Arpspoof yerel ağlarda en çok karşılaşılan saldırılardan bir tanesi
olarak göze çarpmaktadır. Kısaca saldırgan hedef bilgisayarın arp
tablosundaki kayıtları değiştirirerek ön tanımlı ağ geçidi üzerinden
akacak trafiğin kendisi üzerinden akmasını sağlamasıdır. http://en.wikipedia.org/wiki/ARP_spoofing adresinden arpspoof ile ilgili daha fazla bilgi edinilebilir.
Bu saldırının önlemi için yapılabileceklere https://www.bilgiguvenligi.gov.tr/aktif-cihaz-guvenligi/ikinci-katman-saldirilari-1-3.html adresinden göz atılabilir.
Burada https://github.com/byt3bl33d3r/arpspoof/blob/master/arpspoof.py adresindeki örnek temel alınarak arpspoof saldırını gerçekleştirmek üzere dsniff paketi ile birlikte gelen arpsoof yazılımının parametre kullanımı baz alınarak bir geliştirme gerçekleştirilmiştir.
Yazılım scapy kütüphanesi kullanılarak geliştirilmiştir. Eğer sistemde yoksa kurulması gerekmektedir. Bu işlem apt-get paket yönetimini kullanan sistemlerde apt-get install python-scapy komutunun çalıştırılması ile gerçekleştirilebilir. Scapy ile ilgili daha fazla bilgi almak için http://www.secdev.org/projects/scapy/ adresine göz atılabilir.
https://github.com/galkan/tools/blob/master/others/programming/python/arpspoof.py adresinden yazılımın en güncel haline erişim sağlanabilmektedir.
Aşağıda gösterilen senaryo sanallaştırma ortamında gerçekleştirilmiştir.
Kurban bilgisayarın ön tanımlı ağ geçidi ip adresi 192.168.100.102
olarak belirtilmiştir. Bu durum aşağıdaki şekilde görülmektedir.
Yazılımın çalıştırılması gösterildiği gibi olmaktadır. Kurban bilgisayar ip adresi olarak 192.168.100.37 belirtilmiştir.
# ./deneme.py -i eth0 -t 192.168.100.37 192.168.100.2
[*] Re-arping network
192.168.4.1
.....
Sent 5 packets.
Saldırı sonrası kurban bilgisayara ait trafiğin sağlıklı bir şekilde
iletilebilmesi için linux sistemlerde ip forwarding'in aktive edilmesi
gerekmektedir. Bunun için kısaca belirtilen komutun işletilmesi
gerekmektedir.
# echo "1" > /proc/sys/net/ipv4/ip_forward
Saldırı öncesi kurban bilgisayar arp tablosu aşağıda gösterildiği gibi olmaktadır.
Saldırıs sonrası kurban bilgisayara ait arp tablosu aşağıda gösterildiği gibi olmaktadır.
Görüldüğü gibi saldırı sonrası kurban bilgisayara ait arp tablosunda ön
tanımlı ağ geçidi mac adresi olarak saldırgan bilgisayara ait mac kaydı
görülmektedir.
Yazar: Gökhan Alkan
Kaynak:
https://github.com/byt3bl33d3r/arpspoof/blob/master/arpspoof.py
http://www.secdev.org/projects/scapy/
https://www.bilgiguvenligi.gov.tr/aktif-cihaz-guvenligi/ikinci-katman-saldirilari-1-3.html
http://en.wikipedia.org/wiki/ARP_spoofing
https://github.com/galkan/tools/blob/master/others/programming/python/arpspoof.py
http://www.galkan.net/search?q=python
dns spoof ile arp spoof'un fark nedir? :)
YanıtlaSil