Ana içeriğe geç

Siber Güvenliğe Giriş

Giriş

Bu döküman Linux işletim sisteminin Ubuntu dağıtımı üzerinde hazırlanmıştır. İlgili sistem bilgileri aşağıda bulunmaktadır.

[email protected]:~# cat /etc/lsb-release 
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=20.04
DISTRIB_CODENAME=focal
DISTRIB_DESCRIPTION="Ubuntu 20.04 LTS"

[email protected]:~# cal
   September 2020     
Su Mo Tu We Th Fr Sa  
       1  2  3  4  5  
 6  7 [8] 9 10 11 12  
13 14 15 16 17 18 19  
20 21 22 23 24 25 26  
27 28 29 30

Sanal Makina (VMware vb.) Ağ Yapılandırması

Kurduğumuz sanal makinenin Network adaptör modlarının ne anlama geldiğine bakalım

NAT Mod

Kullandığımız sanal işletim sistemine IP adresi, sanal ağ kartı tarafından atanıyor. Bu durumda NAT modunda olan bir cihaz fiziksel işletim sistemi ile aynı networke çıkamıyor veya iletişim kuramıyor.

  • Örnek olarak VMware'yi kurduğum Windows cihazımın private IP adresi 192.168.1.6, NAT modunda olan Ubuntu makinemin IP adresi 192.168.249.130 şeklindedir.
  • Private & public IP > Private özel IP adresidir. Yalnızca yerel ağda çalışır. 0.0.0-10.255.255.255, 16.0.0-172.31.255.255, 192.0.0 olarak Özel IP adresleri bu alt ağlardan çalışır. En çok aşina olduğumuz 192 dir. Public yani genel IP adresi internette kullanılan genel global adrestir. İnternete erişmek için kullanılır.

Bridge Mod

Bridge Mod ile sanal makinemiz IP isteğinde bulunduğunda, IP isteği sanal ağ kartından değil, üzerinde çalıştığı fiziksel makinanın ağ kartından karşılanır ve IP adresi atanır

  • Örnek olarak Windows cihazımız 192.168.1.7 IP adresine sahip ise ilgili sanal makine 192.168.1.8 IP adresine sahip olabilir.

Host Only Mod

Bu mod sanal makineler için özel bir ağ oluşturmamızı sağlar. Sanal makineler İnternet'e çıkamaz fakat kendi aralarında haberleşebilir

  • Örnek olarak iki adet sanal makine kurduk. Bu iki makine internete çıkamaz herhangi bir paket vs indiremez ancak birbirleri arasında iletişim kurabilir.

Ağlara Giriş

İletişim Nedir?

İsim olarak; duygu, düşünce veya bilgilerin akla gelebilecek her türlü yolla başkalarına aktarılması, bildirişim, haberleşme, komünikasyon. (TDK, 2020) Teknik olarak; Telefon, telgraf, televizyon, radyo vb. araçlardan yararlanarak yürütülen bilgi alışverişi, bildirişim, haberleşme, muhabere, komünikasyon. (TDK, 2020)

Ağ Nedir?

Kendisini oluşturan yapıda çalışan, en az iki birimin ortak bir amaç için daha önce belirledikleri protokollerle bir iletişim hattını kullanarak yaptıkları haberleşme ya da iletişim sisteminin genel adıdır.

Önemli Ağ Terimleri

Sunucu

Kısaca sunucu; bulundukları ağlarda diğer ağ bileşenlerinin kendilerine erişip işlem yapmalarını sağlayan, genellikle ortak bir amaç için çalışan, kendi kaynaklarını erişime açmış cihazlardır. Genellikle client (istemci) cihazlardan güçlüdürler.

Hyperconverged Cihazlar

Sanal platformlar için geliştirilmiş özel ürünlerdir. Kısaca; Data Center'larda bulunan donanımları (Storage, SAN Switch vd.) birleştirerek tek bir mimari çatı altında toplayan, yönetimi, ekonomiyi ve performansı birleştiren ürünlerdir.

  • Eskiden yani sanallaştırmadan önce farklı bir sistem kullanılıyordu, Eski klasik mimaride her bir rol için farklı sunucular bulunuyordu. Yani her bir servis için bir fiziksel sunucu barındırıyorduk. Daha sonra sanallaştırmanın mümkün olması ile bu servisler tek bir makinenin içerisinde bölümlenerek kullanılmaya başlandı. Ancak bu kullanım sırasında da bir storage katmanımız bulunuyordu. Hyperconverged ile Storage, compute ve network tek bir çatı altında çalışabiliyor.
  • Hyperconverged Storage, Compute ve Network mimarisinin bütünleşik olarak sunulduğu sunucu altyapısıdır.

Uç Sistemler - Uç Birimler

Uç sistemler terimi tek bir cihazı temsil etmemektedir. Hostlardan (sunucu) hizmet alan ya da tek başına çalıştığında da işlem gücüne sahip olan cihazların (laptop, masaüstü, akıllı telefon, TV vd.) tümüne Uç Sistemler denmektedir.

Paketler

Demiştik ki İnternet; cihazların birbirleriyle iletişime geçip işlem yapmasını sağlayan bir ağdır. Bu cihazlar birbirleriyle iletişime geçerken paketlerden yararlanırlar. Yani bir cihazın başka bir cihaz ile ileteceği veriye, ilgili başlıkları (header, web geliştirme ile ilgilenenler bilirler -> text/html vb.) ekleyip, tek seferde ağa bırakılacak maksimum veri miktarına göre (MTU) küçük parçalara bölme işlemi sonucunda elde edilen veri parçacıklarıdır.

Veri İletişimi (Data Transmission)

Bir ağı oluşturan hostların (sunucu) ve uç sistemlerin aralarında yapmış oldukları veri alış-verişine verilen isimdir. Veri iletiminde beş bileşen vardır. Bu beş bileşenin yegane amacı veriyi istenilen zamanda, doğru hedefe, veri kaybı olmadan iletmektir. Veri İletişimi'nin beş bileşeni:

  • Sender (Gönderen) Ağ ortamında mesajı oluşturan ve oluşturduğu mesajı ortama bırakan cihazlardır. Genellikle host (sunucu)'lardır.

  • Receiver (Alıcı) Ağ ortamında kendisi için sender tarafından gönderilen mesajı alan cihazlardır. Genellikle uç sistemlerdir. Aynı zamanda alıcılar hedef olarak da adlandırılabilirler.

