“MAN IN THE MIDDLE ATTACK “ Türkçe olarak, “Ortadaki Adam Saldırısı “ demektir. Bu saldırı tipinde iki bağlantı arasına girilerek çeşitli dinleme ve istenilen verileri toplama, ele geçirme işlemi yapılır. Network ’e dahil olma dinleme işlemine başlama ve iki network arasındaki şifreli bağlantıyı çözmenin, okumanın birçok yolu vardır.
Bu yolların bazıları istemci sunucuda bulunan siteye giriş yapar, istek yollarken aktardığı veriler ortada bulunan saldırgana iletilebilir. Diğer bir yol ise istemci gerçek siteye erişmeden önce saldırgan tarafından hazırlamış aynı sitenin kopyasına erişir ve giriş yapmak istediğinde sitenin bilgilerini saldırgana aktarmış olur. Eğer dikkatli olunmaz ise şifrelerini saldırganın hazırladığı kopya site üzerinden saldırgana verebilir.
MITM (ORTADAKİ ADAM SALDIRISI) gibi siber saldırılar çok ciddi network bilgisine duyulmadan, farklı işletim sistemlerine entegre edilebilen yazılımlar ile karşımıza çıkabilir. Bu yazılımlar birkaç tıklama yapılarak saldırı yapılacak sistem belirlenir ve dinleme veri toplama işlemi başlatılır ve uygulanacak MITM ile network trafiği rahat bir şekilde saldırganın üzerine yönlendirilir kullanılan araç içinde bulunan yerleşik sertifika sistemi sayesinde taklitleri bile yapılabilmektedir.
MITM saldırısını yapan kişi saldırısının başarılı olması için, kurbanı gerçek sunucu yerine Proxy sunucusuna yönlendirmesi gerekir. Bu adım içinde aşağıdaki algoritma adımları kullanılır;
1. LOCAL AREA NETWORK(Yerel Alan Ağı):
1.1. ARP poisoning
1.2. DNS spoofing
1.3. STP mangling
2. FROM LOCAL TO REMOTE (Uzakta Bulunan Yerel Alan Ağı):
2.1. ARP poisoning
2.2. DNS spoofing
2.3. DHCPspoofing
2.4. ICMP redirection
2.5. IRDP spoofing — route mangling
3. REMOTE(Uzakta Bulunan Ağ):
3.1. DNS poisoning
3.2. Traffic tunneling
3.3. Route mangling
İlk olarak istemci sunucu tarafınabir istek (request ) de bulunur, Google girmek istediğimizde yaptığımız gibi.
Ardından server (sunucu ) tarafı istemciden gelen verileri toplayıp , inceler ve istemcinin başlık ip vs. gibi bilgileri kontrol ederek 0 firewall (güvenlik duvarı ) şartlarında giriş isteğini kabul eder.
Giriş isteğine izin verildikten sonra istemci kullanıcı girişine doğru bilgileri yazdığı taktirde kendisine ait kullanıcı paneline ulaşabilecektir. Bunun için tekrar bir istek (request ) yollar, bu istekte sunucuya yollanan veri paketi içerisinde kullanıcı adı ve şifre bilgileri bulunur.
Server (sunucu ) gelen istekteki veri paketini inceler ve doğru kullanıcı adı, şifreyi veri tabanı ( database ) ile karşılaştırdığında olumlu cevap geldiğinde istemci bağlantı isteğini onaylar ve görmek istediği sayfayı getirir. Aynı ağda bulunan bir istemcinin de aynı kullanıcı bilgileriyla giriş yapmasını önlemek için, giriş yapan kullanıcının tarayıcı ve ip bilgisine sahip bir çerez (cookie ) oluşturur.
Saldırgan Attacker
Kurban(İstemci ) sunucuya istek (request ) yolluyor, saldırgan bu istekte ortada bulunduğu için kurbandan (istemciden) gelen isteği rahat bir şekilde dinleyip, veri toplayabiliyor.
Arp Poisoning
Bu adımda öncelikle arp’ın ne anlama geldiğini açıklamak gerekir. ARP (Address Request Protocol ) iki ya da daha fazla bilgisayarın birbirleri ile iletişimi sırasında istemci kim sunucu (server ) kim kim kime istek yoluyor yollanan isteklerin içerisinde ne bulunuyor, istekler ne kadar sürede karşı tarafa iletildiği, adreslemeler vb. gibi işlemlerin gerçekleştiği protokoldür. Bu protokol sonucunda kurban(istemci ) datası server (sunucu ) tarafına iletilir ve server (sunucu ) bunu yorumlayarak bir yanıt verir arp poisoning ise bu datanın dinlemesinin yapıldığı bir saldırı türüdür. Nasıl yapıldığına gelecek olursak saldırgan arp işlemi gerçekleştirirken kurban ve sunucunun kafasını karıştırarak dataları kendisine yönlendirir bu sayede kurban aslında servera ulaşmadan önce saldırıyı yapan kişiye ulaşmaktadır.
