Turkish
English
Chinese
WinARP Watch ile arpspoofing tesbiti
03/17/2007, Yazar: Özgür Koca, Kategori: Araçlar, Güvenlik
switch kullanılan bir ağdaki muhtemel sniffing saldırılarından haber veriyor. Bunun yaparken çok basit bir yöntemi kullanıyor. WinARP Watch windowsun IP/MAC ikililerini depoladığı ARP önbelleğini anormal değişikliklere karşı izliyor. Bu tabloda tehlike oluşturabilecek bir değişiklik algılandığında sistem tepsisindeki çalışır simgesi ile haber veriyor. Bu konudaki başka bir yazılım ise .
Sözünü ettiÄŸim switch’li ağın neden tehlike altında olabileceÄŸini ve nasıl sniff (koklamak) edilebileceÄŸini kısaca açıklamak gerekirse;
MAC numarası her ağ kartına üretimi esnasında tekil olarak atanan 12 bytelık bir numaradır ve ethernet ağlarında tüm iletişim bilinenin aksine IP adresleri ile değil MAC adresleri ile sağlanır. Ağdaki iki bilgisayar iletişim kuracağı zaman birbirlerinin MAC adreslerini kullanırlar. IP adresleri bilinen bilgisayarların MAC adresleri ARP protokolu (Addrress Resolution Protocol) ile çözümlenir yani bir ethernet ağında iletişim fiziksel ağ adresi olan MAC adresine dayandırılarak sağlanır. Bunu Alan-adı/IP (Domain-name/IP) çevrimine de benzetebiliriz.
Switch ise hem aÄŸ performasını artırmak hem de HUB a göre daha güvenli bir iletiÅŸim saÄŸlamak için portları ile o portlara baÄŸlı aÄŸ arabirim kartlarının MAC adreslerini kendi belleÄŸinde tutar. Switch ler veri paketlerini yönlendirmede kullandıkları MAC adres bilgilerini tutmak için birkaç KB’dan birkaçyüz KB’a varan boyutlarda yazılabilir belleklere sahiptirler. Bu bellek HUB aygıtında yer almaz.
Normalde durumlarda ARP önbelleÄŸindeki bir IP/MAC ikilisinin deÄŸiÅŸmesi, iki ÅŸekilde olabilir. Birincisi ilgili bilgisayarın IP adresi deÄŸiÅŸtirmesi diÄŸeri ise IP aynı kalacak sekilde aÄŸ kartının (ethernet) çıkartılıp bir baÅŸkasıyla deÄŸiÅŸtirilmesi. Ya da ağınıza baÄŸlı kötü niyetli birisi çokça sahte ARP paketi gönderip () switch’inizin port / MAC tablosunu zehirleyerek deÄŸiÅŸtirecektir Ä°ÅŸte tehlikedesiniz demektir. Saldırgan bu teknikle mevcut iletiÅŸim hattını kendi üzerinden yönlendirerek normalde eriÅŸemeyeceÄŸi aÄŸ trafiÄŸine sahip olabilir. Bunu bir adım öteye götürerek kendini aÄŸ geçiti haline getirebilir. Böylece tüm ağın internet trafiÄŸini de dinleyebilir. , ve gibi programlar bu tekniÄŸi kullanarak ağı koklayabilmekteler.
WinARP Watch v1.0 indirmek için tıklayın (~90KB)
Yazan: Tankado
Merhaba,
Yaziniz cok bilgilendirici olmus,
Bir diger windows tabanli Arp spoofer olan switchsnarf i denediniz mi bilmiyorum, tarafimdan yazilmis ve arp spoof isini herhangi bir takilma/problem olmaksizin gerceklestirebilen bir yazilim.
Iyi calismalar,