  • Message (Mesaj) Sender'dan receiver'a gönderilmesi için ağ ortamına bırakılan veriye mesaj denir.

  • Medium (Ortam) Sender'dan receiver'a mesajın ulaşması için kullanılan yola medium (ortam) denir. Bilgisayar ağında bu yol; fiber optik kablolar, bakır kablolar ve kablosuz ortamlardır.

  • Protocol (Protokol) Sender'dan receiver'a bir medium kullanılarak gidecek mesajın, eksiksiz ve zamanında iletilmesinin sağlanması için önceden tanımlanmış kurallar bütünüdür.

Ağ Protokolü Nedir?

Farklı ağ ortamları arasında iletişimin sağlanmasında, adreslemenin yapılmasında, hata kontrolünün yapılmasında ve olası hata durumunda paketlerin yeniden gönderilmesinde sorumlu olan protokollerin tamamıdır. Veri iletim aşamalarının tamamını denetleyen kurallar bütünüdür.

TCP/IP

  • TCP ve IP her ne kadar birlikte kullanılsalar da aslında iki farklı ağ protokolüdür
  • Popüler olmaları ve geniş kabul görmeleri nedeniyle, ağa bağlı cihazların işletim sistemlerinde kurulmuştur
  • TCP/IP 4 katmandan oluşur
  • IP protokolü network; yani Layer 2'de (2. katman) çalışır
  • TCP protokolü taşıma yani Layer 3'te (3. katman) çalışır.

Aşağıdaki şemadan hangi katmanda hangi protokollerin çalıştığını görebilirsiniz.

  • Application Layer (Uygulama Katmanı)

En üst katmandır.Bu katmanda sender'dan receiver'a gidecek veriyi göndermek için uygulamalara ihtiyaç duyulur. Veri göndermek istenen uygulama ve kullandığı dosya biçimi tespit edilerek gönderilen verinin türüne göre farklı protokoller çalıştırılır (HTTP, FTP vb.).

  • Transport Layer (Taşıma Katmanı)

Verinin sender'dan receiver'a ne şekilde gönderildiğinin belirlendiği/görüldüğü katmandır. Aynı zamanda flow control (veri akış kontrolü), error control (hata kontrolü) vb. işlemlerin de yapıldığı katman olarak bilinir

TCP (Transmission Control Protocol)

İhtiyacımız olan hatasız ve sıralı biçimde veri iletilmesi ise TCP kullanmak bizim için daha faydalı olacaktır. TCP'de iki cihaz arasında veri iletiminin sağlanması için 3-Way Handshake bağlantısı sağlanır

UDP (User Datagram Protocol)

Eğer ihtiyacımız olan hız ise UDP kullanmak bizim için daha faydalı olacaktır. UDP'de TCP'den farklı olarak ihtiyacımız olan paketlerin karşı tarafa gidip gitmemesi önemsenmez. Yani 3-Way Handshake yoktur. Flow control ve tekrar iletim işlemlerinin yapılmamasından dolayı iletim süresi daha azdır. SNMP, TFTP gibi protokoller UDP kullanarak çalışır

  • Internet Layer (İnternet Katmanı)

Bu katmana bazı yerlerde IP Katmanı da denmektedir. Bu katmanda sender ve receiver IP adresleri veriye eklenerek verinin en son gideceği adresler belirlenmiş olur. IP adreslerinin eklenmesiyle, veriyi de içeren yeni veri bloğuna DATAGRAM denir. ICMP,ARP,IP,IGMP, gibi protokoller bu katmanda çalışır

  • Network Interface Layer (Ağ Arayüzü Katmanı)

Genelde ağ donanımlarıyla sender arasındaki fiziksel arabirim olarak bilinen katmandır. Bazı yerlerde Veri Bağlantısı katmanı da denmektedir

10-tcp-ip-architect

Port Numarası Protokol Uygulama
20 TCP FTP data
21 TCP FTP Kontrol
22 TCP SSH
23 TCP Telnet
25 TCP SMTP
53 UDP,TCP DNS
67,68 UDP DHCP
69 UDP TFTP
80 TCP HTTP
110 TCP POP3
161 UDP SNMP
443 TCP SSL
16,384-32,767 UDP RTP-based Voice and Video

TCP/IP Katmanlarında Kullanılan Bazı Protokoller

  • ICMP (Internet Control Message Protocol)

İnternet Yönetim Mesajlaşma Protokolü. Ağa bağlı cihazlarla ilgili hata ve türlü bilgi mesajlarını ileten protokoldür. Önemli ve temel bir network protokolüdür.

  • SMTP (Simple Mail Transport Protocol)

Basit Posta Taşıma Protokolü. E-posta sunucusu ile makinemiz arasındaki e-posta gönderme işleminin kurallarını belirleyen protokoldür. E-postaları almak için IMAP ve POP3 protokolleri ise alt protokoller olarak kullanılır. Ülkemizde SMTP'nin 25. portunun bazı ISP'ler tarafından kapatılması durumunda 587. port kullanılmaktadır.

  • SNMP (Simple Network Management Protocol)

Basit Ağ Yönetim Protokolü. Ağımızda gözlemleme (monitoring) işlemleri yapmamızı sağlayan protokoldür.

  • TELNET (Telecomunication Network)

Hostlara, ağ cihazlarına terminal bağlantısı gerçekleştirmek üzere geliştirilmiş bir protokoldür.

  • FTP (File Transfer Protocol)

Dosya Aktarım Protokolü. TCP/IP ağında iki cihaz arasında dosya aktarımı yapabilmeleri için geliştirilmiştir.

  • HTTP (Hypertext Transfer Protocol)

Hiper Metin Aktarım Protokolü. TCP/IP ağlarında yaygın olarak WEB sayfalarının görüntülenmesi için kullanılır.

  • HTTPS (Secure Hypertext Transfer Protocol)

Güvenli Hiper Metin Aktarım Protokolü. HTTP'ye SSL(Secure Socket Layer) yani güvenli soket katmanının eklenmesiyle elde edilen bir protokoldür.

