WinARP Watch ile arpspoofing tesbiti

WinARP Watch switch kullanılan bir ağdaki muhtemel sniffing saldırılarından haber veriyor. Bunun yaparken çok basit bir yöntemi kullanıyor. WinARP Watch windowsun IP/MAC ikililerini depoladığı ARP önbelleğini anormal değişikliklere karşı izliyor. Bu tabloda tehlike oluşturabilecek bir değişiklik algılandığında sistem tepsisindeki çalışır simgesi ile haber veriyor. Bu konudaki başka bir yazılım ise PromiScan.

WinARP Watch switch kullanılan bir ağdaki muhtemel sniffing saldırılarından haber veriyor. Bunun yaparken çok basit bir yöntemi kullanıyor. WinARP Watch windowsun IP/MAC ikililerini depoladığı ARP önbelleğini anormal değişikliklere karşı izliyor. Bu tabloda tehlike oluşturabilecek bir değişiklik algılandığında sistem tepsisindeki çalışır simgesi ile haber veriyor. Bu konudaki başka bir yazılım ise PromiScan.

WinARPWatch’ın çalışması hakkında daha fazla bilgi almak için tıklayın

Sözünü ettiğim switch’li ağın neden tehlike altında olabileceğini ve nasıl sniff (koklamak) edilebileceğini kısaca açıklamak gerekirse;

MAC numarası her ağ kartına üretimi esnasında tekil olarak atanan 12 bytelık bir numaradır ve ethernet ağlarında tüm iletişim bilinenin aksine IP adresleri ile değil MAC adresleri ile sağlanır. Ağdaki iki bilgisayar iletişim kuracağı zaman birbirlerinin MAC adreslerini kullanırlar. IP adresleri bilinen bilgisayarların MAC adresleri ARP protokolu (Addrress Resolution Protocol) ile çözümlenir yani bir ethernet ağında iletişim fiziksel ağ adresi olan MAC adresine dayandırılarak sağlanır. Bunu Alan-adı/IP (Domain-name/IP) çevrimine de benzetebiliriz.

Switch ise hem ağ performasını artırmak hem de HUB a göre daha güvenli bir iletişim sağlamak için portları ile o portlara bağlı ağ arabirim kartlarının MAC adreslerini kendi belleğinde tutar. Switch ler veri paketlerini yönlendirmede kullandıkları MAC adres bilgilerini tutmak için birkaç KB’dan birkaçyüz KB’a varan boyutlarda yazılabilir belleklere sahiptirler. Bu bellek HUB aygıtında yer almaz.

Normalde durumlarda  ARP önbelleğindeki bir IP/MAC ikilisinin değişmesi, iki şekilde olabilir. Birincisi ilgili bilgisayarın IP adresi değiştirmesi diğeri ise IP aynı kalacak sekilde ağ kartının (ethernet) çıkartılıp bir başkasıyla değiştirilmesi. Ya da ağınıza bağlı kötü niyetli birisi çokça sahte ARP paketi gönderip (arp spoofing) switch’inizin port / MAC tablosunu zehirleyerek değiştirecektir İşte bu durumda tehlikedesiniz demektir. Saldırgan bu teknikle mevcut iletişim hattını kendi üzerinden yönlendirerek normalde erişemeyeceği ağ trafiğine sahip olabilir. Bunu bir adım öteye götürerek kendini ağ geçiti haline getirebilir. Böylece tüm ağın internet trafiğini de dinleyebilir. Arpspoof, SwitchSniffer ve Cain & Abel gibi programlar bu tekniği kullanarak ağı koklayabilmekteler.

Cain & Abel ile ARP Spoofing’in nasıl yapıldığını izlemek için tıklayın

Çeşitli man-in-the-middle tekniklerinin uygulanışını izlemek için tıklayın

WinARP Watch v1.0 indirmek için tıklayın (~90KB)

Yazan: Tankado

Yazar: Özgür Koca

Yazar - Tankado.com

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.