Neler Yeni

MAN IN THE MIDDLE (MITM) ATAĞI

Katılım
29 Mar 2024
Mesajlar
148
Tepkime puanı
48
Puanları
70
MAN IN THE MIDDLE (MITM) ATAĞI
Man in the middle (MITM) atağı, bir saldırganın iki bilgisayar arasındaki iletişimi kesintiye uğratıp, kendini onlardan biri gibi göstererek verileri izlemesi veya değiştirmesi anlamına gelir. Örneğin, bir istemci bir sunucuyla güvenli bir bağlantı kurmak istediğinde, saldırgan bu bağlantıyı ele geçirip, istemciye kendi sertifikasını sunarak onunla şifreli bir iletişim kurabilir. Bu şekilde, istemci sunucuyla konuştuğunu sanırken, aslında saldırganla konuşmaktadır. Saldırgan, istemcinin gönderdiği verileri okuyabilir, değiştirebilir veya başka bir yere yönlendirebilir. Aynı şekilde, saldırgan sunucuya da kendi sertifikasını sunarak onunla şifreli bir iletişim kurabilir. Bu şekilde, sunucu istemciyle konuştuğunu sanırken, aslında saldırganla konuşmaktadır. Saldırgan, sunucunun gönderdiği verileri de okuyabilir, değiştirebilir veya başka bir yere yönlendirebilir. Böylece, saldırgan iki bilgisayar arasındaki iletişimin tam kontrolünü elinde tutar ve onları kandırır. Bu, ortadaki adam (MITM) olarak adlandırılan saldırganın rolüdür.
MITM atağı, çok tehlikeli bir atak türüdür, çünkü saldırgan kişisel bilgilere (şifreler, hesaplar, kredi kartı bilgileri vb.) erişebilir, verileri bozabilir veya sahte veriler gönderebilir. Bu, hem istemcinin hem de sunucunun güvenliğini ve gizliliğini tehlikeye atar. MITM atağı, hem yerel ağda hem de uzak ağda yapılabilir. Yerel ağda, saldırgan ağ trafiğini dinleyerek veya ARP zehirleme gibi tekniklerle ağ cihazlarının MAC adreslerini değiştirerek MITM atağı yapabilir. Uzak ağda, saldırgan DNS zehirleme, sahte sertifika, SSL şeritleme gibi tekniklerle MITM atağı yapabilir. MITM atağından korunmak için, güvenli protokoller (HTTPS, SSL, TLS vb.) kullanmak, sertifikaları doğrulamak, ağ trafiğini şifrelemek, güvenli VPN servisleri kullanmak gibi önlemler alınabilir.
MITM Saldırı Türleri
Bu paylaşımda MITM saldırısının sahte erişim noktası, ARP sahtekârlığı, DNS sahtekârlığı türlerini anlatılacağım.
Sahte Erişim Noktası (Fake Access Point)
Sahte erişim noktası, bir siber saldırı türüdür. Bu saldırıda, saldırgan, gerçek bir Wi-Fi ağını taklit ederek sahte bir Wi-Fi ağını kurar. Böylece, kullanıcılar gerçek ağa bağlı olduklarını sanarak sahte ağa bağlanırlar. Saldırgan, bu sayede kullanıcıların ağ üzerinden yaptıkları tüm işlemleri izleyebilir, verilerini çalabilir veya değiştirebilir.
Sahte erişim noktası saldırısının nasıl yapıldığını şöyle anlatabiliriz:
- Saldırgan, ücretsiz ve popüler Wi-Fi erişimine sahip bir yer seçer. Örneğin, bir havaalanı, kütüphane veya kafe.
- Saldırgan, gerçek ağ ile aynı adı (SSID) taşıyan sahte bir erişim noktası oluşturur. Bunu yapmak için, bir telefon, dizüstü bilgisayar, taşınabilir yönlendirici veya tablet gibi herhangi bir cihazı kullanabilir.
- Saldırgan, gerçek ağa bağlı olan kullanıcıları sahte ağına yönlendirmek için, de-authentication adı verilen bir yöntemle gerçek ağın sinyalini keser. Bu yöntemle, gerçek ağa bağlı olan cihazlara sahte bir mesaj göndererek ağdan ayrılmalarını ister.
- Saldırgan, sahte ağının sinyalini güçlendirerek, kullanıcıların gerçek ağ yerine sahte ağa bağlanmalarını sağlar. Bazı cihazlar, otomatik olarak en güçlü sinyali buldukları için, sahte ağa bağlanırlar.