OSI (Open Systems Interconnection) Referans Modeli

  • ISO tarafından 1970'lerin sonunda piyasaya çıkartılmıştır. Bir referans modelidir

  • Ağların oluşturulması sırasında donanımsal ve yazılımsal çözümleri düzenleyen standarttır

  • Ağ ile etkileşime sahip uygulamaların birbirleriyle nasıl, ne şekilde iletişim kuracaklarını tanımlar. 7 katmandan oluşur

  • OSI bir standart olmasından dolayı ortama göre değişiklik göstermez

  • Katmanlar 1'den 7'ye doğru hareket edebildiği gibi 7'den 1'e doğru da hareket edebilir. 7 katman birbirleri ile ilişki içerisindedir

  • OSI Referans Modelini 2 büyük grup altında toplayabiliriz

  • İlk grup 1. Layer'dan 4. Layer'a kadardır. 1. ve 4. Layer'lar bu gruba dahildir. Bu ilk grubun amacı sender'dan çıkan verinin receiver'a ulaşmasının nasıl olduğunu açıklayan bölümdür

  • İkinci grup ise 7.,6. ve 5. Layer'lardan oluşur. Bu son grup; cihazların üzerinde çalışan uygulamalar ile nasıl etkileşime geçeceğini belirler

Bazı cihazlar bu 7 katmanda da çalışabilirler. Bunlar:

  • Web sitelerinin ya da uygulamalarının bulunduğu sunucular

  • Ağda bulunan hostlar

  • Ağ yönetim istasyonları ya da yabancı isimlendirilmesiyle NMS'ler

  • Gateway (Geçit yolu) cihazları

agkatmanlari

OSI Referans Modelindeki 7 Katman

  • Physical Layer (Fiziksel Katman) - Layer 1

Fiziksel bağlantı sağlandıktan sonra veriler 1 ve 0'lara çevrilerek (binary transmission) taşınırlar. Arayüz bağlantısının belirlendiği katmandır. Kablolar ve Hub'lar bu katmanda çalışır

  • Data Link Layer (Veri Bağlantı Katmanı) - Layer 2

MAC adresi anlamına gelir. Switch Bridge ve Ethernet kartı gibi cihazların bulunduğu katmandır. Verinin fiziksel olarak aktarılmasının gerçekleştiği katmandır. Aynı zamanda hata bildirmek de bu katmanın görevidir

  • Network Layer (Ağ Katmanı) - Layer 3

Bu katmanda IP protokolü kullanılır. Cihaz olarak bakarsak Router'lar bu katmanda çalışır. Local olarak birbirlerine bağlı olamayan cihazların veri trafiklerini en verimli yoldan birbirlerine aktardıkları katman Network katmanıdır

  • Transport Layer (İletim Katmanı) - Layer 4

Bu katmanda uçtan uca bağlantı sağlanır. Verilerin bozulmaya uğramadan iletilmesi, akış kontrollerinin yapılması, hata ile karşılaşılırsa verinin sender'dan yeniden istenmesi vb. işlemler bu katmanda yapılır. Bu katmanda iletim 2 türlü yapılır. TCP veya UDP

  • Session Layer (Oturum Katmanı) - Layer 5

Oturum açma vb. işlemlerin yapıldığı katmandır. Anlık mesajlaşmanın yapıldığı yazılımlar bu katmanı bolca kullanmaktadır

  • Presentation Layer (Sunum Katmanı) - Layer 6

Verilerin belirli formatlara bölünmeye veya toplanmaya başladığı katmandır. 7. katmana 5. katmandan gelen veriyi iletmek ya da tam tersini yapmak için veriyi kodlayarak ya da çözerek sunan katmandır

  • Application Layer (Uygulama Katmanı) - Layer 7

Uç noktada, yani son kullanıcıda çalışan katmandır. Kısaca kullanıcıların ağ kullanarak gönderilen ya da gönderilecek paketlerle bilgisayar ekranlarında veya ağ cihazlarında iletişime geçtiği katmandır

agkatmanlari

MAC Adresi

  • Aslında bir Ağ protokolü değildir

  • Network'de (ağ) bulunan her cihazın sahip olduğu, başka ağlara dahil olduğunda bile değişmeyen bir adresi vardır. Bu adres 48 bitlik MAC adresidir. Fakat istenirse bu adres manuel olarak değiştirilebilir!

  • Ağda bulunan her bir cihaza ait ağ kartı (NIC) tek bir MAC adresine sahiptir (örnek: 281,321,675,498,362). Cihazlar birbirleriyle iletişim kurarken MAC adresleri üzerinden iletişim kurarlar

ISP

İnternet Servis Sağlayıcı demektir. İnternet'i belirli ücretler veya yasalar, sözleşmeler vb. karşılığında bize ulaştıran şirket veya kuruluşlardır (Türk Telekom vb.).

IP

  • Fiziksel ya da sanal olarak bir ağa katılan her bir cihazın(birimin) sahip olduğu (olması gereken) ve dahil olduğu ağda sadece o cihaz için tahsis edilmiş, çeşitli kurallara göre tasarlanmış sayısal kimliktir

  • Günümüzde iki sürümü bulunmaktatır. Versiyon 4 (IP/v4) ve Versiyon 6 (IP/v6)

  • Local IP adreslerimiz ile Public IP adreslerimiz farklı kavramlardır

  • Local IP; kullandığımız cihaza, interneti aldığı cihaz (modem vb.) tarafından atanan IP adresidir. ifconfig komutu ile Local IP adresimizi öğrenebiliriz.

# ifconfig
>>> eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.87  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::76e6:e2ff:fe28:35bc  prefixlen 64  scopeid 0x20<link>
        ether 74:e6:e2:28:35:bc  txqueuelen 1000  (Ethernet)
        RX packets 148083  bytes 182884871 (174.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 67865  bytes 10050056 (9.5 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
  • Public IP; bize ISP(İnternet Servis Sağlayıcı Türk Telekom vb.) tarafından verilir. İnternet'e bu IP adresi ile çıkarız

DNS (Domain Name Server)

  • İnternet ağ yapısında her cihaz bir IP adresine sahiptir. Kısaca DNS'ler IP adreslerinin domain'lere (alan adı) aktarılmasını sağlar

  • Aslında www.domainim.com 'a gittiğimizde domain.com'a değil, bu domainin host edildiği sunucunun (host) IP adresine istek atarız. Bu IP adresini çözümleyen sistem DNS'dir. Ufak bir örnek yaparak daha iyi pekişmesini sağlayalım

