Ne Aramıştınız?

Sniffing Nedir? Sniffing Saldırısından Korunma Yolları

İngilizce'de koklama anlamına gelen sniffing, bilgisayar ağları bağlamında da benzer bir işlev görür. Sniffing, bir ağ üzerindeki veri trafiğinin gizlice gözlemlenmesi sürecidir.

İçerik Başlıkları
Sniffing

İngilizce'de koklama anlamına gelen sniffing, bilgisayar ağları bağlamında da benzer bir işlev görür. Sniffing, bir ağ üzerindeki veri trafiğinin gizlice gözlemlenmesi sürecidir. Nasıl ki bir köpek parkta dolaşırken etrafa koklayarak bilgi toplarsa, bir ağ sniffing aracı da veri paketlerini koklayarak bu paketlerin içinde ne olduğunu anlamaya çalışır. Burada koklanan veriler arasında e-postalarınızdan tutun, online alışverişlerinizde girdiğiniz kredi kartı bilgilerine kadar birçok hassas bilgi bulunabilir.

2018 yılında gerçekleşen British Airways saldırısı, sniffing saldırılarının ne kadar ciddi sonuçlar doğurabileceğini gösteren bir örnektir. Saldırganlar, British Airways’in ağlarına sızdı ve bu ağlardaki veri trafiğine sniffing atağı yaparak yaklaşık 380 bin müşteriye ait bilgileri çaldı. Saldırıda, saldırganlar kablosuz ağları dinleyerek kısa bir süre sonra ikinci bir saldırı daha gerçekleştirdi ve ikinci durumda da yaklasık 185 bin kişinin kredi kartı da dahil olmak üzere tüm bilgileri çalındı. British Airways’e yaklaşık 185 milyon Pound değerinde bir zarara yol açan olay, şirketlerin dijital güvenlik önlemlerine ne kadar önem vermesi gerektiğini gözler önüne serdi.

Bir bilgisayar ağ kartı normalde sadece kendisine gönderilen paketleri alır. Ancak sniffing işlemi sırasında, ağ kartı promiscuous mode denilen bir moda alınır. Mod boyunca bilgisayar, kendisine gönderilmemiş olanlar da dahil olmak üzere, ağ üzerinden geçen her paketi almaya başlar. Bu sayede yönetici kişi, ağ üzerindeki tüm veri trafiğini gözlemleyebilir. Bilgisayar bu moddayken bir oda dolusu insanın tüm fısıltılarını duyabilen birine dönüşmesi gibi bir şeydir.

Promiscuous modda olan ağ arabirim denetleyicisi (NIC), ağdaki her tür veri paketini yakalar. Adeta trafik polisi gibi çalışan ağ kartı her türlü veri paketini durdurur ve kontrol eder. Bu paketler içinde IP paketleri, TCP segmentleri, UDP datagramları ve çok daha fazlası bulunabilir. Paket yakalama işlemi, genellikle Wireshark, tcpdump gibi popüler ağ analiz araçları kullanılarak yapılır.

Yakalanan paketler, içerdikleri bilgiler açısından analiz edilir. Bu analiz esnasında, paketlerin kaynak ve hedef IP adresleri, port numaraları, iletilen verinin türü ve paket içeriği incelenir. Eğer paketler şifreli değilse, bu bilgiler doğrudan okunabilir. Şifreli paketler ise, şifre çözülmeden önce anlaşılamaz.

Analiz sürecinde önemli bilgiler, yakalanan paketlerden çıkarılır. Örneğin, bir e-posta uygulaması üzerinden gönderilen bir mesajın içeriği, kullanıcı adı ve parola gibi bilgiler bu aşamada elde edilebilir. Sniffing aracılığıyla elde edilen bilgiler, ağ performansını ölçme gibi meşru amaçlarla veya kimlik hırsızlığı için kullanılabilir.

Modern ağ güvenlik uygulamaları, sniffing saldırılarına karşı verileri şifrelemek için çeşitli yöntemler kullanır. SSL/TLS gibi protokoller, verilerin ağ üzerinde şifreli bir şekilde iletilmesini sağlayarak sniffing saldırılarının etkisini azaltır. Ancak bazı gelişmiş saldırı teknikleri bu şifrelemeyi aşmayı başarabilir. Teknolojinin her alanında olduğu gibi, güvenlik teknikleri de sürekli olarak yeni tehditlere karşı güncellenmesi gerekir.