- Saldırgan, sahte ağına bağlanan kullanıcılardan, ağa erişmek için bir parola veya diğer temel bilgileri girmelerini isteyen sahte bir oturum açma sayfası gösterir. Bu sayfayı, gerçek ağın oturum açma sayfasına çok benzetecek şekilde tasarlar. Kullanıcılar, bu sayfaya giriş bilgilerini girdiklerinde, saldırgan bu bilgileri ele geçirir.
- Saldırgan, sahte ağına bağlı olan kullanıcıların, internet üzerinde yaptıkları her şeyi görebilir, verilerini okuyabilir, değiştirebilir veya yönlendirebilir. Örneğin, kullanıcıların sosyal medya hesaplarına, banka hesaplarına, e-posta hesaplarına girmelerini isteyebilir ve bu hesapların şifrelerini çalabilir. Ayrıca, kullanıcıların gördüğü web sayfalarını değiştirebilir, sahte reklamlar veya mesajlar gösterebilir, zararlı yazılımlar indirmelerini sağlayabilir.
Sahte erişim noktası saldırısından korunmak için, şu önlemleri alabilirsiniz:
- Bilmediğiniz veya güvenmediğiniz Wi-Fi ağlarına bağlanmamaya çalışın. Özellikle, aynı adı taşıyan birden fazla ağ olduğunda, dikkatli olun.
- Wi-Fi ağlarına bağlanırken, HTTPS protokolünü kullanan web sitelerini tercih edin. Bu protokol, verilerinizi şifreleyerek, saldırganların okumasını veya değiştirmesini zorlaştırır. Web sitelerinin adres çubuğunda, bir kilit simgesi ve HTTPS yazısı görünüyorsa, bu protokolü kullandıkları anlamına gelir.
- Wi-Fi ağlarına bağlanırken, VPN (Sanal Özel Ağ) hizmetleri kullanın. Bu hizmetler, verilerinizi şifreleyerek, saldırganların erişmesini engeller. Ayrıca, ağ trafiğinizi başka bir sunucuya yönlendirerek, gerçek konumunuzu ve kimliğinizi gizler.
- Wi-Fi ağlarına bağlanırken, güvenlik yazılımları kullanın. Bu yazılımlar, zararlı yazılımları, sahte web sitelerini, sahte erişim noktalarını tespit ederek, sizi uyarır ve korur.
- Wi-Fi ağlarına bağlanırken, önemli işlemler yapmamaya veya önemli bilgiler paylaşmamaya çalışın. Örneğin, banka hesabınıza girmemek, kredi kartı bilgilerinizi vermemek, şifrelerinizi değiştirmemek gibi. Bu işlemleri, güvendiğiniz ağlarda veya kendi mobil veri bağlantınızda yapın.
ARP Sahtekârlığı (ARP Spoofing)
ARP Sahtekârlığı (ARP Spoofing), bir ağdaki cihazların kimliklerini taklit ederek veri akışını bozmak veya ele geçirmek için kullanılan bir saldırı yöntemidir. Bu saldırıda, saldırgan, ağdaki diğer cihazlara kendisini farklı bir cihaz olarak tanıtmak için ARP protokolünü kötüye kullanır. ARP protokolü, bir IP adresinin hangi MAC adresine karşılık geldiğini belirlemek için kullanılan bir iletişim protokolüdür. IP adresi, bir cihazın ağdaki konumunu belirtirken, MAC adresi, bir cihazın fiziksel kimliğini belirtir.
Saldırgan, ARP sahtekârlığı yapmak için, ağdaki bir cihazın IP adresini kendi MAC adresiyle eşleştiren sahte ARP yanıtları gönderir. Bu şekilde, saldırganın cihazı, ağdaki diğer cihazlar tarafından o IP adresine sahip cihaz olarak kabul edilir. Örneğin, saldırgan, ağ geçidinin IP adresini kendi MAC adresiyle eşleştiren sahte ARP yanıtları göndererek, ağdaki tüm cihazların ağ geçidi olarak kendisini görmesini sağlayabilir. Bu durumda, saldırgan, ağdaki tüm veri trafiğini izleyebilir, değiştirebilir veya engelleyebilir. Bu, saldırganın, cihazların gönderdiği veya aldığı hassas bilgileri, örneğin PII (Personal Identifiable Information) kişisel tanımlama bilgilerini, ele geçirmesine veya kötü amaçlı yazılım bulaştırmasına olanak tanır.
