ARP DİNLEME
ARP (Adres Çözümleme Protokolü) IP adreslerini fiziksel adrese dönüştürmek için kullanılır. Bir paketin bir bilgisayardan çıktığında nereye gideceğini IP numarası değil gideceği bilgisayarın fiziksel adresi (MAC) belirler. Bu adreste paketin gideceği ip numarası kullanılarak elde edilir.
ARP (Adres Çözümleme Protokolü) Ardından paket yönlendirilir. ARP adres çözümlemek istediği zaman tüm ağa bir ARP istek mesajı gönderir ve bu IP adresini gören yada bu IP adresine giden yol üzerinde bulunan makine bu isteğe cevap verir ve kendi fiziksel adresini gönderir. ARP isteğinde bulunan makine bu adresi alarak verileri bu makineye gönderir.
ARP (Adres Çözümleme Protokolü)
Donanım Adresleme Yerel ağlarda kullanılmak için üretilmiş donanımlar üretici tarafından aygıta programlanan benzersiz bir adrese sahip olmalıdırlar. Ethernet ve Token Ring LAN donanımları için bu adres ortam erişim denetim adresi olarak bilinir. Her ortam erişim denetim adresi, aygıtı kendi fiziksel ağı içerisinde 6 baytlık bir numara ile tanıtır. Bu numara ağ bağdaştırıcısı gibi her fiziksel donanımın salt okunur belleğine (ROM) programlanmıştır. Ortam erişim denetim adresleri onaltılık sayılar şeklinde görüntülenir (örneğin , 00-AA-00-3F-89-4A).
ARP yerel trafik için ortam erişim denetim adreslerini nasıl çözümler?
Bu örnekte A ve B adlı iki TCP/IP ana bilgisayarı aynı fiziksel ağ üzerinde yer almaktadır. A ana bilgisayarına 10.0.0.99 IP adresi ve B ana bilgisayarına 10.0.0.100 IP adresi atanmıştır. A ana bilgisayarı B ana bilgisayarıyla iletişim kurmaya çalıştığında aşağıdaki adımlar B ana bilgisayarının yazılımla atanan adresini (10.0.0.100) B ana bilgisayarının donanımla atanan ortam erişim denetim adresine çözümler:
1- A ana bilgisayarındaki yönlendirme tablosunun içeriğine bağlı olarak, IP, B ana bilgisayarına erişmek için kullanılacak iletme IP adresinin 10.0.0.100 olduğunu belirler. Sonra A ana bilgisayarı kendi yerel ARP önbelleğinde B ana bilgisayarı için eşleşen bir donanım adresi arar.
2- A ana bilgisayarı önbellekte eşleşen bir adres bulamazsa yerel ağdaki tüm ana bilgisayarlara "10.0.0.100 için donanım adresi nedir?" sorusunu yayınlar. Bu ARP istediğinde kaynak A ana bilgisayarının hem donanım hem de yazılım adresi yer alır. Yerel ağda bulunan her ana bilgisayar ARP istediğini alır ve kendi IP adresiyle bir eşleşme olup olmadığını denetler. Bir ana bilgisayar kendi IP adresiyle bir eşleşme bulamazsa ARP isteğini atar.
3- B ana bilgisayarı ARP istediğindeki IP adresinin kendi IP adresiyle eşleştiğini belirler ve yerel ARP önbelleğine A ana bilgisayarı için bir donanım/yazılım adres eşleştirmesi ekler.
4- B ana bilgisayarı, donanım adresini içeren bir ARP yanıt iletisini doğrudan A ana bilgisayarına geri gönderir.
5 - A ana bilgisayarı B ana bilgisayarından ARP yanıt iletisini aldığında ARP önbelleğini B ana bilgisayarının donanım/yazılım adres eşleştirmesiyle güncelleştirir.
ARP uzak trafik için ortam erişim denetim adreslerini nasıl çözümler?
Bu örnekte A ana bilgisayarına 10 Bu örnekte A ana bilgisayarına 10.0.0.99 IP adresi ve B ana bilgisayarına 192.169.0.99 IP adresi atanmıştır. 1 numaralı yönlendirici arabirimi A ana bilgisayarıyla aynı fiziksel ağdadır ve 10.0.0.1 IP adresini kullanmaktadır. 2 numaralı yönlendirici arabirimi B ana bilgisayarıyla aynı fiziksel ağdadır ve 192.168.0.1 IP adresini kullanmaktadır. A ana bilgisayarı B ana bilgisayarıyla iletişim kurmaya çalıştığında aşağıdaki adımlar 1 numaralı yönlendirici arabiriminin yazılımla atanan adresini (10.00,00,1) donanımla atanan ortam erişim denetim adresine çözümler:
1- A ana bilgisayarındaki yönlendirme tablosunun içeriğine bağlı olarak, IP, B ana bilgisayarına erişmek için kullanılacak iletme IP adresinin 10.0.0.1, yani varsayılan ağ geçidinin IP adresi olduğunu belirler. Sonra A ana bilgisayarı kendi yerel ARP önbelleğinde 10.0.0.1 IP adresi değeriyle eşleşen bir donanım adresi arar. 2- A ana bilgisayarı önbellekte eşleşen bir adres bulamazsa, yerel ağdaki tüm ana bilgisayarlara "10.0.0.100 için donanım adresi nedir?" sorusu ile bir ARP isteği çerçevesi yayınlar. Bu ARP istediğinde kaynak A ana bilgisayarının hem donanım hem de yazılım adresi yer alır. Yerel ağda bulunan her ana bilgisayar ARP istediğini alır ve kendi IP adresiyle bir eşleşme olup olmadığını denetler. Bir ana bilgisayar kendi IP adresiyle bir eşleşme bulamazsa ARP isteğini atar.