Sniffing Yasal Kullanım Alanları

Sniffing araçlarının kullanımı, niyet ve çerçeveye bağlı olarak hem çok yararlı hem de tehlikeli olabilir. Ağ yöneticileri, data iletim performansını optimize etmek ve potansiyel sorunları tanımlamak için sniffing araçlarını kullanır. Ağdaki trafik akışını analiz etmek, ağ bağlantılarının kesilme nedenlerini bulmak veya zayıf performansın kaynaklarını tespit etmek gibi amaçlar için tercih edilir.

Şirketler, siber zafiyetlerini tespit etmek ve önlemek amacıyla düzenli olarak güvenlik denetimleri yapar. Sniffing, denetimler sırasında kullanılarak ağ üzerindeki şüpheli aktiviteler izlenebilir, böylece olası güvenlik tehditleri önceden belirlenir. Benzer bir şekilde hükümet gibi yasal otoriteler, suç faaliyetlerini izlemek veya terörizmi önlemek amacıyla belirli ağ trafiğini dinleyebilir. Genellikle mahkeme kararıyla yapılan bu izleme, yürütülen soruşturmalara yardımcı olmak için kullanılır.

Sniffing Yasa Dışı Kullanım Alanları

Sniffing kötü kişiler tarafından kimlik bilgileri, kredi kartı numaraları ve diğer hassas bilgileri çalmak için yasa dışı olarak kullanılabilir. Çalınma durumu özellikle şifrelenmemiş ağlarda veya güvensiz bağlantılarda kolayca gerçekleşebilir. Bilgilerinizi kullanarak sosyal medya gibi tüm çevrimiçi hesaplarınıza ulaşabilir.

Rakip şirketlerin stratejileri, finansal bilgileri veya diğer ticari sırları elde etmek için illegal sniffing yöntemleri kullanılabilir. Bu tür eylemler rekabet avantajı kazanmak amacıyla gerçekleştirilir ve etik olmayan bir uygulamadır.

Sniffing Türleri

Çeşitli şekillerde uygulanabilen sniffing temelde aktif ve pasif olmak üzere iki ana kategoriye ayrılır. Her iki yöntem de ağdaki verileri yakalama prensiplerine dayanır, ancak kullanılan teknikler ve elde edilen sonuçlar farklılık gösterir.

Aktif Sniffing

Aktif sniffing, ağ üzerindeki cihazlar arasındaki iletişimi yönlendirmek veya değiştirmek için aktif müdahalede bulunan bir yöntemdir. Switch'lerle yönetilen yerel alan ağlarını (LAN) hedef alır. Aktif sniffing yöntemlerinden bazıları şunlardır:

1. ARP Spoofing

Aktif sniffing sisteme sızmaya çalışan kişinin adres çözümleme protokolü (ARP) tabloların zehirlemesiyle başlar. Saldırgan ağdaki cihazları kendi bilgisayarının ağdaki belirli bir cihaz olduğuna ikna eder. Ardından sahte ARP yanıtları göndererek seçtiği IP adreslerinin MAC adreslerini kendi cihazının MAC adresi ile değiştirir. Sonrasında sonra ağdaki cihazlar verilerini asıl hedefleri yerine saldırganın bilgisayarında gönderirler. Bu saldırganın ağ trafiğini dinlemesine, verileri değiştirmesine veya bloke etmesine olanak tanır.

Saldırgan Man-in-the-Middle (MitM) yöntemini uygulayarak veri paketlerini alır, istediği değişiklikleri yapabilir ve sonra paketleri asıl hedeflerine yönlendirir. Saldırgan hem gönderici hem de alıcı tarafından fark edilmeden veri akışını kontrol edebilir.

2. DHCP Spoofing

DHCP spoofing yöntemi, ağ üzerindeki DHCP (Dynamic Host Configuration Protocol) işlemine müdahale ederek gerçekleştirilir. DHCP, ağa yeni bağlanan cihazlara otomatik olarak IP adresi, ağ geçidi, DNS bilgileri gibi ağ yapılandırmalarını atayan bir protokoldür. Saldırgan ağ üzerinde sahte bir DHCP sunucusu kurarak gerçek DHCP’den daha hızlı yanıt verir. Böylece ağdaki cihazlara kendisini gerçek DHCP sunucusu olarak tanır. Saldırgan yanıtlara kendi belirlediği ayarları ekler.

