Adres Çözümleme Protokolü ve ARP Zehirlenmesi (ARP Spoofing)
İngilizce’de ARP Spoofing olarak geçen ve dilimize ARP Zehirlenmesi veya ARP Önbellek Sahtekarlığı şeklinde tercüme ettiğimiz saldırının ne olduğunu bilmeden önce “ARP Nedir?” sorusuna yanıt vermek gerekmektedir.
Adress Resolution Protocol Nedir?
Adres Çözümleme Protokolü kısaca ARP bir tür internet protokolüdür. Ağ katmanındaki adreslerin veri bağlantısı katmanının (2. Katman) anlayabileceği şekilde dönüşmesini sağlayan bir protokoldür. Adres Çözümleme Protokolü sürekli değişen IP adresini yerel alan ağında (LAN) MAC adresi olarak bilinen fiziksel makine adresine bağlamaktadır.
ARP Zehirlenmesi Nedir?
ARP zehirlenmesi, saldırganın yerel alan ağında sahte Adres Çözümleme Protokolü mesajları gönderdiği bir saldırı türüdür. Saldırgan kendi MAC adresini farklı bir sistemin IP adresiyle ilişkilendirerek bu adrese gelen ağ trafiğini kendi üzerine çekmeyi hedeflemektedir. Böylece saldırgan ortadaki adam (Man in the Middle) saldırısını gerçekleştirebilecek ortamı yakalamaktadır.
ARP Zehirlenmesi Sistemi Nasıl Etkiler?
Zafiyet ortadaki adam saldırısının ortaya çıkmasını tetiklediği için son derece önemli bir zafiyet olarak değerlendirilmektedir. Hedef sisteme sızmak ve veri elde etmek isteyen saldırgan kandırmaca tekniğini kullanarak kurban ve kurbanın iletişim kurmak istediği makine arasına girip giden gelen trafiğini izleyebilir.
İki makine arasına giren saldırgan iletişim sırasında gidip gelen paketleri okuyarak hassas verileri ele geçirebilir.
ARP Spoofing Nasıl Tespit Edilebilir?
ARP sahtekarlığı sızma testleri sırasında sıklıkla uygulanılan bir saldırı türüdür. Sızma testlerinin yanında kötü niyetli kişiler tarafından da kullanılmaktadır. Kurum ağınızdaki kötü niyetli bir kişi iki makine arasına girip trafiği dinleyebilir ve son derece kritik verilerin sızdırılmasına neden olabilir. Spoofing faaliyetinin varlığından şüphelenilen bir ağda genel adli bilişim ve ağ adli bilişimi çalışmaları ile ortadaki adam saldırısının gerçekleştirilip gerçekleştirilmediği tespit edilebilmektedir. Adli bilişim çalışmaları sırasında sunucunun IP adresi ve DNS bilgisi incelenir. Ardından sunucunun sertifikalarının geçerlilik durumu analiz edilip Adres Çözümleme Protokolü kaynaklı bir sahtekarlığın meydana gelip gelmediği incelenebilmektedir.
ARP Zehirlenmesi Nasıl Önlenir?
Tespit edilmesi son derece zahmetli ve zor olan bu saldırıyı gerçekleşmeden önce önlemek için uygulanabilecek bazı teknikler bulunmaktadır.
- Güçlü bir güvenlik duvarı kullanılmalıdır.
- Zehirlenmeyi algılayan ve önleyen yazılımlar kullanılmalıdır.
- Şifrelenmiş ağ protokolleri tercih edilmelidir. Güçlü bir TLS algoritması kullanılmalı ve web trafiği HTTPS üzerinden iletilmelidir.
- Kablosuz Ağ şifresi karmaşık karakterler içermeli ve 12 karakterden uzun olmalıdır. Ağ içerisine güvenilmeyen kişiler kesinlikle dahil edilmemelidir.
- Ağ paketleri filtrelenerek ARP zehirlenmesi yapılıp yapılmadığı anlaşılabilir. Çakışan kaynak adreslerine sahip paketler engellenmelidir.