# ping google.com
>>> PING google.com (216.58.206.174) 56(84) bytes of data.
64 bytes from sof02s27-in-f14.1e100.net (216.58.206.174): icmp_seq=1 ttl=53 time=40.5 ms
  • Gördüğümüz gibi google.com'a gitmek istediğimizde, o domainin IP adresini (216.58.206.174) çözümleyen sistemdir

ARP (Address Resolution Protocol)

OSI Layer 3'de verilen IP adreslerinin, Layer 2'deki MAC adreslerine çözümlenmesini sağlayan bir protokoldür. STD 37 kodlu bir İnternet standardıdır. Kısaca Adres Çözümleme Protokolü diyebiliriz. Bir IP adresinin hangi internet arayüzü tarafından kullanıldığı bulmaya yarar

VPN (Virtual Private Network)

Sanal Özel Ağ demektir. Uzaktan erişim yoluyla farklı ağlara bağlanabilmeyi sağlayan teknolojidir. VPN sanal bir ağ uzantısı oluşturduğundan, VPN kullanarak bir ağa sanal olarak bağlandığımız cihaz, sanki fiziksel olarak bağlıymış gibi veri alış-verişi yapabilir

Firewall (Güvenlik Duvarı)

Yerel ağımız ile dış ağlar arasındaki iletişimin güvenliğini sağlayan yazılım ve donanımlardır. Dilersek yerel ağdaki iletişimi de kontrol edebilecek şekilde yapılandırabiliriz. Güvenlik Duvarı üzerinde politikalar belirlenebilir. Bu politikalara 'rule' denmektedir. Tanımlanmış rule'lar sayesinde hangi data paketlerinin iletilip iletilmeyeceği, erişim engellemeleri, kimlerle iletişime geçilebileceği vs. belirlenebilir.

UFW (Uncomplicated Firewall)

UFW bir güvenlik duvarı yönetim aracıdır

  • apt-get install ufw diyerek aracı sistemimize kurabiliriz

  • ufw enable UFW'yi etkinleştirebiliriz

  • ufw disable UFW'yi pasifleştirebiliriz

  • Mevcut UFW'ye ait kurallar dizisini görmek için ufw status verbose komutunu kullanabiliriz

  • Kural içerikleri etc/ufw altında .rules uzantısı ile biten dosyalarda yer almaktadır

  • UFW üzerinde 2 farklı davranış belirleyebiliriz. allow ile gelen isteklere izin verebilir ve deny ile gelen istekleri reddedebiliriz

  • allow içeren kuralların tanımlanmasının temel yapısı şu şekildedir -> ufw allow <port>/<optional:protocol>

ufw allow 53/tcp -> yalnızca 53. port üzerinden gelen TCP protokollere izin verdik

  • deny içeren kuralların tanımlanmasının temel yapısı şu şekildedir -> ufw deny <port>/<optional:protocol>

ufw deny 53 -> yalnızca 53. port'tan gelen istekleri kapattık

  • Belirli subnete izin vermek için temel komut dizilimi şu şekildedir -> ufw allow from <subnet_ip>

ufw allow from 192.168.1.0/24

  • Belirli bir IP adresine erişim izni vermek istersek temel komut dizilimi -> ufw allow from <IP>

ufw allow from 10.50.1.55

  • Belirli bir IP adresine ve yalnızca bir port için erişim izni vermek istersek temel komut dizilimi -> ufw allow from <IP> to any port <port_number

ufw allow from 10.50.1.55 to any port 22

  • Bazı durumlarda kuralların birbirini bastırdığı durumlar olabilir. Mesela SSH bağlantılarını tümüyle kapatan bir kural ekledik. Daha sonra sadece bir adres için SSH izni verdik. Bu durumda ilk eklediğimiz kural etkin olacaktır ve belirlediğimiz IP de SSH ile bağlanamayacaktır. Bunun önüne geçmek için araya kural eklemesi yapabiliriz

ufw insert 1 allow from <IP> to any port <port_number>

  • Berlirli bir IP adresi veya subnet için protokol sınırlaması getirebiliriz

ufw insert 1 allow from <IP> to any port <port_number> proto <protokol> -> ufw insert 1 allow from 10.50.1.55 to any port 22 proto tcp

  • UFW üzerinde kural kaldırmak istersek eklediğimiz rule'a delete eklememeiz yeterli olacaktıR

ufw deny 80/tcp ufw delete deny 80/tcp

  • Ya da tüm kurallar içerisinden belirlediğimizi silmek istersek ufw status numbered ile belirlediğimiz tüm rule'ları listeleyebiliriz. Ardından silmek istediğimizin numarasını argüman olarak yollayarak silebiliriz

ufw delete <numara> -> ufw delete 1 gibi

  • UFW etc/services altına da erişebildiği için hizmet (service) adına göre de rule ekleyebiliriz. Temel komut dizilimi şu şekildedir -> ufw deny <service>

ufw deny ssh -> ssh servisini devre dışı bıraktık, bağlantıları engelledik

  • UFW loglama için ekstra bir argüman yollanmadığı sürece low level loglama yapar. Temel komut dizilimi şu şekildedir -> ufw logging <log_level> -> ufw logging off vb. Loglama için seçenekler şunlardır:

low -> düşük seviye loglama medium -> orta seviye loglama high -> yüksek seviye loglama full -> en yüksek seviye, detaylı loglama off -> loglama kapalı

Cihazların İletişime Başlaması

Cihazlar iletişime başlamadan önce kendi aralarında bir iletişim şekli belirlerler. Aynı zamanda veri iletiminin doğru ve düzenli olması açısından bir de protokol belirlenir

Handshake (3-Way Handshake)

El sıkışma anlamına gelir. İletişime başlayacak iki cihazın da karşılıklı anlaşmasına handshake denir. TCP protokolüne göre iki taraf iletişime el sıkışarak başlar

Syn Paketi

Senkronizasyon paketi anlamına gelir. İletişim başlatmak isteyen cihaz, iletişime geçmek istediği cihaza ilk önce Syn paketi gönderir

ACK Paketi

Kabul paketi anlamına gelir. İletişime geçilmek istenen cihaz kendisine Syn paketi gelmesi durumunda sender'a Syn + ACK paketi gönderir ve sinyali alıp cevap verebilir durumda olduğunu işaret eder

agkatmanlari

VPN Kullanımı

  • Dilersek işlemlerimize başlamadan önce www.whatismyip.com üzerinden Public IP adresimizi görüntüleyebiliriz

  • VPN kullanmak için VPN Book denilen aracı kullanmaktayız.