ARP sahtekârlığı, ağ güvenliğini tehdit eden ciddi bir sorundur. Bu saldırıyı önlemek veya tespit etmek için, ağ yöneticileri, ARP tablolarını izleyebilir, statik ARP girişleri kullanabilir, ARP sahtekârlığı tespit yazılımları kurabilir veya ağdaki cihazları şifreleyebilir.
DNS Sahtekârlığı (DNS Spoofing)
DNS sahtekârlığı, bir saldırganın internet kullanıcılarını yanlış web sitelerine yönlendirmek için DNS sunucularını veya istemcilerini manipüle ettiği bir siber güvenlik tehdididir. DNS, bir web sitesinin adını örneğin, karşılık gelen IP adresine örneğin, 172.217.18.238 dönüştüren bir sistemdir. Bu sayede, kullanıcılar web sitelerine kolayca erişebilirler.
DNS sahtekârlığı saldırısında, saldırgan DNS sunucularına veya istemcilerine sahte DNS kayıtları gönderir. Bu kayıtlar, kullanıcının girmek istediği web sitesinin adını yanlış bir IP adresine işaret eder. Böylece, kullanıcı saldırganın kontrol ettiği sahte bir web sitesine yönlendirilir. Bu web sitesi, kullanıcının güvendiği web sitesinin kopyası olabilir veya kullanıcıyı başka bir web sitesine yönlendirebilir. Saldırgan, bu şekilde kullanıcının kişisel bilgilerini, şifrelerini, kredi kartı numaralarını veya diğer hassas verilerini çalabilir veya zararlı yazılım bulaştırabilir.
Örneğin, saldırgan DNS sahtekârlığı yaparak kullanıcıyı yerine gibi sahte bir web sitesine yönlendirebilir. Bu web sitesi, Facebook'un tasarımını ve işlevselliğini taklit edebilir. Kullanıcı, bu web sitesine giriş yapmaya çalıştığında, saldırgan kullanıcının e-posta adresini ve şifresini ele geçirebilir. Saldırgan, bu bilgileri kullanarak kullanıcının gerçek Facebook hesabına erişebilir veya başka amaçlar için kullanabilir.
DNS sahtekârlığı, internet kullanıcılarının güvenliğini ve gizliliğini tehlikeye atan ciddi bir sorundur. Bu saldırıdan korunmak için, kullanıcıların şunları yapması önerilir:
- Güvenilir bir DNS sunucusu kullanmak veya DNSSEC gibi DNS güvenlik protokollerini etkinleştirmek.
- Web sitelerinin HTTPS protokolünü kullandığından ve güvenli bir bağlantı simgesi gösterdiğinden emin olmak.
- Web sitelerinin adreslerini doğru yazdığından ve sahte web sitelerinin işaretlerine dikkat etmek (örneğin, yazım hataları, farklı uzantılar, şüpheli içerik).
- Antivirüs yazılımı ve güvenlik duvarı gibi güvenlik araçlarını güncel tutmak ve düzenli olarak taramak.
MITM Saldırı Teknikleri
MITM saldırıları için çeşitli teknikler vardır. Bunlardan bazıları şunlardır:
- Paket koklama: Saldırgan, ağ üzerinden geçen veri paketlerini yakalar ve içeriğini okur. Bu şekilde kurbanların kimlik bilgileri, şifreleri, e-postaları gibi hassas verileri çalabilir.
- Paket enjeksiyonu: Saldırgan, ağ üzerinden geçen veri paketlerini değiştirerek kendi istediği verileri ekler veya çıkarır. Bu şekilde kurbanların web sitelerine erişimini engelleyebilir, sahte sayfalara yönlendirebilir, zararlı yazılım bulaştırabilir veya veri bütünlüğünü bozabilir.
- Oturum çalma: Saldırgan, kurbanların web sitelerine giriş yaptıktan sonra oluşturulan oturum anahtarlarını veya çerezlerini ele geçirir. Bu şekilde kurbanların web sitelerindeki hesaplarına erişebilir, işlemler yapabilir veya kişisel bilgilerini alabilir.
- SSL açma: Saldırgan, kurbanların web sitelerine güvenli bir şekilde bağlanmalarını engelleyerek SSL/TLS şifrelemesini kırar. Bu şekilde kurbanların verilerini şifresiz bir şekilde görebilir, değiştirebilir veya sahte sertifikalar sunabilir.
