27 Temmuz 2014

Python Scapy Kütüphanesi Kullanılarak Arpspoof Saldırısı

Posted by: Fırat Celal Erdik 27 Temmuz 2014
Arpspoof yerel ağlarda en çok karşılaşılan saldırılardan bir tanesi olarak göze çarpmaktadır. Kısaca saldırgan hedef bilgisayarın arp tablosundaki kayıtları değiştirirerek ön tanımlı ağ geçidi üzerinden akacak trafiğin kendisi üzerinden akmasını sağlamasıdır. http://en.wikipedia.org/wiki/ARP_spoofing adresinden arpspoof ile ilgili daha fazla bilgi edinilebilir.
Bu saldırının önlemi için yapılabileceklere https://www.bilgiguvenligi.gov.tr/aktif-cihaz-guvenligi/ikinci-katman-saldirilari-1-3.html adresinden göz atılabilir. 

Burada https://github.com/byt3bl33d3r/arpspoof/blob/master/arpspoof.py adresindeki örnek temel alınarak arpspoof saldırını gerçekleştirmek üzere dsniff paketi ile birlikte gelen arpsoof yazılımının parametre kullanımı baz alınarak bir geliştirme gerçekleştirilmiştir. 

Yazılım scapy kütüphanesi kullanılarak geliştirilmiştir. Eğer sistemde yoksa kurulması gerekmektedir. Bu işlem apt-get paket yönetimini kullanan sistemlerde apt-get install python-scapy komutunun çalıştırılması ile gerçekleştirilebilir. Scapy ile ilgili daha fazla bilgi almak için http://www.secdev.org/projects/scapy/ adresine göz atılabilir.

https://github.com/galkan/tools/blob/master/others/programming/python/arpspoof.py adresinden yazılımın en güncel haline erişim sağlanabilmektedir.
Aşağıda gösterilen senaryo sanallaştırma ortamında gerçekleştirilmiştir. Kurban bilgisayarın ön tanımlı ağ geçidi ip adresi 192.168.100.102 olarak belirtilmiştir. Bu durum aşağıdaki şekilde görülmektedir. 
Yazılımın çalıştırılması gösterildiği gibi olmaktadır. Kurban bilgisayar ip adresi olarak 192.168.100.37 belirtilmiştir.
# ./deneme.py -i eth0 -t 192.168.100.37 192.168.100.2
[*] Re-arping network
192.168.4.1
.....
Sent 5 packets.
Saldırı sonrası kurban bilgisayara ait trafiğin sağlıklı bir şekilde iletilebilmesi için linux sistemlerde ip forwarding'in aktive edilmesi gerekmektedir. Bunun için kısaca belirtilen komutun işletilmesi gerekmektedir.
# echo "1" > /proc/sys/net/ipv4/ip_forward

Saldırı öncesi kurban bilgisayar arp tablosu aşağıda gösterildiği gibi olmaktadır.
Saldırıs sonrası kurban bilgisayara ait arp tablosu aşağıda gösterildiği gibi olmaktadır.
 
Görüldüğü gibi saldırı sonrası  kurban bilgisayara ait arp tablosunda ön tanımlı ağ geçidi mac adresi olarak saldırgan bilgisayara ait mac kaydı görülmektedir.
Yazar: Gökhan Alkan

1 yorum:

  1. dns spoof ile arp spoof'un fark nedir? :)

    YanıtlaSil

Her türlü eleştiri,yorum,ekleme ve düzeltmeye yönelik fikirlerinizi paylaşabilirsiniz.Hakaret içeren yorumlar filtrelenmektedir.

Makalelerin kötüye kullanım kullanıcının sorumluluğundadır. | networkpentest.net. Blogger tarafından desteklenmektedir.