Öncelikle bir adet VPN Book'a ihtiyacımız vardır. Bunu internette arama yaparak rahat bir şekilde temin edebiliriz (www.vpnbook.com vb.). OpenVPN türünde bir VPN Book indirmemiz gerekmektedir. İndirdiğimiz VPN Book'ları openvpn komutu ile çalıştırarak VPN'i aktif edebiliriz. Username ve Password genelde VPN Book'u indirdiğimiz sitede bulunmaktadır. En son satırdaki output'u alırsak VPN'i başarılı bir şekilde aktif etmişiz demektir. ctrl + c kombinasyonu ile işlemi bitirebiliriz.

Örnek Uygulama

aciklamaaa

  • Ubuntu 20.04 makinezizin terminal ekranına gelin
  • Gerekli güncelleştirmeleri ve araçları indirelim
apt-get update && apt-get install wget && apt-get install unzip && apt-get install openvpn
  • wget yazıp demin kopyaladığımız linki yapıştıralım
wget https://www.vpnbook.com/free-openvpn-account/VPNBook.com-OpenVPN-PL226.zip
  • ls yapalım ve inen dosya adını görelim
ls
  • Zip dosyasını açalım
unzip VPNBook.com-OpenVPN-PL226.zip
  • 4 dosya çıktı. Hepsinin portu farklı
[email protected]:~# unzip VPNBook.com-OpenVPN-PL226.zip 
Archive:  VPNBook.com-OpenVPN-PL226.zip
  inflating: vpnbook-pl226-tcp443.ovpn  
  inflating: vpnbook-pl226-tcp80.ovpn  
  inflating: vpnbook-pl226-udp25000.ovpn  
  inflating: vpnbook-pl226-udp53.ovpn  
  • 80 Portuna bağlanalım
  • Size username ve password sorcaktır fotoğraftaki 3 numaradaki bilgileri girin
openvpn vpnbook-pl226-tcp80.ovpn
  • ifconfig ile IP adreslerinizi görüntüleyin
  • Ek olarak bunu göreceksiniz, sizde değişik olabilir
tun3: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.12.0.30  netmask 255.255.255.255  destination 10.12.0.29
        inet6 fe80::3cbd:e852:714e:dfc2  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 41  bytes 30654 (30.6 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 54  bytes 10160 (10.1 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Dark Web

  • Öncelikle bu bölüme Dark Web != Deep Web diyerek başlamakta fayda var :)
  • İnsanların erişiminin olmadığı, arama motorlarının indexlemediği herhangi bir içerik Deep Web içerisinde yer almaktadır/ Deep Web olarak adlandırılmaktadır.
  • Bunlara örnek olarak Cloud'a atılan fakat sadece bizim erişimimiz olan dosyalar vs. verilebilir.
  • Dark Web ise; insanların erişimlerinin kısıtlandığı, özel VPN'ler ile (Tor Browser) girilebilen web siteleri topluluğudur. Kısaca Tor Browser ise; kullandığımız süre boyunca VPN'imizi sürekli değiştirmemizi sağlar ve IP adresimizi sürekli olarak değiştirir. Bu sayede IP adresimizin izinin sürülmesi zorlaşır. VPN içinde VPN içinde VPN şeklinde düşünebiliriz.

Ufak Bir Terminal Trick'i

Linux dağıtımlarında; Normal yetkilere sahip kullanıcılar tarafından çalıştırılan komutlar $ ile başlarken.

$ ifconfig
>>> eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.87  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::76e6:e2ff:fe28:35bc  prefixlen 64  scopeid 0x20<link>
        ether 74:e6:e2:28:35:bc  txqueuelen 1000  (Ethernet)
        RX packets 148698  bytes 183420481 (174.9 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 68290  bytes 10119801 (9.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Üst düzey yetkili root kullanıcılar tarafından çalıştırılan komutlar # ile başlar.

# ifconfig
>>> eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.87  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::76e6:e2ff:fe28:35bc  prefixlen 64  scopeid 0x20<link>
        ether 74:e6:e2:28:35:bc  txqueuelen 1000  (Ethernet)
        RX packets 148715  bytes 183426397 (174.9 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 68308  bytes 10123370 (9.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Ağlara Saldırmak

Dökümanımızın bu bölümünde bolca wlx000f02b01c0b argümanını göreceğiz. Ağ arayüzümüzü temsil eder. Benim cihazımda wlx000f02b01c0b olarak gözüktüğü için argüman olarak wlx000f02b01c0b gönderiyorum. Döküman boyunca wlx000f02b01c0b gördüğümüz yerlerin argüman olduğunu ve kendinize ait işlem yapmak istediğiniz ağ arayüzünüzü kullanmanız gerektiğini lütfen unutmayın.

  • Ağ arayüzlerimizi listelemek ve öğrenmek için ifconfig komutunu kullanabiliriz

  • Sadece wireless arayüzlerimizi listelemek için ise iwconfig komutunu kullanabiliriz

  • Bilgisayarıma ekstra wireless adaptör taktım ve VMware üzerinden algılanmasını sağladım
[email protected]:~# iwconfig
lo        no wireless extensions.

wlx000f02b01c0b  IEEE 802.11  ESSID:off/any  
          Mode:Managed  Access Point: Not-Associated   Tx-Power=0 dBm   
          Retry short limit:7   RTS thr:off   Fragment thr:off
          Encryption key:off
          Power Management:on

ens33     no wireless extensions.