3- Yönlendirici ARP istediğindeki IP adresinin kendi IP adresiyle eşleştiğini belirler ve yerel ARP önbelleğine A ana bilgisayarı için bir donanım/yazılım adres eşleştirmesi ekler. 4- Yönlendirici bundan sonra, donanım adresini içeren bir ARP yanıt iletisini doğrudan A ana bilgisayarına geri gönderir. 5- A ana bilgisayarı yönlendiriciden ARP yanıt iletisini aldığında ARP önbelleğini 10.0.0.1 için donanım/yazılım adres eşleştirmesiyle güncelleştirir.
ARP Zehirlenmesi Arp zehirlenmesi, AR (Adress Resolution) protokolü OSI katman modelinde network katmanında yer alır. Bu katmanda yer alan ARP, IP adreslerini MAC adreslerini çevirir. Bu IP adreslerine karşılık gelen MAC adreslerini ARP tablolarında tutar ve ARP tabloları da belirli aralıklarla güncellenir.
ARP Zehirlenmesi Nedir ve Nasıl Olur? Bir ip adresine karşılık, sahte bir MAC adresi oluşturulmasına ARP zehirlenmesi denir. ARP tablolarında tutulan IP ve MAC adresi eşleştirmelerine müdahele etmek mümkündür. Bu tablolara yapılacak müdahele ile ağ trafiği artırılarak, ağ isteklere cevap veremez hale getirilebilir. ARP zehirlenmelerinde, saldırgan ağ trafiğini değiştirebilir ya da ağ trafiğini tamamen durdurabilir. İşte bu tür olaylara ARP zehirlenmesi denilmektedir.
ARP Zehirlenmesi Çeşitleri ARP zehirlenmesi adı verilen saldırılar yerel ağlarda gerçekleştirilen saldırılardır. ARP saldırılarının yerel ağlarda yapılmasının sebebi ise MAC adresinin yerel ağ dışına gönderilmemesidir. Yerel ağda MAC adresi bilgisi o ağda yer alan swicth ve yönlendirici gibi elemanlara gönderildiği için saldırgan MAC adresi bilgisine ulaşabilir. Buradaki güvenlik açığını kullanarak, ARP tabloları üzerinde istediği değiştirmeleri yapabilir. ARP zehirlenmesi üç şekilde gerçekleştirilmektedir. Hedef Bilgisayarın ARP tablosunu doldurarak Ortadaki adam yöntemiyle Hedef Bilgisayarın Paketlerini Başka Bir Bilgisayara Göndererek gerçekleştirilir
1.Hedef Bilgisayarın ARP tablosunu Doldurma Burada saldırgan hedef bilgisayarın ARP tabloları üzerinde doğrudan değişiklikler yapar. Örneğin; saldırgan hedef bilgisayarın ARP tablosunu yanlış bilgilerle doldurur ve hedef bilgisayarın göndereceği paketlerin saldırganın belirttiği adreslere gitmesini sağlayabilir. Bu yöntemle gönderilmek istenilen paketin, istenilen yere ulaşması engellenebilir
2.Ortadaki Adam Yöntemi (Man in the Middle) Bu yöntemde saldırgan, hedef bilgisayar ile hedef bilgisayarın ulaşmak istediği noktanın arasına girer. Bütün iletişimi istediği gibi kontrol eder. Ağda gönderilen bir paketi alıp, paketin destination MAC adres bilgisine kendi MAC adresini yazar. Pakete yapılan bu müdahele ile artık yollanan paketler saldırganın bilgisayarına gider.
Saldırgan da paket üstünde istediği gibi değişiklik yapabilir. Bu yöntemle kullanıcının yolladığı tüm bilgiler saldırgan üzerinden geçer ve bu yöntem oldukça tehlikelidir. Tüm gönderilen bilgiler (kredi kartı bilgileri, şifre vb.) alınabilir. Bu yöntem ARP dışında pek çok saldırılarda da kullanılmaktadır. En fazla kullanılan saldırı çeşitlerindendir.
3. Hedef Bilgisayarın Paketlerini Başkasına Gönderme Burada da saldırgan hedef bilgisayarın göndereceği paketi başka bir bilgisayara gönderebilir. Örneğin kullanıcının HTTP üzerinden erişmek istediği web sayfası yerine kendi oluşturduğu sayfaya kullanıcıyı götürebilir. Bu şekilde bilgisayar servis dışı bırakılabilir.
Nasıl Savunulur? Bunun içinde birkaç yöntem bulunmaktadır. Bunun için geliştirilmiş olan pek çok ücretli ve ücretsiz yazılım vardır. Bu yazılımlar kullanılarak bu saldırıları engellemek mümkün olabilir. Bir başka yöntem de donanımsal olarak çözmek olabilir. Örneğin; IP-MAC karşılaştırmasını switchler üzerinde bazı port konfigürasyonları ile çözülebilir.
Harici doğrulama sistemleri kullanmak IP, DNS, ARP, MAC adresleriyle doğrulama kullanan servisleri devre dışı bırakmak Statik ARP tabloları kullanmak, Switch’lerde her porta bir MAC adresi eşleşmesini sağlamak ve Swtich’leri tablo taşmalarından korumak Ters sorguları aktif hale getirmek (RDNS, RARP vb.) Doğrulama bilgilerinin (şifre, dosyalar vb.) istemci sisteminde tutulmasını engellemek