenliğin çok önemli olduğu durumlarda, statik ARP tablolarının kullanıldığı ayrı bir ağ segmenti oluşturmak, kritik bilgilerin korunmasına yardımcı olabilir.

Anahtar Güvenliği

Çoğu yönetilen Ethernet anahtarı, ARP Zehirlenme saldırılarını azaltmak için tasarlanmış özelliklere sahiptir. Tipik olarak Dinamik ARP Denetimi (DAI) olarak bilinen bu özellikler, her ARP mesajının geçerliliğini değerlendirir ve şüpheli veya kötü niyetli görünen paketleri bırakır. DAI ayrıca tipik olarak ARP mesajlarının anahtardan geçme hızını sınırlayacak ve DoS saldırılarını etkin bir şekilde önleyecek şekilde yapılandırılabilir.

DAI ve benzer özellikler bir zamanlar üst düzey ağ donanımlarına özeldi, ancak şimdi küçük işletmelerde bulunanlar da dahil olmak üzere hemen hemen tüm işletme düzeyindeki anahtarlarda ortaktır. Diğer anahtarlara bağlı olanlar dışındaki tüm bağlantı noktalarında DAI’yi etkinleştirmek genellikle en iyi uygulama olarak kabul edilir. Bu özellik önemli bir performans etkisi yaratmaz ancak DHCP Snooping gibi diğer özelliklerle birlikte etkinleştirilmesi gerekebilir. 

Bir anahtarda Bağlantı Noktası Güvenliğini etkinleştirmek, ARP Önbellek Zehirlenmesi saldırılarını azaltmaya da yardımcı olabilir. Bağlantı Noktası Güvenliği, bir anahtar bağlantı noktasında yalnızca tek bir MAC adresine izin verecek şekilde yapılandırılabilir ve bir saldırganın birden fazla ağ kimliğini kötü niyetli olarak üstlenme şansını ortadan kaldırır.

Fiziksel güvenlik

İş yerinize fiziksel erişimi uygun şekilde kontrol etmek, ARP Zehirlenmesi saldırılarını azaltmaya yardımcı olabilir. ARP mesajları yerel ağın sınırlarının ötesine yönlendirilmez, bu nedenle sözde saldırganlar kurban ağına fiziksel olarak yakın olmalı veya ağdaki bir makinenin kontrolüne zaten sahip olmalıdır. Kablosuz ağlar söz konusu olduğunda, yakınlığın, saldırganın doğrudan fiziksel erişime ihtiyacı olduğu anlamına gelmediğini unutmayın; bir sokağa veya park yerine uzanan bir sinyal yeterli olabilir. İster kablolu ister kablosuz olsun, 802.1x gibi teknolojilerin kullanımı yalnızca güvenilir ve/veya yönetilen cihazların ağa bağlanmasını sağlayabilir. 

Ağ İzolasyonu

Daha önce belirtildiği gibi, ARP mesajları yerel alt ağın ötesine geçmez. Bu, bir alt ağdaki bir saldırı diğerindeki cihazları etkileyemeyeceğinden, iyi bölümlere ayrılmış bir ağın genel olarak ARP önbellek zehirlenmesine karşı daha az duyarlı olabileceği anlamına gelir. Gelişmiş güvenliğin mevcut olduğu özel bir ağ segmentinde önemli kaynakları yoğunlaştırmak, bir ARP Zehirlenmesi saldırısının potansiyel etkisini büyük ölçüde azaltabilir.

Şifreleme

Şifreleme aslında bir ARP saldırısının gerçekleşmesini engellemese de, olası hasarı azaltabilir. MiTM saldırılarının popüler bir kullanımı, bir zamanlar yaygın olarak düz metin olarak iletilen oturum açma kimlik bilgilerini yakalamaktı. Web’de SSL/TLS şifrelemesinin yaygınlaşmasıyla bu tür saldırılar daha da zorlaştı. Tehdit aktörü hala trafiği kesebilir, ancak şifreli biçiminde onunla hiçbir şey yapamaz.  

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »