MITM (Ortadaki Adam) Saldırıları

MITM Nedir?

Ortadaki adam saldırısı, iki ağ cihazı arasındaki iletişimin manipüle edilmesidir. İki cihazın arasına giren saldırgan iletişimi dinleyebilir, sonlandırabilir yada sahte bir iletişim oluşturabilir. Trafiği dinleyen saldırgan hedef sisteme ait birçok bilgi ele geçirebilir. Bu saldırılar yerel ağda veya uzak ağda olabilirler. Yerel ağda yapılacak saldırılar; ARP Poisoning (ARP Zehirlenmesi), DNS Spoofing (DNS Ön Bellek Zehirlenmesi), Port Stealing, STP Mangling örnek olarak verilebilir. Tespiti zor olan bu saldırı türleri oldukça yaygındır.

BÖLÜM 1

MITM Saldırı Türleri

MITM (Ortadaki Adam) birçok saldırı türüne sahiptir. ARP Poisoning, Port Stealing, STP Mangling, ICMP Redirection bu saldırılardan sadece birkaçıdır.

  • ARP Poisoning (ARP Zehirlenmesi)

Saldırgan ağ cihazı üzerinde kendi MAC adresini hedef MAC adresi olarak gösterirken hedef sistemde ise ağ cihazı MAC adresi olarak gösterir. Bu sayede trafik saldırganın üzerinden akmaya başlar.

  • DNS Spoofing (DNS Sahteciliği)

DNS sunucusunun ön bellek veri tabanında değişiklik yapılarak hedef sistemin saldırganın belirlediği ip adresine yönlendirme saldırısıdır. Bu sayede DNS sunucusuna istekte bulunan hedef sistem saldırganın IP’sine yönlendirilerek saldırı gerçekleşmiş olur.

  • Port Stealing (Port Hırsızlığı)

Saldırgan ağ cihazının MAC adresini kopyalar. Hedef sistem kaynağa bağlı olduğunu zanneder ve trafiği saldırgana gönderir.

  • STP Mangling

Bu saldırı türü STP protokolünü sabote etmeyi amaçlar. STP protokolü veri iletimindeki hiyerarşik yapıyı koruyan bir protokoldür ve yapıda döngü oluşmasını engeller. STP protokolü sabote edildiğinde ise hiyerarşik denge bozulur ve paketler cihazlar arasında sonsuz bir döngüye girer.

  • DHCP Spoofing (DHCP Sahteciliği)

DHCP, cihazlara otomatik IP adresi, subnet mask, ağ geçidi atayan ve bunların senkronizasyonunu sağlayan bir protokoldür. Sahte DHCP sunucusu olarak görev yapan saldırgan trafiği kendi ağ geçidi üzerinden gönderir.

  • ICMP Redirection

IP ile aynı katmanda olan ICMP, IP protokolünün aksine hata düzeltme ve hata düzeltme gibi özelliklere sahiptir. ICMP paketi gönderilerek gerekli metodlar uygulandıktan sonra saldırgan iletişimde araya girebilir.

Yerel ağda, ağ geçidi üzerinden veya uzaktan olarak gerçekleştirilebilen bu ve bunun gibi saldırılar diğer saldırı türleri içinde kapı açmış olur. Bu nedenle bu saldırıları tespit etmek ve bu saldırılardan korunmak oldukça önemlidir. Kaynağın güvenilirliği ve veri doğruluğu tespit edilmelidir. Trafiğin asimetrik bir şifrelenme metodu kullanılarak iletilmesi güvenliği arttıracak unsurlardan biridir. Saldırıya uğramış veya saldırı şüphesi bulunan trafik analiz edilmelidir. Adli analiz metotları ile incelenen ağ iletişimi saldırı kaynağı, kimliği gibi birçok delil niteliğinde bilgi sunabilir.

İlgili Yazılar

DES-619_BlogHeader_PassTheTicket-1167x500

Pass The Ticket

Yazar: Onur Savaş Pass-the-ticket saldırısı, Windows Active Directory ortamında bilet adı verilen kimlik doğrulama bilgilerinin çalınmasını ve yeniden kullanılmasını içeren bir...
adli-bilisimin-onemi

Adli Bilişimin Önemi

Küçük yerel bir işletme veya dünya devi bir şirket fark etmez, kurumsal yapının omuriliği bilgi işlem altyapısıdır. Mahiyetine bakmaksızın, bilgi...
dijital-delil-tespiti-nasil-istemeliyim

Dijital Delil Tespiti Nasıl İstemeliyim?

Dijital Delil Tespiti Nasıl İstemeliyim? Türkiye’de veya dünyanın neresinde olursa olsun, ADALET önemli bir yapı taşıdır. İnsanların yaşadıkları toplumlarda hava...