Herkese selamlar bu yazımda sizlere ARP (Address Resolution Protocol) hakkında bilgiler vereceğim.
ARP aslında “Address Resolution Protocol”un kısaltması. Türkçeye çevirecek olursak “Adres Çözümleme Protokolü” gibi bir şey diyebiliriz ama adını hiç ezberlemeye gerek yok. Kısacası ARP bilgisayarların birbirlerine ulaşmak için IP adreslerini nasıl bulduğunu anlatan bir sistem.
Şöyle düşünebiliriz; senin bilgisayarın bir IP adresine sahip, örneğin 192.168.1.10. Bu IP adresi internetin ya da ağın içinde seni tanımlayan bir numara. Ama senin bilgisayarının aslında bir MAC adresi diye bir şey de var ve bu da bilgisayarının fiziksel kimliği diyebiliriz. MAC adresi her ağ cihazına özel verilen bir numara ve genellikle “00:14:22:01:23:45” gibi bir formata sahip. Bu MAC adresi için bilgisayarın ağdaki TC kimlik numarası diyebiliriz.
Ağdaki cihazlar birbirlerini IP Adresi kullanarak buluyor. Ama bu IP adreslerini alıp doğru MAC Adreslerine nasıl ulaşacağız? İşte burada ARP devreye giriyor.
ARP Çalışma Mantığı
Diyelim ki bilgisayarımızdan (192.168.1.10) başka bir bilgisayara (192.168.1.20) mesaj göndermek istiyoruz. Ama bilgisayarımız hedef bilgisayarın MAC adresini bilmiyor. Nasıl bir yol izlenebilir? Sırasıyla açıklayayım;
İlk olarak bilgisayarımız ağda bir “192.168.1.20 ! Senin MAC adresin ne?” diye mesaj yayınlar. Bu soruyu herkese bir broadcast olarak gönderir. Broadcast’i şimdilik ağdaki cihazların olduğu bir whatsapp grubuna yazılan herkesin görebileceği bir mesaj olarak düşünebiliriz. Yani ağdaki tüm cihazlar bu soruyu alır. Hedef bilgisayar (192.168.1.20) hemen cevabını verir: “Benim MAC adresim 00:14:22:67:89”. Böylece bilgisayarımız artık 192.168.1.20’nin MAC adresini öğrenmiş olur. Bundan sonra bilgisayarımızdan veri göndermek istediğimizde IP adresinin hangi MAC adresine karşılık geldiğini bilir ve veriyi doğru cihaza yönlendirir.
Şimdi bu anlatılanları Cisco Packet Tracer üzerinde simüle ederek görsellerle birlikte destekleyeceğim. Aşağıdaki görselleri inceleyelim;
Bu görselde iki bilgisayarın (Bilgisayar-1 ve Bilgisayar-2) ve bir switch’in bulunduğu ağ yapısının oluşturulduğumuzu ve her cihazın doğru şekilde bağlandığını gösteriyor.
Bu görselerde ise Bilgisayar-1 ve Bilgisayar-2’nin IP adreslerinin ve subnet maskelerinin nasıl yapılandırdığımızı görebilirsiniz.
Şimdi iki bilgisayardan da “arp-a” komutuyla arp tablosunu görüntüleyelim.
Görüldüğü gibi her iki bilgisayardan da “arp -a” komutuyla ARP tablosu sorguladıktan sonra her hangi bir kayıt görünmüyor. Bu bilgisayarlar arasında henüz bir iletişim olmadığı için ARP tablosunda karışık gelen MAC adreslerinin yer almadığını gösteriyor. Yani ağdaki bilgisayarlar henüz diğer bilgisayarların MAC adreslerini bilmiyor.
Şimdi Bilgisayar-1’den Bilgisayar-2’ye ping atarak bu süreci başlatacağız.
Şimdi ise iki bilgisayarda da tekrar bir “arp -a” komutuyla ARP tablosunu sorgulayalım.
Ping komutu gönderildikten sonra her iki bilgisayarın ARP tablosu artık IP adreslerine karşılık gelen MAC adreslerini listeliyor. Burada Bilgisayar-1’in ve Bilgisayar-2’nin 192.168.1.20 / 192.168.1.10 IP adreslerine ait MAC adreslerini öğrenmiş olduğunu ve tabloda ilgili kayıtların oluştuğunu görebiliyoruz.
ARP’nin nasıl çalıştığını, tablosunu ve bu süreci açıkladım. Şimdi ise ARP’nin yarattığı güvenlik açıklarını ve bu açıkların saldırganlar tarafından nasıl kötüye kullanıldıklarından bahsedeceğim.
ARP Spoofing
ARP Spoofing saldırganın ağda yer alan cihazların ARP tablosuna yanlış bilgiler ekleyerek hedef cihazların doğru MAC adresini yerine sahte bir MAC adresi kullanmasını sağlaması diyebiliriz. Bu işlem saldırganın ağa dahil olmasını sağlar ve ağdaki veri trafiğini manipüle etmesine olanak tanıyor.
