Başlamadan önce belli başlı kavramları görseller ile öğrenelim.
Aşağıda bir kurbanın sağlıklı olarak
internete erişimini görmekteyiz.
Burada ise Man in the Middle
saldırısına maruz kalmış bir kurbanın internete erişimini görmekteyiz.
MITM (Man-in-the-Middle) saldırısı, bir saldırganın iki taraf arasındaki
iletişime gizlice girdiği ve bu iletişimi dinlediği veya değiştirdiği bir siber
saldırı türüdür. Bu saldırıda, saldırgan sanki iletişimin meşru bir parçasıymış
gibi davranır ve taraflar arasındaki veri akışını kontrol eder.
ARP (Address Resolution Protocol - Adres Çözümleme Protokolü), yerel ağdaki cihazların IP
adreslerini MAC adreslerine çeviren bir protokoldür. Kısaca, "Hangi IP
adresine sahip cihazın MAC adresi nedir?" sorusuna cevap verir.
ARP'nin Çalışma Şekli:
•
Bir cihaz, yerel ağda bir başka cihaza veri
göndermek istediğinde, hedef cihazın IP adresini bilir, ancak MAC adresini
bilmez.
•
Bu durumda, cihaz bir ARP isteği (ARP request)
yayınlar. Bu istek, yerel ağdaki tüm cihazlara gönderilen bir yayındır.
•
ARP isteği, "Bu IP adresine sahip cihazın
MAC adresi nedir?" sorusunu içerir.
•
Hedef cihaz, ARP isteğini aldığında, kendi MAC
adresini içeren bir ARP yanıtı (ARP reply) gönderir.
•
Gönderen cihaz, ARP yanıtını aldığında, hedef
cihazın IP ve MAC adreslerini bir ARP tablosunda saklar.
•
Böylelikle, sonraki iletişimlerde ARP isteği
göndermesine gerek kalmaz.
Burada VICTIM olarak adlandırdığımız cihazımız local ağda bir broadcast
yayın yaparak 10.0.2.6 ip adresinin kime ait olduğunu sorgular.
PC2 aldığı yayın doğrultusunda geri dönüş sağlayak mac adresinide
paylaşır. Bu mac adres ile ip adresi arp tablosunda saklar. Böylelikle sonraki
iletişimlerde tekrardan arp isteği göndermesine ihtiyaç duyulmaz.
Burada arp spoofing işlemi yapan ve ortadaki adam olan bir hacker mevcut.
VICTIM ile gateway arasına geçerek tüm trafiğin kendinden geçmesini sağlıyor.
İşin kötü yanı da bu trafiği üstünden geçiren MITM tüm trafiği dinleyip,
kod injection yapabiliyor