3. MAC Flooding

Ağ anahtarları (switch), hangi ağ cihazının hangi porta bağlı olduğunu takip edebilmek için MAC adresleri tablosunu kullanır. Tablo, ağ üzerinden geçen veri paketlerini doğru portlardan yönlendirmek için gereklidir. MAC Flooding saldırısında, saldırgan ağa çok sayıda sahte MAC adresi ile yapılandırılmış veri paketleri gönderir. Amacı ise anahtarın MAC adres tablosunu bu sahte adreslerle doldurarak kapasitesini aşmaktır.

Anahtarın MAC adres tablosu kapasitesi dolduğunda, yeni bir MAC adresi ile gelen veri paketini doğru portla eşleştiremez. Bu durumda anahtar hangi porta yönlendireceğini bilemediği için, gelen veri paketlerini ağdaki tüm portlara göndermeye başlar. Aslında bir hub işlevi görmeye başlayarak ağın güvenliğini büyük ölçüde azaltır. Anahtar hub moduna geçtiğinde, ağ üzerinden geçen veri paketleri tüm portlara yönlendirildiği için, saldırgan bu paketleri kolaylıkla izleyebilir ve verileri çalabilir. Özellikle hassas bilgilerin transfer edildiği kurumsal ağlar için ciddi bir güvenlik riski oluşturur.

Pasif Sniffing

Pasif sniffing, ağ trafiğine herhangi bir müdahalede bulunmadan yapılır. Teknik, veri paketlerini yakalamak için ağın doğal özelliklerinden yararlanır ve genellikle kablosuz ağlarda etkilidir. Pasif sniffingin temel özellikleri şunlardır:

  • Saldırgan, ağ kartını promiscuous mode'a alarak, ağ üzerinden geçen tüm paketleri dinler. Paketler doğrudan saldırganın cihazına yönlendirilmese bile, ağ kartı tarafından yakalanır.
  • Kablosuz ağlarda, WEP gibi zayıf şifreleme protokolleri kullanıldığında, pasif sniffing açısından daha kolay hale gelir. Saldırgan, verileri yakalayıp çözerek hassas bilgilerinize erişebilir.
  • Pasif sniffing, ağ üzerindeki trafik desenlerini analiz ederek, hangi cihazların ne zaman aktif olduğunu veya hangi servislerin kullanıldığını belirlemede kullanılır.

Sniffing Saldırıları Nasıl Gerçekleştirilir?

Sniffing saldırılarında sıklıkla kullanılan Wireshark ve Tcpdump gibi araçlar, ağ trafiğini kaydetme ve inceleme konusunda oldukça yeteneklidirler. Wireshark, ağ trafiğini grafiksel bir arayüz üzerinden incelemeyi sağlarken, Tcpdump daha çok komut satırı üzerinden çalışır. Her ikisi de, trafiğe şifreleme uygulanmadığında tüm hassas bilgileri açığa çıkarabilir.

Ettercap, ağdaki cihazlar arasındaki veri akışını yönlendirme becerisi ile bilinir ve özellikle ARP poisoning gibi saldırılarda etkilidir. Veri akış zincirinin ortasına yerleşerek gelen veriyi işleyip kendi istediği cevabı verebilir. Örneğin, bir şirketin iç ağında çalışan saldırgan, Wireshark veya Tcpdump gibi ağ izleme araçlarını kullanarak ağ trafiğini gözlemlemeye başlar. Şifrelenmemiş e-posta gibi veri paketlerini hedefleyerek ağ üzerinden geçen tüm verileri kaydeder. Ardından saldırgan, Ettercap aracını kullanarak ARP poisoning saldırısını başlatır. Bu yöntemle ağdaki cihazlara kendini modem olarak tanıtır. Sistem verileri gerçek hedeflerine göndermek yerine saldırganın kontrolündeki modeme yönlendirir. Saldırgan MITM pozisyonunu kullanarak geçen verileri değiştirir veya istediği bilgileri çalar.

Sniffing Saldırılarının Tehlikeleri Nelerdir?