Paket Koklama (Sniffing)
Paket koklama, bir ağ üzerindeki veri paketlerini yakalayıp analiz etmek için kullanılan bir yöntemdir. Bu paketler, internet üzerinden gönderilen ve alınan bilgileri içerir. Paket koklayıcılar, bu paketleri izlemek ve kaydetmek için hem donanım hem de yazılım araçlarıdır.
Paket koklama, ağ yöneticileri tarafından ağ performansını izlemek, sorunları gidermek ve güvenliği sağlamak için kullanılabilir. Ancak, paket koklama aynı zamanda kötü niyetli kişiler tarafından da kullanılabilir. Bu kişiler, paket koklama ile ağ üzerindeki hassas bilgilere erişebilir, ağ trafiğini bozabilir veya sahte paketler göndererek ağın çalışmasını engelleyebilir.
Paket koklama saldırıları iki türlü olabilir: aktif ve pasif. Aktif koklama, ağ üzerindeki paketleri değiştirmek, yönlendirmek veya engellemek için kullanılır. Bu şekilde, saldırgan ağın kontrolünü ele geçirebilir veya ağdaki diğer cihazları taklit edebilir. Pasif koklama, ağ üzerindeki paketleri sadece izlemek ve kaydetmek için kullanılır. Bu şekilde, saldırgan ağdaki bilgileri gizlice çalabilir veya izleyebilir.
Paket koklama, sık kullanılan ve tehlikeli bir tekniktir. Bu nedenle, ağ güvenliğine dikkat etmek ve paket koklama saldırılarını önlemek için bazı önlemler almak gerekir. Bunlardan bazıları şunlardır:
- Güvenilir bir VPN (Sanal Özel Ağ) kullanmak. VPN, ağ trafiğini şifreleyerek paket koklayıcıların içeriğini görmesini engeller.
- HTTPS (Hiper Metin Aktarım Protokolü Güvenli) siteleri kullanmak. HTTPS, web siteleri ile tarayıcı arasındaki iletişimi şifreleyerek paket koklayıcıların içeriğini görmesini engeller.
- Güçlü bir antivirüs programı kullanmak. Antivirüs, bilgisayara bulaşabilecek kötü amaçlı yazılımları tespit ederek paket koklayıcıların çalışmasını engeller.
Paket Enjeksiyonu
Paket enjeksiyonu, bir ağ saldırısı türüdür. Bu saldırıda, saldırgan, internete bağlı bir hedefin bilgisayarına zarar vermek veya bilgilerini çalmak için sahte veya değiştirilmiş paketler gönderir. Paket, bir bilgisayarın diğer bir bilgisayara gönderdiği veri birimidir. Örneğin, bir web sitesine girdiğinizde, bilgisayarınız web sunucusuna bir paket gönderir ve web sunucusu da size bir paket gönderir.
Paket enjeksiyonu yapmak için, saldırgan önce hedefin ağ trafiğini dinlemelidir. Bu, hedefin hangi web sitelerine girdiğini, hangi dosyaları indirdiğini, hangi mesajları gönderdiğini veya aldığını görmek için yapılır. Saldırgan, ağ cihazlarını dinleme moduna alarak, normalde kendisine gelmeyen paketleri de alabilir. Bu mod, ağdaki tüm paketleri görmek için kullanılır.
Saldırgan, hedefin ağ trafiğini dinledikten sonra, hedefe zararlı paketler göndermeye başlar. Bu paketler, hedefin indirmek istediği dosyaları taklit edebilir, hedefin gönderdiği veya aldığı mesajları değiştirebilir, hedefin bilgisayarına virüs bulaştırabilir veya hedefin bilgilerini çalabilir. Saldırgan, hedefin fark etmemesi için paketleri orijinal paketlere benzetmeye çalışır. Örneğin, hedef a.exe isimli bir programı indirmek istiyorsa, saldırgan da a.exe isimli ama zararlı bir programı hedefe gönderir. Hedef, bu programı indirip çalıştırdığında, bilgisayarına zararlı yazılım enjekte edilmiş olur.
Paket enjeksiyonu, ağ güvenliğini tehdit eden ciddi bir saldırıdır. Bu saldırıdan korunmak için, güvenilir kaynaklardan dosya indirmek, şifreli bağlantılar kullanmak, güncel antivirüs programları yüklemek ve ağ trafiğini izlemek önemlidir. Ayrıca, paket enjeksiyonu yapan saldırganları tespit etmek ve engellemek için çeşitli araçlar da mevcuttur.
