Yabancı bir kavram olan ARP spoofing, dilimize çevrildiğinde ARP zehirlenmesi ya da ARP sahtekarlığı gibi anlamlara gelmektedir. Peki Arp nedir? ARP Spoofing hakkında bilinmesi gereken detaylar nelerdir? Bunun için ARP’nin riskli siber saldırıları kolaylaştıran bir tür siber tehdit olduğunu bilmek önemlidir. Bir siber saldırı olan ARP, kötü amaçlı arp mesajları ile gerçekleşir. Arp spoofing saldırısı ile saldırgan, başka bir adresin ağ trafiğini kendi sistemi üzerine çeker.
Address Resolution Protocol Nedir?
Bir kere uygulandığı takdirde görmezden gelinemeyecek olumsuz etkiler yaratan Address Resolution Protocol, adres çözümleme protokolü olarak tanımlanabilir. Adress Resolution Protocol kelimelerinin baş harflerinden oluşan ARP, bir cihazın LAN veya Ethernet ağında bir başka cihazlar etkileşim kurmak istediğinde kullanılan bir protokoldür.
ARP, IP adreslerini MAC adreslerine çevirmektedir. Farklı adres uzunluklarına sahip olan IP ve MAC adreslerinin birbirini tanıması için bu çevirme işlemi oldukça önemlidir. Teorik olarak ele alındığında ARP, LAN üzerinde cihazların IP adresleri ile iletişim kuramaması halinde IP adresini bir MAC adresine çevirir. Ağ yöneticilerine zaman kazandırma noktasında avantaj sunuyor olsa da ARP zehirlenmesi gibi çeşitli saldırı riskleri söz konusudur.
ARP Zehirlenmesi Nedir?
Yukarıda bahsedilen ARP risklerini genel anlamda iki türde ele alabiliriz. ARP spoofing ve ARP zehirlenmesi olarak ayırabileceğimiz bu risklerde ARP spoofing, sahte arp mesaj gönderme işlemidir. ARP zehirlenmesi ile başarılı bir ARP sahtekarlığı sonrası saldırgan, var olan ARP tablosunu değiştirerek sahte MAC haritası içermesine sebep olur. Verileri ele geçiren saldırgan yani bilgisayar korsanı, var olan trafiği farklı kanallara yönlendirmenin yanı sıra trafiği durdurma gücüne sahip olur. IP ve MAC eşleşmesi sonucu saldırganlar kimliğini gizleyebilmektedir. Bununla birlikte yapılan eşleşmelerde siber saldırıya uğrayan kişilerin bilgisi dışında kişisel verileri cihazlar arasında aktarılabilmektedir. Bu yönüyle son derece hassas ve tehlikeli bir siber suç olduğu bilinmelidir.
ARP Spoofing Nasıl Tespit Edilebilir?
Riskleri yüksek olan ve saldırganın çeşitli verilere erişebildiği ARP spoofing, saldırıya uğrayan kişilerin bilgisi dışında gerçekleşebiliyor. Bu yönüyle siber saldırının fark edilmesi zordur. Peki Arp saldırısı nasıl yapılır? ya da ARP Spoofing nasıl tespit edilir? Öncelikle saldırının gerçekleşmesi, aşağıdaki adımlarda ilerler;
- Yerel ağa giren saldırgan, kurbanın IP alt ağını cihazının adresine uyacak şekilde ayarlar.
- MAC / IP adresi birleşimi sonrası yönlendiricilerin saldırgana bağlanmasına sebep olur.
- ARP güncellemesi ile birlikte PC ve yönlendiriciler saldırgana veri aktarımı yapmaya devam eder.
Bu işlemlerden korunmak korunmak için farklı yöntemlerle saldırılar tespit edilebilir. Bu noktada kullanılan üçüncü taraf cihaz uygulamaları ile tespit işlemi yapılabilir. Bunun için WireShark, Arpwatch ya da XArp gibi programların kullanımı önerilir.
ARP Zehirlenmesi Sistemi Nasıl Etkiler?
ARP zehirlenmesi, kurbanın izni dışında veri aktarımına sebep olması yönünden son derece riskli bir siber saldırıdır. Sisteme sızan saldırgan ARP sahtekarlığı ile MAC/IP eşleşmesi gerçekleştirir. Bunun sonucunda saldırgan, saldırdığı kullanıcı ve bu kullanıcının iletişim kurmak istediği cihaz arasındaki ağ trafiğine erişebilir. Bu erişimi istediği yönde kullanabilme gücüne sahip olmakla birlikte kurban, farkında olmadan verilerin üçüncü kişilere ulaşması sorunu oluşur.
ARP Zehirlenmesi Nasıl Önlenir?
Arp Spoofing nasıl yapılır konusundan sonra kullanıcıların en sık araştırdığı bir diğer nokta, ARP zehirlenmesi çözümü olmaktadır. Saldırıların çözümün yanı sıra çeşitli önlemlerin alınarak herhangi bir saldırı durumuyla karşılaşılmaması önemlidir. Tespitinin son derece zor olduğu bu siber suçla karşılaşmamak adına alınacak önlemleri aşağıdaki gibi sıralayabiliriz;
- Güçlü güvenlik duvarı kullanmak, önlem için atılacak ilk adımdır.
- ARP zehirlenmesinin ya da herhangi bir saldırıya karşı saldırının tespitini sağlayacak yazılımlar kullanılmalıdır.
- Kablosuz ağ şifresi, karmaşık ve uzun seçilerek herhangi bir saldırıya karşı zorluk sağlanmalıdır.
- Ek olarak ağ içerisinde güvenilirliğinden emin olmayan kullanıcılar barındırılmamalıdır.