Saldırı Öncesi Ayarlar

MAC Adresi Değiştirmek

Cihazlar birbirleriyle iletişim kurarken MAC adresleri üzerinden iletişim kurarlar. Fakat bunu sistemsel olarak değiştirebiliriz

  • ifconfig wlx000f02b01c0b down ağ arayüzümüzü düşürüyoruz, servis dışı bırakıyoruz
ifconfig wlx000f02b01c0b down
  • macchanger indiriyoruz
apt install macchanger
  • macchanger wlx000f02b01c0b --random komutu ile ilgili ağ arayüzümüzün MAC adresini değiştiriyoruz. Çıktıdan da görüleceği üzere MAC adresi başarılı bir şekilde değişmiş oldu
[email protected]:~# macchanger wlx000f02b01c0b --random
Current MAC:   00:0f:02:b0:1c:0b (Digicube Technology Co., Ltd)
Permanent MAC: 00:0f:02:b0:1c:0b (Digicube Technology Co., Ltd)
New MAC:       f2:de:05:f5:35:b3 (unknown)
  • ifconfig up komutu ile tekrar ağ arayüzümüzü aktif hale getiriyoruz
ifconfig wlx000f02b01c0b up

Monitor ve Managed Mod

  • Ufak bir not: wlx000f02b01c0b ve wlan0mon argümanlarının cihazdan cihaza değişebileceğini lütfen unutmayın
  • Kendi ağ arayüzlerinizi listelemek için ifconfig kullanabilirsiniz
  • Monitor Mode: herhangi bir ağa bağlanmadan pasif olarak ilgili ağdaki tüm trafiği izlememize olanak sağlayan mod
  • Managed Mode: istemcimizin bir ağa bağlanarak hizmet aldığı mod
Mod Değiştirmek İçin 1. Yöntem (airmon-ng)
  • Öncelikle aircrack-ng indiriliyor
apt install aircrack-ng
  • airmon-ng start wlx000f02b01c0b ile monitör mod'a geçebiliriz.
  • ifconfig ile kontrol yapalım
  • Aşağıda gördüğünüz gibi wlan0mon şeklinde değişmiş ve Mode:Moniter olarak gözüküyor
[email protected]:~# iwconfig
lo        no wireless extensions.

wlan0mon  IEEE 802.11  Mode:Monitor  Tx-Power=20 dBm   
          Retry short limit:7   RTS thr:off   Fragment thr:off
          Power Management:on

ens33     no wireless extensions.
  • airmon-ng stop wlan0mon ile geri managed mod'a geçebiliriz.
[email protected]:~# airmon-ng stop wlan0mon

PHY     Interface       Driver          Chipset

phy2    wlan0mon        rtl8187         Realtek Semiconductor Corp. RTL8187

(mac80211 station mode vif enabled on [phy2]wlan0)

(mac80211 monitor mode vif disabled for [phy2]wlan0mon)
  • Tekrar ifconfig ile kontrol edelim
  • Ağ kartımızın adı tekrardan düzelmiş görünüyor
[email protected]:~# iwconfig
lo        no wireless extensions.

wlx000f02b01c0b  IEEE 802.11  ESSID:off/any  
          Mode:Managed  Access Point: Not-Associated   Tx-Power=20 dBm   
          Retry short limit:7   RTS thr:off   Fragment thr:off
          Encryption key:off
          Power Management:on

ens33     no wireless extensions.

Ağlarla İlgili Bilgi Toplamak

Ağları İncelemek (Sniffing)

Networkler üzerindeki trafikleri izlemeye verilen isim sniffing'dir

  • Öncelikle eğer monitör modda değilsek aşağıdaki komut ile monitör moda geçebiliriz
airmon-ng start wlx000f02b01c0b
  • Teyit etmek için bir üst başlıktan bildiğimiz aşağıdaki komutu kullanabiliriz
iwconfig wlan0mon
  • Sniffing yapmak için aşağıdaki komutu kullanabiliriz. Bu sayede etrafımızdaki ağları ve onlarla ilgili bilgileri görebiliriz. ctrl + c kombinasyonu ile çıkış yapabiliriz
airodump-ng wlan0mon
  • Aşağıdaki gibi bir sonuçla karşılaşacaksınız ve anlık olarak tarama gerçekleştireceksiniz
 CH  7 ][ Elapsed: 42 s ][ 2020-09-12 14:32 

 BSSID              PWR  Beacons    #Data, #/s  CH   MB   ENC CIPHER  AUTH ESSID

 E8:65:D4:11:18:11  -52       51        5    0   1  270   WPA2 CCMP   PSK  Koray                                                                        
 60:E3:27:55:B2:D3  -58       26        0    0   1  270   WPA2 CCMP   PSK  Wifi                                                                     
 DC:D9:16:2F:5C:5E  -63       25        0    0   8  130   WPA2 CCMP   PSK  SUPERONLINE-WiFi_3535                                                        
 88:AC:C0:36:F3:01  -66       28        0    0   9  130   WPA  CCMP   PSK  TurkTelekom_ZHHVA                                                            
 5C:63:BF:04:86:D2  -69        3        0    0  11  130   WPA2 CCMP   PSK  OAHNY                                                                        
 98:0D:67:4C:16:85  -69        8        0    0   1  130   WPA  CCMP   PSK  TurkTelekom_ZH9FM                                                            

 BSSID              STATION            PWR   Rate    Lost    Frames  Notes  Probes

 E8:65:D4:11:18:11  36:98:9F:6F:E1:35  -26    0 - 1e    23        7                                                                                     
 E8:65:D4:11:18:11  EC:10:7B:5A:A5:E9  -46    0 -24     70        2                                                                                     
 5C:63:BF:04:86:D2  64:CC:22:A6:AA:84   -1    1e- 0      0        1                                                                                     
 (not associated)   10:08:C1:56:88:F2  -67    0 - 1      0        2               
  • BSSID -> MAC Adresi
  • PWR -> Power, ağların bize uzaklığıdır. Absolute olarak küçüldükçe bize yaklaşmaktadır. Yani -84 olarak gözüken ilk ağ -85 olana göre daha yakındadır
  • Beacons -> Sinyaller
  • #Data -> Elimizde olan, kullanabileceğimiz datalar
  • CH -> Channel, veri alış-verişi hangi kanaldan yapılıyor onu göstermektedir
  • ENC -> Encryption, ağın nasıl şifrelendiğini göstermektedir. WPA2 diğerlerine göre daha güvenlidir
  • CIPHER -> Decrypt modeli
  • ESSID -> Ağın adıdır

Belirli Bir Ağa Özel Bilgi Edinmek

Temel olarak yapı şu şekildedir: airodump-ng --channel <channel> --bssid <bssid> --write <file-name> <interface>

  • airodump-ng --channel 11 --bssid 64:6D:6C:65:03:82 --write deneme.txt wlan0mon komutu ile tek bir bssid'e ait trafiği izlemeye başladık. Ve bize bu ağa bağlı cihazların MAC adresleri (STATION) vb. kritik bilgileri verecektir. --write argümanını geçersek aldığı bilgileri bir dosyaya yazacaktır.
airodump-ng --channel 11 --bssid 64:6D:6C:65:03:82 --write deneme.txt wlan0mon
  • Çıktı:
 CH  1 ][ Elapsed: 1 min ][ 2020-09-12 14:45 

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH   MB   ENC CIPHER  AUTH ESSID

 E8:65:D4:11:18:11   -8 100      994      199    2   1  270   WPA2 CCMP   PSK  Koray                                                                    

 BSSID              STATION            PWR   Rate    Lost    Frames  Notes  Probes

 E8:65:D4:11:18:11  36:98:9F:6F:E1:35  -27    1e- 1e     0      103                                                                                     
 E8:65:D4:11:18:11  EC:10:7B:5A:A5:E9  -25    0 -24      0      147                                                                                     
 E8:65:D4:11:18:11  94:2D:DC:98:0C:70  -48    0 - 6e     1       52
  • Frames -> Paket alış-verişindeki paketlerin sayısını verir
  • Bu ekrandaki çıktıdan daha detaylı olan bilgi --write argümanı ile yazılan .cap uzantılı dosya içerisinde bulunur

Deauth Saldırısı

  • Deauth saldırısı kısaca hedef cihaz ile host arasındaki iletişimi keserek (deauthentication paketleri göndererek) hedefi ağdan düşürme saldırısıdır. Bunu da aireplay aracını kullanarak yapacağız

  • Deauth Paketi Nedir?

Bir client (istemci/biz) bağlı olduğu kablosuz ağ ile olan bağlantısını koparmak istediğinde aslında istemci, kablosuz ağa bir deauthentication paketi gönderir ve bağlantıyı sonlandırır. Biz de bu saldırıda başkalarının (hedef) adına modemlere (kaynak) deauthentication paketleri göndereceğiz ve hedefleri ağdan düşüreceğiz

  • Temel komut dizimi şu şekildedir: aireplay-ng --deauth <packets> -a <kaynak_mac> -c <hedef_mac> <interface>

Bu saldırıda mantık şu şekilde işlemektedir; kaynak, düşürmeye çalıştığımız hedefe: 'ben senden ayrılacağım' diyor, hedef de kaynağa diyor ki: 'ben senden ayrılacağım'. Aslında ikisi de birbirlerine bir şey demiyor. Biz kendilerinin yerlerine geçip yine kendilerine bir şeyler söylüyoruz gibi düşünebiliriz

  • aireplay-ng --deauth 10000 -a 64:6D:6C:65:03:82 -c 0E:80:62:12:28:0D wlan0mon komutu ile kaynak MAC ve hedef MAC'e deauth paketleri (10000 adet) yolluyoruz

  • Eğer kısa süreli ağdan düşsün ve geri bağlansın istersek 5 10 adet paket yollayabiliriz

aireplay-ng --deauth 10000 -a kaynak-mac -c hedef-mac wlan0mon
  • Çıktı:
[email protected]:~# aireplay-ng --deauth 10000 -a E8:65:D4:11:18:11 -c E8:65:D4:11:18:11 wlan0mon
14:54:31  Waiting for beacon frame (BSSID: E8:65:D4:11:18:11) on channel 1
14:54:32  Sending 64 directed DeAuth (code 7). STMAC: [E8:65:D4:11:18:11] [124|124 ACKs]
14:54:33  Sending 64 directed DeAuth (code 7). STMAC: [E8:65:D4:11:18:11] [69|69 ACKs]
14:54:34  Sending 64 directed DeAuth (code 7). STMAC: [E8:65:D4:11:18:11] [55|55 ACKs]
14:54:34  Sending 64 directed DeAuth (code 7). STMAC: [E8:65:D4:11:18:11] [55|55 ACKs]
14:54:35  Sending 64 directed DeAuth (code 7). STMAC: [E8:65:D4:11:18:11] [111|111 ACKs]
14:54:36  Sending 64 directed DeAuth (code 7). STMAC: [E8:65:D4:11:18:11] [107|107 ACKs]
14:54:36  Sending 64 directed DeAuth (code 7). STMAC: [E8:65:D4:11:18:11] [28|28 ACKs]
14:54:37  Sending 64 directed DeAuth (code 7). STMAC: [E8:65:D4:11:18:11] [98|98 ACKs]
14:54:37  Sending 64 directed DeAuth (code 7). STMAC: [E8:65:D4:11:^C:11] [ 9| 9 ACKs]

Ağlara Saldırmak

Ufak Bir Not: Bu bölümdeki işlemleri yaparken ağ arayüzümüzün monitör modda olduğundan emin olalım. Aynı zamanda wlx000f02b01c0b ve wlon0mon argümanlarının kendi ağ arayüzlerinizi temsil ettiğinden lütfen emin olun.

Encryption (Şifreleme Modelleri)

  • WEP (Wired Equivalent Privacy)

Authentication (Kimlik doğrulama) yoktur.

Kırılması WPA'ye göre daha kolaydır.

  • WPA (Wi-Fi Protected Access)

TKIP,Wpa şifreleme için kabul edildi. Wep’te değişmeyen 64bit ve 128bit şifreleme anahtarı kullanılmıştır

TKIP her paket için dinamik olarak yeni bir 128bit anahtar üretir ve bu yönüyle wep’teki zaafiyetlerin önüne geçti

Wpa’nın saldırganlara yönelik attığı adım ile saldırganın veri paketlerini değiştirmesini ve değiştirdiği paketlerin gönderilmesini önlemek için tasarlanmış bir ileti bütünlüğü kontrolü(Message Integrity Check) sağlamaktadır

  • WPA2 (Wi-Fi Protected Access)

Şuan hala kullanımımız da bulunan en güvenilir kablosuz ağ şifrelemesidir

TKIP’den, hem gizlilik hem de bütünlük açısından korunmasında önemli ölçü de güçlüdür

Aes güçlü güvenlik tabanlı şifreleme içerdiği için 2004’te sertifikası başladı ve 2006 dan itibaren tüm yeni cihazlarda WPA2 sertifikası zorunlu kılındı