Oturum Çalma
Oturum çalma, bir kullanıcının web sitesine giriş yaptığı zaman oluşturulan oturum açma belirteçlerini (session token) ele geçirerek, kullanıcının kimliğine bürünmek ve yetkisiz erişim sağlamak anlamına gelir. Oturum açma belirteçleri, web sunucusunun ve tarayıcının birbirini tanımasını sağlayan, genellikle rastgele üretilen bir dizi karakterdir. Bu belirteçler, URL'de, HTTP isteğinin başlığında veya gövdesinde, ya da çerez (cookie) olarak tarayıcıda saklanabilir.
Oturum çalma saldırısı yapmak için, saldırganın öncelikle oturum açma belirteçlerini ele geçirmesi gerekir. Bunun için çeşitli yöntemler vardır. En yaygın olanları şunlardır:
- Oturum sabitleme (session fixation): Saldırgan, kullanıcıya bilinen bir oturum açma belirteci gönderir, örneğin bir e-posta linki içinde. Kullanıcı bu linke tıkladığında, saldırganın belirlediği belirteçle oturum açar. Saldırgan da aynı belirteci kullanarak oturumu ele geçirir.
- Oturum yan çalma (session sidejacking): Saldırgan, paket yakalama (packet sniffing) yöntemiyle, iki taraf arasındaki ağ trafiğini izleyerek oturum açma belirteçlerini okur. Birçok web sitesi, saldırganların şifreyi görmesini engellemek için giriş sayfalarında SSL şifrelemesi kullanır, ancak kimlik doğrulandıktan sonra site geri kalanı için şifreleme kullanmaz. Bu durumda, saldırgan çerezleri (cookie) çalarak oturum çalma saldırısı yapabilir.
- İstemci tarafı saldırılar (client-side attacks): Saldırgan, kötü amaçlı kod veya programlar kullanarak, istemci tarafında oturum açma belirteçlerini ele geçirebilir. Örneğin, XSS (cross-site scripting) saldırısı, saldırganın kötü amaçlı bir JavaScript kodu göndermesini ve bu kodun kullanıcının tarayıcısında çalışmasını sağlar. Bu kod, oturum açma belirteçlerini saldırgana gönderebilir.
- Ortadaki adam saldırısı (man-in-the-middle attack): Saldırgan, A ve C arasındaki iletişime B noktasından müdahale ederek, A ve C'nin IP paketlerini kendi makinesine yönlendirir. Böylece, A ve C arasındaki veri alışverişini izleyebilir ve değiştirebilir. Bu saldırıda, saldırgan oturum açma belirteçlerini değiştirerek oturumu ele geçirebilir.
- Tarayıcıdaki adam saldırısı (man-in-the-browser attack): Saldırgan, tarayıcıda çalışan bir zararlı yazılım (malware) kullanarak, tarayıcının işlevlerini değiştirir ve oturum açma belirteçlerini ele geçirir. Bu saldırıda, saldırgan tarayıcının güvenlik önlemlerini aşabilir.
Oturum çalma saldırılarını önlemek için, web sitelerinin ve kullanıcıların bazı önlemler alması gerekir. Bunlar arasında şunlar sayılabilir:
- Web siteleri, oturum açma belirteçlerini rastgele ve güvenli bir şekilde üretmeli, belirteçleri şifrelemeli, belirteçlerin süresini kısa tutmalı, belirteçleri düzenli olarak yenilemeli, belirteçleri IP adresi veya tarayıcı bilgisiyle ilişkilendirmeli, belirteçleri URL'de değil çerezde saklamalı, çerezlere HttpOnly ve Secure bayraklarını eklemeli, tüm site için SSL/TLS şifrelemesi kullanmalıdır.
- Kullanıcılar, güvenli olmayan ağlarda (örneğin açık Wi-Fi) hassas işlemler yapmamalı, tarayıcılarını ve işletim sistemlerini güncel tutmalı, antivirüs ve güvenlik duvarı yazılımları kullanmalı, şüpheli e-posta veya linklere tıklamamalı, tarayıcı çerezlerini düzenli olarak temizlemelidir.
SSL Çalma (SSL Strip)
SSL Çalma (SSL Strip), bir web sitesinin güvenli HTTPS protokolünü güvensiz HTTP protokolüne dönüştürerek, aradaki trafiği dinlemek ve değiştirmek için kullanılan bir saldırı yöntemidir. Bu yöntem, saldırganın ağ üzerindeki paketleri yakalayıp, HTTPS bağlantılarını HTTP bağlantılarına çevirmesini sağlar. Böylece saldırgan, web sitesi ile kullanıcı arasındaki verileri okuyabilir ve manipüle edebilir.
