ARP Nedir? ARP Zehirlenmesi (ARP Poisoning) Nasıl Oluşur?
Adres Çözümleme Protokolü (ARP), bilgisayar ağlarının var olduğu ilk günlerden bu yana kullanılır ve ağlarda katmanlı yaklaşımı destekleme görevi görür.
Adres Çözümleme Protokolü’nün amacı veri bağlantı katmanında yer alan adresler ile IP adresleri arasında çeviri yapmaktır. Ağa bağlı aygıtlar belirli bir IP adresinin hangi cihaza atandığını ARP üzerinden sorgular. Bu eşleşme cihazlar aracılığıyla ağın geri kalanında da bilinebilir.
Son yıllarda ARP Zehirlenmesi (Poisoning) siber tehditlerden biri olarak öne çıkmaktadır. Bu saldırı türü, ARP üzerindeki zayıflıklardan yararlanmak isteyen siber saldırganlar tarafından geliştirilmiştir. DoS saldırılarından MITM saldırılarına kadar birçok farklı yöntemle bir arada kullanılan ARP Zehirlenmesi yöntemi, üst düzey saldırılara zemin hazırlar. Peki, ARP’nin yapısı ve bileşenleri nelerdir, ARP Zehirlenmesi nasıl gerçekleşir?
ARP’nin Bileşenleri Nelerdir?
ARP, IP konumlarını somut adreslere çevirme görevi üstlenir. ARP, iki temel bileşenden oluşur. Bunlar aşağıdaki gibidir:
- ARP isteği: Yerel ağ üzerinde bulunan bir aygıt başka bir aygıtla iletişime geçtiğinde IP adresiyle bir eşleşme olup olmadığını anlamak için ARP önbelleğini inceler. Herhangi bir eşleşme olmaması durumunda aygıt yerel ağa bir ARP isteği gönderir ve IP adresinin karşılığı olan MAC adresini öğrenmek ister.
- ARP yanıtı: IP adresine sahip olan ve söz konusu ARP isteğini alan aygıt bu isteğe ARP yanıtı ile cevap verir. ARP yanıtı içinde göndericinin MAC ve IP adreslerinin yanında hedef aygıtın MAC adresi de bulunur. ARP yanıtı doğrudan istekte bulunan hedef aygıta gönderilir.
ARP Zehirlenmesi Nedir?
ARP, durum bilgisi olmayan bir protokol olduğu için siber saldırganların düzenlediği saldırılara karşı savunmasız kalabilir. Siber saldırganların, ağdaki diğer cihazların MAC ve IP eşleşmelerini yanlış yönlendirmek için kullandığı siber tehdide ARP Zehirlenmesi denir. İlk olarak 1982 yılında piyasaya sürülen ARP teknolojisinde, o yıllardaki siber güvenlik tehdidinin fazla olmaması sebebiyle kimlik doğrulama mekanizmaları kullanılmaz. Bu da ARP Zehirlenmesi olarak adlandırılan saldırıları mümkün hale getirir. Bir siber suçlu yerel ağlardaki cihazların ARP önbelleğini sahte veya yanlış isteklerle doldurarak ARP’yi zehirleyebilir.
ARP Zehirlenmesi Saldırı Adımları Nelerdir?
ARP Zehirlenmesi, saldırıları içeriğine göre değişmekle birlikte genellikle benzer adımlardan oluşur. İşte ARP Zehirlenmesi saldırılarının adımları:
- Saldırgan bir hedef seçer: ARP Zehirlenmesi saldırısı düzenleyen siber suçlu ilk adımda kendine bir hedef makine belirler. Hedef aygıt, ağdaki bir uç nokta veya yönlendirici olarak bir ağ cihazı olabilir. Yönlendirici cihazlar saldırganlar için en ideal hedefler arasındadır. Çünkü yönlendiricilere yapılan bir ARP saldırısı tüm alt ağın trafiğini bozabilme potansiyeline sahiptir.
- Saldırgan saldırıyı başlatır: Siber suçlu, kendisine hedef aracı seçtikten ve uygun ayarlamaları gerçekleştirdikten sonra saldırıyı başlatır. Saldırgan ARP mesajlarını ya hemen yayınlar ya da istek alınana kadar beklemeyi tercih eder.
- Saldırgan yanlış yönlendirilen trafikte eylem gerçekleştirir: Siber suçlular, cihazlardaki ARP önbelleklerini bozduktan sonra yanlış yönlendirilen trafik üzerinde çeşitli eylemler yapar. Trafikte gerçekleştirilen eylemler tamamen saldırganın amacına bağlıdır.
ARP Zehirlenmesi Türleri Nelerdir?
ARP önbelleğinde bozulmalar oluşturan saldırgan ARP Zehirlenmesi tehditlerini farklı saldırı türlerinde kullanabilir. ARP Zehirlenmesi saldırılarının başlıca türleri şu şekildedir:
MITM Saldırısı
Ortadaki Adam saldırısı olarak bilinen MITM saldırıları, ARP Zehirlenmesi saldırılarının en tipik türlerinden biridir. Cihazlara sahte ARP yanıtları gönderen siber suçlu, ARP önbelleğini kendi sahte MAC adresleriyle doldurur. Bu sırada kurban hedefindeki kullanıcılar için her şey yolunda gibi görünür. ARP Zehirlenmesi DNS Zehirlenmesi ile birleştirildiğinde ortaya karmaşık bir MITM saldırısı tehdidi çıkabilir.
