Salam Əziz oxucular, bu gün sizə Xakerlərin ən çox istifadə etdiyi hücum növlərindən biri olan ARP Spoofing haqqında danışacağıq. ARP Spoofing, xüsusi alətlər və proqramlar (məsələn, arpspoof, ettercap) istifadə edərək həyata keçirilir. Hücumçu, ARP mesajlarını göndərərək şəbəkədəki digər cihazların IP və MAC ünvanlarını dəyişdirir. Bu, şəbəkə trafikini yönləndirmək və ələ keçirmək üçün edilir. Detallara daha dərindən məqalənin ardında oxuya bilərsiniz.
Əvvəlcə ARP-nin nə olduğundan başlayaq.
ARP (Address Resolution Protocol) local şəbəkədəki cihazların IP ünvanlarından istifadə edərək MAC ünvanlarını tapmaq üçün istifadə edilən şəbəkə protokoludur. Məsələn, yerli şəbəkədəki (LAN) iki cihazdan biri digərinə məlumat göndərmək istədikdə, o, MAC ünvanını, eləcə də IP ünvanını bilməlidir. ARP əvvəlcə IP ünvanı məlum olan cihazdan MAC ünvanını tələb edir. Digər cihaz bu sorğuya cavab verir və MAC ünvanını göndərir, beləliklə məlumat ötürülməsi həyata keçirilə bilər.
Bir sözlə, ARP IP ünvanı məlum olan cihazın MAC ünvanını öyrənir. Digər tərəfdən, MAC ünvanından IP ünvanını öyrənmək üçün RARP (Reverse Address Resolution Protocol) istifadə olunur.
Yuxarıda gördüyünüz şəkildə, arping alətindən istifadə edərək ARP sorğusu göndərdik. Və cihazımız öyrəndiyi MAC ünvanını ARP cədvəlində qeyd etdi.
– I paremetiri ilə şəbəkə interfeyisi təyin edirik.
-c parametri ilə yalnız bir sorğu göndərəcəyimizi qeyd etdik.
ARP Spoofing nədir?
ARP Spoofing/Poisoning Man-in-the-Middle (MitM) hücumunun bir növüdür və şəbəkədəki cihazlar arasında olan əlaqəni ələ keçirilməsinə imkan verir. Xaker bir cihazı digəri kimi maskalamaq üçün ARP Spoofing-dən istifadə edir. Məsələn, bir şəbəkədə iki cihaz olduğunu təsəvvür edin: noutbuk və modem. Sonra şəbəkəyə qoşulan bir xaker var. Modem noutbukun MAC ünvanını öyrənmək üçün ARP sorğusu göndərməsə də, xaker yenə də noutbuk kimi görünən ARP cavabı göndərir. Cavabda o, İP-ni laptopun IP ünvanı, MAC ünvanını isə öz MAC ünvanı kimi yazır. Beləliklə, modem ARP cədvəlindəki dəyərləri dəyişdirir və laptopun MAC ünvanının xakerin olduğunu düşünür. İndi noutbuk məlumatı modem əvəzinə xakerə göndərir. Eyni metodu dəyişdirərək və laptopa tətbiq etməklə, onu modemə bənzədir. Nəticədə, noutbuk xakerin modem olduğunu düşünür, modem isə laptopun təcavüzkar olduğunu düşünür və məlumat trafikinə müdaxilə edir. Bu yolla o, şifrələnməmiş məlumatları asanlıqla oxuya və dəyişikliklər edə bilər.
Arp Spoofing ilə təkcə trafik dinlənilmir. O, həmçinin DoS (Denial-of-service) hücumunu həyata keçirməyə imkan verir. Bir çox IP ünvanını bir MAC ünvanına bağlasanız, bütün sorğular həmin cihaza gedir. Nəticədə, daxil olan sorğuların intensivliyindən asılı olaraq, hədəf cihaz həddindən artıq yüklənir və onun çökməsinə səbəb ola bilər.
Beləliklə, bunu necə etməli?
Bu hücum adətən belə işləyir:
Xaker məşhur ARP saxtalaşdırma vasitələrindən birini işə salır. Məsələn, Arpspoof, Bettercap və ya Ettercap.
Şəbəkədə IP və MAC ünvanlarını skan etməyə başlayır.
Xaker qurban hədəfini seçdikdən sonra MAC ünvanını və qurbanın IP ünvanını ehtiva edən ARP cavablarını göndərməyə başlayır.
Şəbəkədəki digər cihazlar tutduqları ARP cavablarını qeyd edir və indi məlumatları xakerə göndərirlər.
Güman edirəm ki, biz bura qədər başa düşürük. Praktikada belə olur.
Əvvəlcə Kali cihazımdan arp-scan alətindən istifadə edərək şəbəkəni skan edirəm.
Hədəf 101 ilə bitən Windows komputer olacaq. Budur hücumdan əvvəl Windows arp cədvəli.
Gördüyünüz kimi modemimizin İP Adresi 192.168.1.1-dir, yəni modemin MAC ünvanı b0–2a ilə bitir.
Bu MAC ünvanını dəyişdirməklə biz şəbəkə bağlantısının Windows maşınımı manipulyasiya etməsinin qarşısını alacağıq.
Bu prosesi yuxarıda arpspoof aləti ilə həyata keçiririk. Təfərrüatlar aşağıdakılardır:
-i ilə Şəbəkə interfeysini parametri təyin edirik.
-t ilə hədəfi və hədəfdə hansı IP ünvanını dəyişmək istədiyimizi müəyyənləşdiririk.
Nəticədə hücumumuz uğurlu oldu və Windows ARP cədvəli aşağıdakı kimi dəyişir.
Bu müddət ərzində cihazımız şəbəkəyə daxil ola bilmir. Amma mühüm məqam hücumun davamlı olaraq davam etməsidir. Əks halda, 1-2 dəqiqədən sonra cihaz yenidən ARP sorğusu göndərir, modemin düzgün MAC ünvanına daxil olur və yenidən internetə qoşulur.