HTTP ve HTTPS, web sitelerine erişmek için kullanılan iki farklı protokoldür. HTTP, açık metin olarak iletilen ve şifrelenmeyen bir protokoldür. HTTPS ise SSL (Secure Sockets Layer) adı verilen bir güvenlik katmanı kullanarak, verileri şifreleyen ve kimlik doğrulayan bir protokoldür. SSL, web sitesinin sertifikasını kontrol ederek, kullanıcının gerçekten doğru siteye bağlandığından emin olur. Ayrıca, verileri şifreleyerek, araya giren bir saldırganın verileri okumasını veya değiştirmesini engeller.
Son yıllarda, daha da güvenli bir protokol olan HSTS (HTTP Strict Transport Security) kullanılmaya başlanmıştır. HSTS, web sitesinin yalnızca HTTPS protokolü üzerinden erişilebileceğini belirten bir başlık göndererek, HTTP protokolünü tamamen devre dışı bırakır. Böylece, SSL Çalma gibi saldırı yöntemlerinin işe yaramasını önler.
SSL Çalma saldırısının nasıl çalıştığını anlamak için, aşağıdaki adımları takip edebilirsiniz:
1. Saldırgan, aynı ağ üzerindeki kullanıcının paketlerini yakalamak için bir araç kullanır. Bu araç, ARP spoofing, DNS spoofing, ICMP redirect gibi tekniklerle ağ trafiğini saldırganın bilgisayarına yönlendirir.
2. Saldırgan, SSL Strip adı verilen bir araç kullanarak, HTTPS bağlantılarını HTTP bağlantılarına dönüştürür. Bu araç, web sitesinden gelen HTTPS bağlantılarını yakalar ve HTTP bağlantıları olarak kullanıcıya gönderir. Aynı şekilde, kullanıcıdan gelen HTTP bağlantılarını yakalar ve HTTPS bağlantıları olarak web sitesine gönderir. Böylece, saldırgan hem web sitesi hem de kullanıcı ile arada bir köprü oluşturur.
3. Saldırgan, HTTP bağlantıları üzerinden geçen verileri okuyabilir ve değiştirebilir. Örneğin, kullanıcının girdiği kullanıcı adı ve şifreyi çalabilir, web sitesinin içeriğini değiştirebilir, sahte sayfalar gösterebilir, zararlı kodlar enjekte edebilir vb.
SSL Çalma saldırısından korunmak için, aşağıdaki önlemleri alabilirsiniz:
- Web sitelerine erişirken, adres çubuğunda HTTPS protokolünün ve kilit simgesinin olduğundan emin olun. Eğer HTTP protokolü görürseniz, güvenli olmayan bir bağlantı olduğunu anlayın ve hassas bilgilerinizi girmeyin.
- Web sitelerinin HSTS protokolünü desteklediğinden emin olun. HSTS protokolü, web sitesinin yalnızca HTTPS protokolü üzerinden erişilebileceğini belirtir ve HTTP protokolünü reddeder. Böylece, SSL Çalma saldırısının işe yaramasını engeller.
- Güvenilir olmayan ağlara bağlanmamaya çalışın. Özellikle, açık veya şifresiz Wi-Fi ağlarına bağlanırken, saldırganların paketlerinizi yakalamasına izin vermemiş olursunuz. Eğer bağlanmak zorunda kalırsanız, VPN (Virtual Private Network) gibi güvenli bir bağlantı yöntemi kullanın.
- Tarayıcınızın ve işletim sisteminizin güncel olduğundan emin olun. Güncellemeler, güvenlik açıklarını kapatmak ve yeni protokolleri desteklemek için önemlidir. Eski sürümler, saldırganların daha kolay saldırmasına neden olabilir.
MITM Araçları
MITM (Man-in-the-Middle) atakları, bir bilgisayar korsanının iki taraf arasındaki iletişimi izleyebildiği, yönlendirebildiği veya değiştirebildiği bir tür siber saldırıdır. Bu saldırılar, hassas verileri çalmak, sahte mesajlar göndermek veya trafiği başka bir siteye yönlendirmek gibi amaçlarla yapılabilir. MITM ataklarını gerçekleştirmek için kullanılan bazı araçlar şunlardır:
- bettercap: WiFi, Bluetooth, kablosuz HID ve IPv4 ve IPv6 ağları üzerinde keşif ve MITM saldırıları yapmak için tasarlanmış bir İsviçre çakısıdır. Hem komut satırı hem de web arayüzü sunar.
