Mitm atağı yerel, yerelden uzak ve uzak ağlarda çeşitli yollarla yapılabilir. Bunlar şu şekilde sıralanabilir:

Yerel Ağda (Local Area Network):

1. Arp Poisoning
2. DNS Spoofing
3. STP Mangling
4. Port Stealing

Yerleden Uzak Ağda (From Local to Remote):

1. ARP Poisoning
2. DNS Spoofing
3. DHCP Spoofing
4. ICMP Redirect
5. IRDP Spoofing
6. Route Mangling

Uzak Ağda (Remote Network):

1. DNS Poisoning
2. Traffic Tunneling
3. Route Mangling

Mitm atağında saldırgan, bilgisayarında router gibi davranmak için ip forwarding özelliğini etkin hale getirmelidir. Ancak Cain&Abel’ de buna gerek yoktur. Program, bu özelliği kendi bünyesinde barındırır.

Cain&Abel programında yerel ağda arp poisoning yöntemini kullanarak mitm atağını gerçekleştirelim.

1. İlk önce ağdaki bilgisayarları önceki yazımda anlattığım gibi tespit ediyoruz. Ağımızdaki düğümleri tespit ettikten sonra Mitm atağı için Arp zehirleme (arp poisoning) atağını gerçekleştirmemiz gerekir. Kurbanın (192.168.2.4) gönderdiği paketlerin, anahtarlayıcı (switch) yerine saldırgan bilgisayara (192.168.2.3) ulaşmasının sağlanması ile bu olay gerçekleştirilir. Bunun için de saldırganın fiziksel adresi (00:13:02:e2:58:44), anahtarlayıcının fiziksel adresi gibi gösterilmelidir.  Cain&Abel programında, arp poisoning atağını Sniffer bölümü seçiliyken yapabiliriz.

2. Sniffer bölümünde APR (Arp Poison Routing) seçili iken artı (+)sembolüne tıklıyoruz.

3. Arp zehirleme atağı için kurbanı seçiyoruz.

4. Formun sağından Arp zehirlenmesinden etkilenmesi gereken düğüm ya da düğümleri seçiyoruz (192.168.2.1).

5. Arp poisoning aşaması tamamlanır, seçtiği kurbanın bir siteye girmesini bekler.

6. Kurban herhangi bir siteye girdiğinde eğer bilgisayarı güvenli değilse ya da güvenli bir ağda değilse, bu bilgisayarın tüm bilgileri saldırganın bilgisayarından geçer. Ve aşağıda bu yönlendirmeleri görebiliriz.

7. Eğer kullanıcı, sertifikası doğrulanmamış bir siteye giriş yapıyorsa, bir uyarı alır. Bu uyarıyı alan kullanıcıların işleme devam etmemesi gerekir. Çünkü bilgilerinin kötü niyetli biri tarafından izlenme olasılığı yüksektir. Aşağıda yanlış ve doğru olan sertifikaları görmekteyiz.

Arp poisoning yöntemi ile yapılan mitm atağı basit güvenlik önlemleriyle engellenebilir. Bunlardan bazıları şunlardır:

1. Anahtarlayıcı (Switch) üzerinde arp zehirlenmesi engellemek için kullanılması gereken örnek konfigürasyon:

CiscoSW(config)#ip arp inspection vlan 1
CiscoSW(config)#ip arp inspection validate dst-mac src-mac ip
CiscoSW(config)#arp access-list servers
CiscoSW(config-arp-nacl)#permit ip host 192.168.69.25 mac host 000c.2957.6b39 log
CiscoSW(config-arp-nacl)#exit
CiscoSW(config)#ip arp inspection filter servers vlan 1

2. Anahtarlayıcı (Switch) üzerinde her ip adresini bir fiziksel (mac) adresine eşleştirmek. Bu sayede varsayılan ağ geçidinin mac adresi değiştiğinde bu kullanım geçersiz olmaktadır.

Switch(config)#interface <arayüz adı> <arayüz numarası>

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum <toplam düğüm sayısı>

Switch(config-if)#switchport port-security violation <protect | restrict | shutdown>

Switch(config-if)#switchport port-security mac-address <Düğümün MAC adresi>

3. SSL sertifikası güvenlik uyarılarını dikkate almak. Eğer güvenli ssl sertifikaları kullanılırsa kurban girdiği sayfada öncelikle güvenlik sertifikası kontrolü yapılır. Kontrol sonucunda eşleşmeyen bir sertifika olursa hata mesajı görülür.

4. İzleme Programları kullanmak (Arpwatch, Arpsnmp)

Eğer ben bunlarla yetinmem diyorsanız, önleme yöntemlerini cisco cihazlar için ayrıntılı bir şekilde burada bulabilirsiniz.

Cain&Abel, ağı dinleme, ağı zehirleme, şifre kırma, traceroute çekme gibi çeşitli fonksiyonlara sahiptir. Bu fonksiyonlardan en önemlilerinden birisi olan ağı dinleme ve keşfetmeyi ayrıntılı bir şekilde anlatmaya çalışacağım.

Bir ağı dinlemek için en basit yöntem arp istek paketi göndermektir. Bunu şu şekilde de anlatabiliriz. Mesela siz bir apartmanda kimlerin evde olduğunu öğrenmek istiyorsunuz. Bunun için ne yapardınız? Tabiki tek tek zilleri çalardınız ve kim cevap verdiyse not alırdınız ve hangi dairelerin boş olup olmadığını anlardınız. İşte ağı dinlemede de yaptığımız tam olarak budur. Önce arp istek paketlerini o ağdaki tüm ip adreslerine göndeririz. Sonra o ağdaki bilgisayardan gelen cevapların kaynak mac ve ip adresine bakarak, hangi ip adreslerinde hangi bilgisayarların bulunduğunu öğrenebiliriz. Sözü uzatmadan hemen bunun Cain&Abel’ de nasıl gerçekleştirdiğimizi anlatmaya başlayayım. Cain&Abel’ in basit bir kurulumu olduğundan, kurulumundan bahsetmeyeceğim.

1. İlk önce configure butonunu tıklayıp ağı dinleyeceğimiz ağ bağdaştırıcısını seçiyoruz.

2. Ağ bağdaştırıcımızı seçtikten sonra alttaki menülerden düğüm (host) seçili iken ağ dinleme (Sniffer) bölümünü seçiyoruz.

3. Dinle butonuna tıkladıktan sonra + sembolünü seçip, dinlemek istediğimiz ip aralığını belirliyoruz. Eğer bir ağa bağlıysak alt ağımdaki tüm düğümleri dinle seçeneğini seçmemiz gerekir. Yoksa program kendi ağımızın dışındaki düğümlere arp istekleri göndermeye çalışır. Arp isteklerinin bulundukları ağın dışına çıkmamaları için bloke edildiklerini düşünürsek gereksiz yere arp istek paketleri göndereceğimiz bellidir.

Artık ağımızdaki bilgisayarları ip ve mac adreslerini görebiliriz. Ancak bu uygulama ipv4 protokolü uygulanan bir ağda gerçekleştirilebilir. İpv6’ ya geçildiğinde, bu protokol 128 bitlik bir yapıya sahip olduğundan ağdaki bilgisayarları bulmak için broadcast  kullanılamayacak. Yani yakında birçok ağın ipv6 protokolüne geçeceği düşünülürse artık ağları dinlemek bu kadar kolay olamayacak. Herkese iyi dinlemeler