Sniffing yani dinleme ve koklama yöntemi ağ saldırıları günümüzde çok fazla yaygın olarak kullanılmaya başladı şirketler kafeler yani her türlü public alanda yapılabilen bu saldırıyı yapmak bir o kadar da kolay saldırının amacı veri karşı tarafa ulaşmadan önce yolunu kesiyoruz ve içerikleri karşı taraftan önce biz okuyabiliyoruz bu sayede parolalar , önemli yazışmalarımız yolladığımız mailler bile okunabilir durumda olmaktadır.

                                Man In The Middle Attack

Arp Nedir ?

Bir bilgisayarın ağ içinde iletişim kurması için hem fiziksel MAC adresi hem de mantıksal ip adresi gereklidir. Mantiısal ip adresi bilinen bir bilgisayarın Arp tablosu üzerinden Fiziksel Mac adresi ögrenilebilir. Arp ağ içerisinde Fiziksel MAC Adresi ile Mantıksal ip Adresi arasındaki bağlantıyı sağlar.

Man In The Middle Attack Nedir ?

Man in The Middle Attack yani Ortadaki Adam Saldırı diye de bilinir. En çok kullanılan saldırı türlerinden biridir. Saldırgan hedef ile ağ arasındaki trafiği bu saldırı sayesinde dinleyebilir ve istediği bilgileri elde edebilir. Bu saldırı basarili bir şekilde gerçekleşmişse bağlantının şifreli olması bu saldırıdan korunmanızı sağlamaz. Bu saldırı ile Arp Poisoning, Dnf Spoofing gibi saldırılar gerçekleştirebiliriz. Arp Spoofing saldırısını yapmak için öncelikle ağdaki bilgisayarları görüntülememiz gerekecektir. Bunun için Kali işletim sisteminde bulunan netdiscover komutunu vermemiz gerekecek. Kali Linux işletim sistemimizi açalım ve alttaki komutu çalıştırarak ağ üzerindeki bilgisayarları görüntüleyelim.

netdiscover -i [interface] -r [ip aralığı] 

Bu komutta -i yani interface yazan yere kullandığımız interface i yazmamız gerekecek bunun için ifconfig komutunu vererek interfaceimizi öğrenebiliriz örneğin; Eth0,Wlan0.  Ip aralığı kısmına ise -r den sonra ip aralığını yazacağız örnek olarak 192.168.1.0/24 bu kodu verdiğimiz zaman 192.168.1 ile baslayan tüm ip adreslerini tarayacak dır. Burada hem ip hemde mac adreslerini öğrenebilirsiniz ve bu bilgiler düzgün kullanıldığı zaman gerçekten çok ise yarar bilgilerdir. Ağdaki kişilerin bilgileriniöğrendiğimize göre şimdi alttaki komutu vererek ip forwardingi aktif edelim

echo 1 > /proc/sys/net/ipv4/ip_forward

Ip forwardı aktif etmemizin amacı kendimizi bir router olarak gösterebilmek içindir. Gerekli bilgileri öğrendiğimize göre artık ortadaki adam olma zamanımız geldi bunun için alttaki komutu kullanacağız.

arpspoof -i [interface] -t xx.xx.xx.xx yy.yy.yy.yy

Kodu biraz incelediğimiz zaman interface kısmına kendi interfaceimizi yazıyoruz -t yani target komutundan sonra x ile belirttiğimiz yere saldırı yapılacak bilgisayarın ip adresi y ile gösterilen yere ise modemin ip adresini yazacağız bu da demek oluyor ki karşı tarafa kendi mac adresimizin modemin mac adresi ile ayni olduğunu belirtiyoruz. Bu işlemi gerçekleştirdikten sonra yeni bir terminal açıp bu işlemin tersini yapacağız.

arpspoof -i [interface] -t yy.yy.yy.yy xx.xx.xx.xx 

Bu saldırıyı yaptıktan sonra artık ortadaki adam saldırısını yapmış bulunmaktayız. Simdi Wireshark uygulamasını açarak oradan paketleri görüntüleyip inceleyebilirsiniz. Kısa bir yol ve daha fazla parametre olması için Man In The Middle Framework adında bir tool mevcut bu toolu indirerek daha kolay bir şekilde saldırı gerçekleştirebiliriz MITMF frameworkünü indirmek için

apt-get install mitmf

komutunu vererek frameworku indirebiliriz. İndirme işlemi tamamlandıktan sonra sonra alttaki komut sayesinde kolay bir şekilde ortadaki adam olmayı başarabiliriz.

mitmf --arp --spoof --gateway [modem ip] --targe [hedef ip] -i [interface]

komutunu verdiğimiz an ortadaki adam olmuş bulunmaktayız ve dinlemeye başlarız. Paketleri dinlemek için ek bir programa gerek kalmadan karşı tarafın yaptığı hareketler görüntülenmeye başlanır. Bu framework sayesinde sadece HTTP değil HTTPS uzantılı siteleri kırabilirsiniz. Aslında MITM saldırısı ile yapılabilecekler hayal gücünüze bağlıdır siz isterseniz bu sayede java kodu aktif edebilir. isterseniz başka bir siteye yönlendirme yapabilirsiniz o yüzden doğru kullanıldığı zaman çok tehlikeli bir saldırıdır.

Ortadaki Adam Saldırısından Korunmak

Eğer Windows kullanıyorsanız arp -a komutunu vererek Arp tablonuzu kontrol edebilir ve modemin mac adresi ile başka bir ip nin mac adresi ayni ise saldırı yapıldığını görebilirsiniz. Linux da ise sadece arp yazarak entera basarak incelemeniz yeterlidir. Bunun için Wireshark aracını kullanarak da paketleri inceleyebiliriz. Wireshark aracında Arp prokotollerini inceleyerek saldırı yapıldığını anlayabilirsiniz. Public ortamlarda şifre yada özel verileriniz ile ilgili işlemleri pek fazla yapmamanızı öneririz.