Ana içeriğe geç

MITM (The Man in The Middle)

Bu yazımızda, MITM saldırılarını ve bunların ettercap aracını kullanarak nasıl gerçekleştirileceğini öğreneceğiz.

Nedir

  • The Man in The Middle (MiTM), saldırganın iki eş arasında iletilen paketlerinde rastgele verileri okuyabileceği, değiştirebileceği veya ekleyebileceği bir saldırıdır. Saldırgan, iki eşin bağlantısı arasına oturur ve paketleri kontrol eder. Saldırının başarılı olması için bazı ön koşullar gereklidir.

  • Katman 2 ve katman 3 bağlantı noktalarında güvenlik eksikliği nedeniyle bu saldırı genellikle Local Area Network (LAN) içinde kullanılır.

ARP ve RARP

  • ARP (Address Resolution Protocol), bir yerel ağda IP adresi bilinen cihazın MAC adresini bulmak için kullanılır. Yerel ağda cihazlar birbirleri ile MAC adreslerini kullanarak iletişim kurarlar. Bir cihaz IP adresini bildiği bir cihaz ile iletişim kurarken MAC adresini bilmiyorsa ARP protokolü kullanarak bunu tespit eder.

  • RARP (Ters ARP), protokolü ARP’ın tersi işlemi yapar, yani hangi MAC adresinin hangi IP adresini kullandığını bulur.

ICMP

  • Internet Control Message Protocol, ağ paketi teslimi hakkında durum ve geri bildirim vermek için kullanılan 3. katman protokolüdür ve paket teslimi sırasında meydana gelen sorunlar hakkında bilgi sağlayabilir.

DHCP

  • Dynamic Host Configuration Protocol (DHCP), bir ana bilgisayara IP adresini, alt ağ maskesi ve varsayılan ağ geçidi gibi diğer ilgili yapılandırma bilgilerini otomatik olarak sağlayan bir istemci / sunucu protokolüdür. APIPA ile DHCP istemcileri, bir DHCP sunucusu bulunmadığında bir IP adresini ve alt ağ maskesini otomatik olarak yapılandırabilir.

Ettercap

  • Ettercap, Man in The Middle saldırıları için çok amaçlı bir sniffer / content filtresidir. Farklı protokoller (POP / HTPPS / HTTPS / SFTP) için bir paket dinleyiciyi birleştirir ve ayrıca şifre kırma özellikleri sunar.

  • Ettercap'i çalıştıralım;

ettercap -G
  • Gelen ekranda interface ve ayarları seçiyoruz.

mitm1

  • İki seçeneğimiz var;

  • Unified; Geçen tüm paketlere bakar.

  • Bridged; İki network arayüzü kullanır ve trafiği birinden diğerine iletir.

Kullanım

  • Sağ üstten ayarları açın ve hedef seçin.

  • Hedefi seçtikten sonra, çalıştırmak istediğimiz MiTM saldırısının türünü seçebiliriz:

ARP Poisoning: (ARP Zehirlemesi) Yerel bir alan ağı üzerinden sahte ARP mesajları göndermeyi içeren bir saldırıdır. Trafiği, başlangıçta amaçlanan ana bilgisayardan bunun yerine bir saldırgana yönlendirir.

ICMP Redirect: (ICMP Yönlendirmesi) Smurff saldırısı olarak da adlandırılan, hedeflenen kurbanın sahte IP'sine sahip çok sayıda Internet Control Message Protocol (ICMP) paketinin bir IP broadcast adresi kullanılarak bir bilgisayar ağına yayınlanmasıdır.

Port Stealing: Port hırsızlığı, birisinin başka bir porta yönlendirilen trafiği "çaldığı" bir saldırı türüdür. Bu saldırı, bir kişinin orijinal olarak başka bir bilgisayara yönlendirilmiş paketleri almasına olanak tanır.

DHCP Spoofing: DHCP Spoofing saldırısı, saldırganların hileli bir DHCP sunucusu kurduğu ve bunu bir ağdaki cihazlara sahte DHCP yanıtları göndermek için kullandığı bir saldırıdır. Saldırganlar genellikle bu saldırıyı Default Gateway ve DNS sunucularının IP adreslerini değiştirmek ve böylece trafiği kötü amaçlı sunuculara yönlendirmek için kullanır.

  • Saldırı olarak ARP Poisoning seçin ve bir açılır pencere göreceksiniz, (enable Sniff remote connections) etkinleştirin ve Tamam'a basın.

  • ARP Zehirlenme saldırısı otomatik olarak başlayacak ve artık hedef sunucumuzun trafiğini yakalayabiliriz.

  • Ettercap, ağ üzerinden gönderilen kimlik bilgilerini otomatik olarak yakalamaya çalışır.