- hetty: HTTP ve HTTPS trafiğini yakalamak, filtrelemek ve değiştirmek için kullanılan bir web arayüzüdür. Ayrıca, web uygulamalarının güvenlik testi için faydalı olabilecek bazı özellikler sunar.
- proxy.py: HTTP ve HTTPS trafiğini yakalamak, filtrelemek ve değiştirmek için kullanılan bir Python kütüphanesi ve komut satırı aracıdır. Ayrıca, web sunucusu, ters proxy, DNS çözümleyici, TLS araya girme gibi ek özellikler sağlar.
- burp: Web uygulamalarının güvenlik testi için kullanılan bir yazılım paketidir. HTTP ve HTTPS trafiğini yakalamak, filtrelemek, değiştirmek ve tekrar oynatmak için araçlar sunar. Ayrıca, web zafiyet taraması, otomatik saldırılar, içerik keşfi gibi ek özellikler sağlar.
- mitmproxy: HTTP ve HTTPS trafiğini yakalamak, filtrelemek, değiştirmek ve tekrar oynatmak için kullanılan bir komut satırı aracıdır. Ayrıca, web arayüzü, Python API, eklenti desteği, TLS araya girme gibi ek özellikler sunar.
- ettercap: LAN üzerinde MITM saldırıları için kullanılan bir ağ güvenliği aracıdır. HTTP ve HTTPS trafiğini yakalamak, filtrelemek, değiştirmek ve tekrar oynatmak için araçlar sunar. Ayrıca, protokol analizi, ağ ve sunucu keşfi, şifre kırma, ARP zehirlenmesi gibi ek özellikler sunar.
Bettercap Aracı
Bettercap, bir ağdaki cihazlar arasındaki veri akışını izlemek, değiştirmek veya engellemek için kullanılan bir güvenlik aracıdır. Bu, ağ güvenliğini test etmek, hassas bilgileri çalmak veya diğer kötü amaçlı eylemleri gerçekleştirmek için yapılabilir. Bu tür saldırılara Man-in-the-Middle (MITM) saldırıları denir.
Bettercap, Go adı verilen bir programlama dili ile yazılmıştır. Go, Google tarafından geliştirilen, yüksek performanslı ve basit bir dil olarak tanımlanabilir. Go, hem açık kaynaklı hem de kapalı kaynaklı işletim sistemlerinde çalışabilir.
Bettercap, farklı ağ türlerinde ve cihazlarda çalışabilir. Wi-Fi ve Ethernet ağlarında, ağdaki cihazların IP adreslerini ve açık portlarını bulabilir. Bluetooth cihazlarında, yakındaki cihazları tespit edebilir ve bağlantılarını bozabilir.
Bettercap, Kali Linux adı verilen bir Linux dağıtımında varsayılan olarak yüklü değildir. Kali Linux, güvenlik testi ve etik hackleme için tasarlanmış bir işletim sistemidir. Bettercap'ı Kali Linux'a kurmak için, komut satırında sudo apt-get install bettercap komutunu kullanabilirsiniz. Bu komut, Bettercap'ı indirir ve yükler.

UYGULAMA
Bettercap Aracının Kullanımı ve Çalıştırılması
Aşağıdaki adımları takip ederek, bettercap aracını çalıştırın.
1. Adım: Bettercap aracını kurmak için, Kali Linux terminalinde sudo apt-get install bettercap komutunu yazın. Kurulum tamamlandıktan sonra, sudo bettercap iface eth0 komutu ile aracı çalıştırın. Bu komut, aracın eth0 adlı ethernet arayüzünü kullanarak ağa bağlanmasını sağlar. Eğer başka bir arayüz kullanmak isterseniz, iface parametresini değiştirebilirsiniz.
2. Adım: Aracın hangi servisleri sunduğunu ve hangi komutların nasıl kullanıldığını görmek için help komutunu yazın. Bu komut, aracın tüm modüllerini, parametrelerini ve seçeneklerini listeler. Ayrıca, help <modül adı> komutu ile belirli bir modül hakkında daha fazla bilgi alabilirsiniz.
3. Adım: Ağdaki cihazları tespit etmek ve MAC adresleri ile IP adresleri gibi bilgileri almak için net.probe on komutunu yazın. Bu komut, ağdaki cihazlara UDP paketleri göndererek, onların varlığını kontrol eder. Bu işlem bir süre devam eder ve sonuçlar araç tarafından kaydedilir.