DoS Saldırısı
Hizmet Reddi saldırısı olarak da bilinen DoS saldırısı, bir veya daha fazla sayıda kurban cihazın ağ kaynaklarına erişimini engellemeyi hedefler. Saldırganın hedef cihaza binlerce sahte ARP yanıtı göndermesi hedef makinenin bunalmasına ve performansının düşmesine neden olur.
Oturum Çalma (Ele Geçirme)
Oturum çalma saldırıları MITM saldırılarına benzer özellikler gösterir. Ancak oturum çalma tehditlerinde siber suçlu trafiği hedeflenen varış noktasına doğrudan göndermez. Bu yöntemde kurbandan bir TCP sıra numarası veya web tanımlama bilgisi istenir. Söz konusu saldırılar özellikle kurbanın sosyal medya hesaplarına erişim sağlamak için sıkça tercih edilir.
ARP Zehirlenmesini Önleme Yöntemleri
ARP Zehirlenmesi saldırganların yaygın olarak kullandığı siber tehditlerden biridir. Bu saldırıları önlemek için aşağıdaki yöntemleri deneyebilirsiniz:
- Statik ARP tabloları: ARP Zehirlenmesi saldırılarını önlemede en etkili yollardan biri ağda bulunan MAC adreslerini doğru IP adresleriyle eşleştirmektir. Ancak ağda gerçekleşecek herhangi bir değişiklik durumunda tüm ARP tablolarının manuel olarak güncellenmesi gerekebilir. Fakat bu yöntem büyük kuruluşlarda değerli bilgilerin korunmasına katkı sunabilir.
- Anahtar güvenliği: Ethernet anahtarı ARP Zehirlenmesi saldırılarını azaltmak için kullanılabilir. Her ARP isteğinin geçerliliğini değerlendiren anahtarlar şüpheli paketleri bırakma ve anahtardan geçme hızını sınırlama işlevine sahiptir. Bu da DoS saldırılarını etkili bir biçimde engellemeye yardımcı olabilir.
- Ağ izolasyonu: ARP mesajları yerel alt ağın ötesine ulaşamaz. Bu durum bir alt ağdaki saldırının diğer alt ağlardaki makineleri etkilemeyeceği anlamına gelir. Gelişmiş güvenlik önlemleri alınmış özel bir ağa sahip olmak ARP saldırılarından korumaya destek olur.
- Şifreleme: Şifreleme yöntemi ARP türündeki saldırıları direkt olarak engellemese de potansiyel hasarları en aza indirebilir. SSL/TLS şifrelemeleri saldırıları azaltmak için etkili yöntemler arasındadır.
Siz de ARP Zehirlenmesi saldırılarından şirketinizi korumak için Berqnet’in SASE ve Firewall güvenlik duvarı cihazlarını kullanabilirsiniz. İşletmenizin ihtiyacına göre tercih edebileceğiniz siber güvenlik çözümleriyle şirketinizin siber güvenliğini yeni baştan inşa ederek her geçen gün artan siber tehditlere karşı korunabilirsiniz. Berqnet’in yeni nesil güvenlik çözümleri kurum ağınızı siber suçlulara ve kötü niyetli yazılımlara karşı güvence altına alır.
İşletmenizi ve İtibarınızı Siber Tehditlere Karşı Koruyun
Sıkça Sorulan Sorular
Yerel ağ iletişimi için son derece önemli olan bilgisayarlar, yönlendiriciler ve ağ aygıtları tarafından kullanılır. ARP’ler, IP adresiyle ilgili arabirim ögelerinin MAC adresini bilme amacı taşır. ARP protokolü yalnızca IP’leri değil, aynı zamanda diğer ağ protokollerini de destekler.
ARP protokolleri bilgi işlem alanında kolay kullanım özellikleri sunar. İnternet servis sağlayıcı kurumlara maliyet avantajı sağlayan ARP’ler, yönlendiriciler arasında bilgi alışverişine izin vermez ve ağlar üzerinde ekstra yük oluşturmaz.
ARP Zehirlenmesi saldırılarında normalde yerel ağ üzerindeki bilgisayarlara yönlendirilen trafik bunun yerine siber suçlunun hedeflediği alana ulaştırılır. Söz konusu trafik akışı bilinmeyen bir konuma gönderilebileceği gibi saldırganın kendi bilgisayarına da aktarılabilir. İlk durumda ağa erişim imkanı ortadan kalkabilirken ikinci durumda ise net bir etki görülmeyebilir. ARP Zehirlenmesi hedef cihazlarda kalıcı bir etki bırakmamasına karşın bu tür saldırılar genellikle siber suçlular tarafından daha büyük tehditlerin bir parçası olarak kullanılır.