Mesela bir saldırgan ağda başka cihazların ARP tablosuna sahte bilgiler ekliyor. Yani ağdaki bilgisayarların “bu IP’ye ait MAC adresi şu” dediği bilgiyi çalıyor ya da değiştiriyor. Bu durumda o cihazlar kendi adreslerini doğru şekilde güncelleyemiyorlar. Mesela saldırgan bir cihazın IP adresini alıp kendi MAC adresini o IP adresine bağlayabiliyor.
Bilgisayar-1’in amacı 192.168.1.20 adresine dosya göndermek olsun. Ama saldırgan Bilgisayar-1’e 192.168.1.20’ye ait MAC adresi olarak kendi MAC adresini gösteriyor. Bu durumda Bilgisayar-1 aslında 192.168.1.20’ye dosya göndereceğine saldırganın cihazına dosya gönderiyor.
ARP Poisoning
ARP Poisoning ARP Spoofing’e benzer ama burada saldırgan ağdaki her cihazın ARP tablosuna yanlış bilgiler yerleştiriyor. Bu şekilde ağdaki tüm cihazlar yanlış MAC adresine yönlendiriliyor ve ağda ciddi kesintiler veya veri kaybı yaşanma ihtimali meydana geliyor. Saldırgan hedef cihazların ARP tablosundaki her IP-MAC eşlemesini manipüle ederek ağdaki tüm cihazların yanlış cihazlarla iletişim kurmasına neden olabilir.
Örneğin saldırgan bir ağda her cihazın ARP tablosuna sahte MAC adresleri ekler ve tüm ağın trafiğini kendi cihazına yönlendirir. Bu, ağdaki tüm cihazların verilerinin saldırgan tarafından ele geçirilmesine neden olabilir. Aynı zamanda bu tür bir saldırı ağdaki cihazların birbirine veri gönderememesi gibi bir durumu da tetikleyebilir.
Man-in-the-Middle (Ortadaki Adam) Saldırısı
Man in the Middle Türkçeye “Ortadaki Adam” olarak çevrilebilecek bir saldırı türü. Bu saldırıda kötü niyetli bir kişi iki taraf arasında iletilen mesajlara araya giriyor ve gizlice iletişimi okuyor ya da değiştirebiliyor. Yani bir şekilde ağdaki iki cihazın mesela iki bilgisayarın iletişimini dinliyor.
ARP Spoofing ya da ARP Poisoning dediğimiz saldırı türü işte tam olarak bu açıklamadan kaynaklanıyor.
İşte bu noktada MITM (Ortadaki Adam) devreye giriyor. Saldırgan ağda iki cihaz arasında iletilen tüm verileri ele geçiriyor. Hem gönderen taraf hem de alan taraf aslında doğru kişiye veri gönderdiğini sanıyor ama arada saldırgan var. Buna hem dinleme (eavesdropping) hem de veri manipülasyonu (tampering) diyebiliriz.
ARP Spoofing / Poisoning’i Önlemek İçin Ne Yapabiliriz?
Statik ARP Tabloları Kullanmak: Ağdaki cihazlara sabit ARP kayıtları ekleyebiliriz. Bu sayede ARP tablosu değiştirilemez ve IP-MAC eşleşmeleri korunmuş olur.
Komut satırını açarak arp -s 192.168.1.10 00-14-22-67-89-AB komutunu kullanarak sabit bir ARP girişi ekleyebiliriz.
ARP Spoofing Tespit Yazılımları Kullanmak: Ağımızdaki ARP trafiğini sürekli izleyebilecek yazılımlar kullanabiliriz. Bu yazılımlar şüpheli ARP aktivitelerini tespit edip seni uyarabilir. Mesela iki cihazın aynı MAC adresini aldığı bir senaryoda bunu tespit edebilen yazılımlar var.
Bu yazılımlara örnek olarak XArp‘ı örnek verebiliriz. XArp ARP Spoofing saldırılarını tespit etmek için kullanılan popüler bir açık kaynaklı yazılımdır. Hem Windows hem de Linux üzerinde çalışabilir. XArp ağdaki cihazların ARP trafiğini analiz ediyor ve şüpheli ARP mesajlarını (sahte IP-MAC eşleşmeleri) tespit ediyor. XArp genellikle tespit edilen sahte ARP kayıtları hakkında kullanıcıyı uyarıyor ve saldırının hangi cihazlardan geldiğini gösteriyor.
Wireshark, ARPwatch, Ettercap gibi yazılımları da örnekler listesine ekleyebiliriz.
VLAN’lar Kullanmak: VLAN’lar ağı bölgelere ayırarak her bölgenin birbirinden izole olmasını sağlıyor. Yani internete bağlanma anında şifreli bir bağlantı sağlıyor. Bu da saldırganın bir cihazdan diğerine kolayca geçmesini engelliyor.
Ağ Güvenlik Protokollerini Etkinleştirmek: Güvenli ağ protokollerini kullanmak verinin şifreli bir şekilde iletilmesini sağlıyor ve saldırganların veriyi ele geçirmesini zorlaştırıyor. Mesela HTTPS, SSH gibi protokollerle güvenli iletişim sağlanabilir.
Okuduğunuz için teşekkürler.