4. Adım: net.show komutu ile net.probe modülünün sonuçlarını bir tablo halinde görüntüleyin. Bu tabloda, cihazların IP adresleri, MAC adresleri, ağ isimleri, üretici firmaları gibi bilgiler yer alır. Bu bilgiler, saldırı yapmak istediğiniz hedefi belirlemenize yardımcı olur.
5. Adım: help arp.spoof komutu ile arp.spoof modülünün nasıl çalıştırıldığını ve hangi parametreleri aldığını görün. arp.spoof modülü, ARP spoofing saldırısı yapmanızı sağlar. ARP spoofing saldırısı, ağdaki cihazların ARP tablolarını değiştirerek, onların ağ trafiğini yönlendirmenizi sağlar. Örneğin, bir cihazın internete bağlanmak için kullandığı modemin MAC adresini, sizin bilgisayarınızın MAC adresi ile değiştirirseniz, o cihazın internet trafiği sizin bilgisayarınızdan geçer. Böylece, o cihazın gönderdiği ve aldığı tüm verileri görebilir, değiştirebilir veya engelleyebilirsiniz. arp.spoof modülü, aşağıdaki komutlarla kontrol edilir:
- arp.spoof on: ARP spoofing saldırısını başlatır.
- arp.ban on: ARP spoofing saldırısı sırasında, hedef cihazın ağ ile bağlantısını keser. Bu, hedef cihazın internete erişimini engeller.
- arp.spoof off: ARP spoofing saldırısını durdurur.
- arp.ban off: ARP ban saldırısını durdurur.
arp.spoof modülü, aşağıdaki parametreleri alabilir:
- arp.spoof.fullduplex: Bu parametre true olarak ayarlanırsa, hem hedef cihaza hem de modeme ARP spoofing saldırısı yapılır. Bu, saldırının daha etkili olmasını sağlar.
- arp.spoof.internal: Bu parametre true olarak ayarlanırsa, aynı ağdaki cihazlar arasında ARP spoofing saldırısı yapılır. Bu, ağ içindeki trafiği izlemenizi sağlar. Aksi takdirde, ağ dışındaki trafiği izlersiniz.
- arp.spoof.targets: Bu parametre ile saldırı yapmak istediğiniz cihazların IP adreslerini belirtirsiniz. Birden fazla cihaz belirtmek için, IP adreslerini virgül ile ayırabilirsiniz.
6. Adım: set arp.spoof.fullduplex true ve set arp.spoof.targets <hedef IP> komutları ile arp.spoof modülünün parametrelerini ayarlayın. Burada, <hedef IP> yerine, saldırı yapmak istediğiniz cihazın IP adresini yazın. Örneğin, set arp.spoof.targets 10.0.2.15 gibi. Ardından, arp.spoof on komutu ile saldırıyı başlatın. Saldırı başladığında, araç tarafından log mesajları görüntülenir. Bu mesajlarda, modemin MAC adresi ile hedef cihazın MAC adresinin aynı olduğunu görebilirsiniz. Bu, saldırının başarılı olduğunu gösterir.
7. Adım: Hedef cihazın yaptığı tüm işlemleri izlemek ve verileri yakalamak (sniffing) için net.sniff on komutu ile net.sniff modülünü çalıştırın. Bu modül, ağdaki tüm trafiği analiz eder ve size gösterir. Gelen ve giden web sayfaları, HTTP istekleri, DNS sorguları gibi çok detaylı bilgileri görebilirsiniz. Bu bilgileri kullanarak, hedef cihazın ne yaptığını, hangi sitelere girdiğini, hangi verileri gönderdiğini veya aldığını öğrenebilirsiniz. Ayrıca, bu verileri değiştirerek, hedef cihazı yönlendirebilir, yanlış bilgilere ulaştırabilir veya zararlı kodlar gönderebilirsiniz.
MITM saldırıları, ağdaki cihazların güvenliğini tehdit eden çok tehlikeli saldırılardır. Çünkü saldırgan, ağa bağlı olan herhangi bir cihazın trafiğini ele geçirebilir, izleyebilir ve manipüle edebilir. Saldırganın yapabileceklerinin bir sınırı yoktur. Bu yüzden, ağ güvenliğine dikkat etmek ve saldırılara karşı önlem almak çok önemlidir.
 

Konuyu görüntüleyen kullanıcılar

Üst