Sniffing saldırılarının yol açabileceği tehlikeler şu şekilde sıralanabilir:

  • Sniffing, şifreler, kullanıcı adları, kredi kartı, kişisel kimlik bilgileri gibi hassas verilerin çalınmasına olanak tanır. Bilgiler kötü niyetli kişilerin eline geçtiğinde, finansal kayıplar veya kimlik hırsızlığı gibi ciddi zararlara yol açabilir.
  • MITM saldırıları sırasında, saldırgan verileri sadece izlemekle kalmaz, aynı zamanda verileri yenileriyle değiştirebilir. E-posta içeriklerinin değiştirilmesinden finansal işlemlerin yeniden yönlendirilmesine kadar birçok farklı sonuçlara sebep olabilir.
  • Sniffing, ağ güvenliği açıklarınızı ortaya döker. Saldırganlar, bu bilgileri kullanarak daha geniş çaplı saldırılar düzenleyebilirler.
  • Sniffing sonucu kullanıcı verilerinin sızdırılması, hukuki sorumlulukları ve ciddi itibar kayıplarını beraberinde getirir. Şirketler için uzun vadede hem mali hem de stratejik zararlara yol açabilir.
  • Ağ üzerindeki trafiğin izlenip manipüle edilmesi, iş süreçlerinin aksamasına neden olur.

Sniffing Saldırılarından Nasıl Korunabiliriz?

Sniffing saldırılarına karşı korunmanın yolları aslında oldukça basittir. İlk adım, ağ bağlantılarınızı güçlü şifrelerle korumaktır. Özellikle Wi-Fi ağlarınız için WPA2 veya WPA3 gibi güçlü şifreleme standartlarını kullanmanız önerilir. Evdeki Wi-Fi ağınız için karmaşık ve uzun şifreler kullanmak, kötü niyetli kişilerin ağa sızmasını zorlaştırır. Ayrıca internet üzerinde gezinirken "https" ile başlayan güvenli siteleri tercih etmek, verilerinizin şifrelenerek gönderilmesini sağlar.

Ağınızın kapılarını güvenlik duvarları ile sağlamlaştırmanız da oldukça önem taşır. Güvenlik duvarları, izinsiz girişleri engelleyerek sadece güvenli ağ trafiğine izin verir. Ek olarak ağınıza bağlanan cihazlar için MAC adresi filtrelemesi yaparak, sadece belirli cihazların ağınıza erişmesini sağlayabilirsiniz. VPN, verilerinizi korumak için onları bir çeşitli ağlar üzerinden geçirir. Özellikle halka açık Wi-Fi ağlarını kullanırken VPN kullanmak, verilerinizi olası sniffing saldırılarından korur.

Kurumsal ağlar için temel bir savunma mekanizması, veri iletişimini şifrelemektir. WPA3, HTTPS, SSL/TLS gibi güçlü şifreleme protokolleri kullanarak veri aktarımını güvence altına almak, verilerin izinsiz erişime karşı korunmasını sağlar. Şifreleme yöntemleri belirlendikten sonra düzenli kontrollerden geçirerek değiştirmek en güncel şifre standartları kullanımının önünü açar. Kurumsal ağları düzenli olarak denetleyerek güvenlik zafiyetlerinin proaktif bir şekilde tespit edebilirsiniz. Penetrasyon testleri, güvenlik denetimleri ve zafiyet taramaları ile sağlanır. Taramalar, sistemlerin güncel tehditlere karşı durumunu değerlendirir ve gerekli güvenlik iyileştirmelerinin yapılmasını sağlar.

Ağ erişim kontrolü, sadece yetkilendirilmiş kullanıcıların ve cihazların kurumsal ağa erişim sağlamasına izin verir. Erişim izni MAC adresi filtrelemesi, ağ erişim kontrol listeleri (ACL- Access Control List), ve daha sofistike yöntemler olan NAC (Network Access Control) sistemlerini içerebilir. Bu sistemler cihazların ağa bağlanmadan önce güvenlik durumlarını kontrol eder ve politikalara uygun olmayan cihazların ağa erişimini engeller.

Sniffing Saldırısı Tespiti ve Müdahale

Sniffing saldırıları tespiti zor olarak nitelendirilse de etkili izleme ve analiz araçları kullanarak tespit edip müdahale edebilirsiniz. Ağ trafiğini sürekli olarak izlemek, şüpheli aktivitelerin erken tespiti için kritik öneme sahiptir. Anormal veri akışları, beklenmedik trafiğin yüksek seviyeleri veya bilinmeyen kaynaklardan gelen trafiğin artışı, sniffing saldırısının işaretleri olabilir. Wireshark veya benzeri paket analiz araçları kullanarak trafiği derinlemesine inceleyebilirsiniz.