WEP Cracking

WEP cracking yaparken adım adım şu yolları izleyeceğiz:

  • Etraftaki ağları izleyip WEP şifrelemesine sahip bir hedef ağ belirleyeceğiz -> airodump-ng wlan0mon

  • Hedef ağa karşı sniffing yapacağız. Ardından ele geçirdiğimiz bilgileri dosyaya yazacağız -> airodump-ng --channel <channel> --bssid <bssid> --write <file-name> <interface>

  • aircrack-ng sayesinde verileri decrypt ederek şifreyi kırmaya çalışacağız. -> aircrack-ng <filename.cap> Unutmamalıyız ki bu işlem paket alış-verişi yapılırken gerçekleşecektir. Bu sebeple bir yandan da airodump-ng ile hedef ağa dair bilgileri toplamaya devam etmeliyiz. 5000 pakette bir deneme yapacaktır ve bulduğu an bize şifreyi verecektir

  • Dönen şifre içerisinden : işaretlerini kaldırmalıyız

Fake Auth (Sahte Yetkilendirme)

WEB Cracking yaparken ağ üzerindeki paketleri izlediğimizi söylemiştik. Peki ya hiç paket alış-verişi yoksa ne yapacağız? Kendimizi ağa tanıtıp bizi dinlemesini sağlayabiliriz. Tam bu noktada Fake Auth saldırısı ile kendimizi sahte olarak yetkilendirebilir ve hedef ağa paket enjekte edebiliriz. Temel komut dizilimi şu şekildedir -> aireplay-ng --fakeauth 0 -a <hedef_mac> -h <kendi_mac_adresimiz> <ag_arayuzu/interface> Bu komuttan sonra tekrar hedef ağa airodump-ng ile sniffing yaparsak kendi MAC adresimizi de ağa bağlı cihazlar listesinde görebiliriz. Fakat sadece ağa kendimizi tanıtmış olduk, bu ağı şu an kullanamayız.

Package Injection (Paket Enjeksiyonu)

Hedef ağ üzerinde paket alış-verişi yaparak veri akışını sağlarız

  • Önce hedef ağa Fake Auth ile kendimizi tanıtırız/yetkilendiririz

  • Temel komut dizilimi şu şekildedir -> aireplay-ng --arpreplay -b <hedef_mac> -h <kendi_mac_adresimiz> <ag_arayuzu/interface>

  • Bu komuttan sonra hedef ağ üzerinde çok sayıda paket alış-verişi yapılmaya başlanır. Ardından airodump-ng ile izlediğimiz ağdan elde ettiğimiz verileri yazdığımız dosyayı aircrack-ng ile decrypt ederek şifreyi bulmaya çalışırız

WPA

Öncelikle Handshake yakalamaya çalışacağız. İçinde muhtemel şifrelerin olduğu bir Wordlist hazırlayacağız ve oluşturduğumuz Handshake'e karşı şifreleri deneyeceğiz

airodump-ng Handshake'i yeni bir kişi ağa bağlanınca yakalayabilir. 2 şey yapabiliriz

  • 1-) Bekleriz ki yeni birisi ağa bağlansın

  • 2-) Mevcut ağa bağlı birini Deauth Saldırısı ile ağdan düşürürüz ve yeniden bağlanmasını sağlarız. Yakalanan Handshake sağ üstte gözükecektir (airodump-ng ile hedef ağı izlerken) Yakaladığımız Handshake yazdığımız dosya içerisinde vardır ve oluşturduğumuz Wordlist'i bu Handshake'e karşı deneyebiliriz

Wordlist Oluşturmak

Wordlist oluşturmak için CRUNCH adı verilen tool'u kullanabiliriz. Temel komut dizimi şu şekildedir -> crunch <min> <max> <char> -t <pattern> -o <dosya_adi>

[email protected]:~# crunch 8 9 xyz123 -o testwordlist
Crunch will now generate the following amount of data: 115893504 bytes
110 MB
0 GB
0 TB
0 PB
Crunch will now generate the following number of lines: 11757312
  • Wordlist dosyasına bakalım
[email protected]:~# cat testwordlist 
xxxxxxxx
xxxxxxxy
xxxxxxxz
xxxxxxx1
xxxxxxx2
xxxxxxx3
xxxxxxyx
xxxxxxyy
xxxxxxyz
xxxxxxy1
xxxxxxy2
xxxxxxy3
xxxxxxzx
xxxxxxzy
xxxxxxzz
xxxxxxz1
xxxxxxz2
xxxxxxz3
xxxxxx1x
xxxxxx1y
xxxxxx1z
xxxxxx11
xxxxxx12
xxxxxx13
xxxxxx2x
xxxxxx2y
xxxxxx2z
Handshake'e Karşı Wordlist Kullanmak

Oluşturduğumuz Wordlist'i yakaladığımız Handshake'e karşı kullanacağız. Temel komut dizimi şu şekildedir -> aircrack-ng <yakaladigimiz_handshake_bulunan_dosya.cap> -w <word_list_dosyamiz>

aircrack-ng deneme-01.cap -w testwordlist

Man In The Middle (Ortadaki Adam/MITM)

MITM saldırısında olay kısaca şu şekilde işlemektedir;

  • Kurban, sunucuya bir istek atar ve sunucu ona cevap verir (klasik bir network trafiği)

  • Fakat MITM saldırısında biz Kurban'a: "sunucu benim" diyoruz Sunucuya da: "kurban benim" diyoruz Bu sayede Network Trafiği bizim üzerimizden akmaktadır ve gelip giden paketlere müdahale edebiliriz

  • Daha da kısa olarak: Network trafiğinde client ile host arasına girerek trafikten bilgi alıyoruz

  • Bu saldırıyı MAC adresleri üzerinden gerçekleştiriyoruz. Bunun sebebini Üst başlıklarda açıklamıştık

14-mitm-architec

Web Sunucu Kurmak

  • Bir web sunucusu yazılımı indiriyoruz
apt-get install apache2
  • Ardından bunu başlatıyoruz
systemctl start apache2
  • Aşağıdaki komut ile www klasörüne geçiyoruz. Sunucumuz içerisindeki dosyalar bu klasörden serve edilir. IP'ye istek gelince default olarak bu dizin altındaki index.html gösterilir

  • Makinamızın IP adresine istek atarsak bu dizindeki index.html gösterilecektir