IDS (Intrusion Detection System) ve IPS (Intrusion Prevention System) saldırı tespit engelleme sistemleri, ağdaki şüpheli aktiviteleri otomatik olarak tespit etmek ve önlemek için tasarlanmıştır. Tanımlanan güvenlik politikalarına uymayan herhangi bir aktiviteyi algıladığında uyarı verir veya müdahalede bulunur. IDS/IPS sistemlerini ağınıza entegre ederek, gerçek zamanlı trafik analizi ve hemen müdahale imkanı sağlayabilirsiniz.

Timus’un sunduğu Berqnet Firewall çözümleri sayesinde işletmenizi sniffing saldırılarına karşı etkili şekilde koruyabilirsiniz. Berqnet Firewall’un sağladığı gelişmiş güvenlik duvarları, ağ trafiğini izleyerek güvenlik tehditlerine karşı güçlü savunma sağlar. Ek olarak SASE çözümleriyle, bulut tabanlı geniş bir güvenlik katmanı oluşturarak güvenli şekilde veri alışverişi yapabilirsiniz.

Kaynakça

Sıkça Sorulan Sorular

Sniffing faaliyeti, kullanıldığı bağlama bağlı olarak yasal veya yasa dışı olabilir. Örneğin, ağ yöneticileri performans sorunlarını çözmek veya güvenlik açıklarını tespit etmek amacıyla yasal olarak sniffing yapabilirler. Ancak kişisel verileri izinsiz olarak toplamak için kullanıldığında yasa dışıdır.

Ağınızın güvenlik düzeyi, kullandığınız koruma önlemlerine bağlıdır. Güçlü şifreleme yöntemleri, güvenlik duvarları ve aktif ağ izleme gibi önlemler, sniffing saldırılarına karşı koruma sağlar.

Wi-Fi şifrenizi ele geçiren bir saldırgan, ağınıza bağlanabilir ve bu bağlantıyı kötüye kullanarak ağ trafiğinizi dinleyebilir, zararlı yazılımlar yükleyebilir.

Veri ihlali durumunda, derhal güvenlik protokollerinizi gözden geçirin, zararlı etkinlikleri durdurmak için ağınızı izole edin. Ardından zararın boyutunu değerlendirerek finans kanallarınızı konuyla ilgili bilgilendirin. Sonrasında yetkili makamlara suç duyurusunda bulunabilirsiniz.

Sniffing saldırıları her sektörü hedef alabilir, özellikle finansal hizmetler, sağlık hizmetleri, perakende ve hükümet gibi veri yoğun sektörler daha yüksek risk altındadır.

Sniffing'e karşı koruma sağlayabilecek güvenlik yazılımları arasında güvenlik duvarları, antivirüs programları, ağ izleme araçları ve şifreleme yazılımları bulunur. Kendinize en uygun yöntemi belirleyerek sniffing saldırılarından korunabilirsiniz.

Özellikle açık ve korumasız Wi-Fi ağlarına bağlandıklarında mobil cihazlar sniffing saldırılarına karşı savunmasız olabilir. VPN kullanmak ve güvenli ağ bağlantılarına öncelik vermek, mobil cihazları korumada etkili yöntemlerdendir.

Ağ trafiğinizi düzenli olarak izleyip anormal aktiviteleri gözlemlemek sniffing faaliyetlerini tespit etmenin en kolay yollarından biridir. Paket analizörleri kullanarak ağ üzerinden geçen dataları analiz ederek anomali arayabilirsiniz.

VPN, verilerinizi şifreleyerek ağ trafiğinizi korur, bu da sniffing saldırılarına karşı ciddi bir savunma sağlar. Ancak, VPN sağlayıcınızın güvenliği konusunda zayıflıklar varsa, koruma eksik kalabilir. Ayrıca VPN bağlantınız kurulmadan önceki veri akışı hala risk altında olabilir.

Sniffing saldırılarından korunmanın en temel yolu verilerin güçlü şifrelerle korunmasıdır. Böylelikle saldırgan bilgilerinize ulaşamaz.

26 Temmuz 2024
Hızlı Teklif Alın