Dns Spoofing
DNS (Domain Name Server ): İstemcilerin(Kurbanların) sahip oldukları ip adresi gibi her gün internet üzerinde istek yolladığımız, giriş yaptığımız web sitelerinin de bir IP adresi bulunmaktadır. IP adresleri çeşitli sayılardan oluşur. Bu sayılar karmaşık olduğu için akılda kalıcı olmayabilir. Bu aşamada DNS devreye girmektedir. DNS internet üzerinde bulunan adreslere (IP Adresi) DNS sunucuları aracılığıyla isim verilebilen sunuculara denir.
Dns spoofing saldırısı diğer bir adıyla Dns zehirlenmesi ya da DNS ön bellek zehirlenmesi denebilir. En basit anlamıyla bir bilgisayar saldırısıdır. Domain adı(alan adı ) sunucusunun önbellek verisine eklenen veri bilgisiyle ya da oradaki var olan verilerin sabote edilmesiyle bilgisayarınızın yani saldırı kurbanın belirlediği IP adresine yönlenmesi sağlanmakta ve bu sayede saldırı kurbanı istediği siteye giriş yaptığını zannederken gerçekte saldırıyı yapan kişinin IP adresine yönlendirilmiş olur.
Basit olarak ifade etmek gerekirse www.google.com.tr adresine giriş isteğinde bulunduğunuzda ilk olarak bilgisayarınız yani istemci www.google.com.tr web adresine bir istek yollar ve bu istek çeşitli internet katmanlarından geçerek server tarafına ulaşır. İnternet katmanları içerisinde DNS kısmı sabote saldırısı yapıldığında, siteye girmek isteyen saldırı kurbanı, saldırıyı yapan kişinin sunucusuna yönlendirilmektedir.
STP mangling
STP: Kapsayan ağaç protokolü (Spanning Tree Protokol )
Yedi seviyeli OSI modelinde veri katmanında bulunan, topolijide döngü oluşumunu engelleyen standart protokoldür. Anlaşılacağı üzere STP paketlerin cihazlar arasında sonsuz döngüye girmesine engel olmasını sağlar.
Mangling: STP mangling ise STP protokülünün çalışmasını engelleyen ve değişim isteği yollayan bir saldırı türüdür.
DHCP Spoofing
DHCP: (Dynamic Host Configuration Protocol)Dinamik Host Yapılandırma Protokolü
DHCP istemci cihazlara IP adresi ,alt ağ maskesi, varsayılan ağ geçidi ve DNS adresi bilgilerini otomatik olarak dağıtan bir protokoldür.
DHCP protokolü sayesinde networkte bulunan bilgisayarlara tek tek ip adresi vb. bilgileri girmeye gerek kalmaz. IP çakışması olayı ortadan kalkar. DHCP ye bağlı olan bütün istemciler gerekli bütün alabilmek için istek yollar, yolladıkları isteğe gelen cevabı kullanarak internete giriş yapmaya çalışır. Bunu yaparken kendisine ilk yanıt veren DCHP sunucusunun gönderdiği bilgileri tercih eder. Local Area Network ya da dahil olduğunuz local network üzerinde sahte DCHP sunucusu kuran, çalıştıran bir kişi, aynı ağda DHCP isteğinde bulunan istemci cihazlara varsayılan ağ geçidi olarak kendisine ait olan bir DHCP yanıtı vermektedir. İstemci bu yanıtı aldığı andan itibaren ağ geçidi olarak bu sahte adresi kullanmaya başlar ve yerel ağın dışında bir adresi hedefleyen istek paketleri ilk olarak atak yapan kişinin makinesine yönlenir. Saldırgan bu istek paketlerini gitmeleri gereken doğru hedef adrese kendi üzerinden gönderirken izlem olanağı bulur Sahte DHCP ile saldırı yapan kişi, istemcinin gitmek istediği Web adresleri yerine kendi istediği web adreslerine yönlendirir. İstemci güvenliği ve gizliliğini tehdit eden durumu engellemek için network cihazlarında DHCP araya girme (DHCP Snooping ) özelliği eklenmiştir.
ICMP Redirection
CMP (Internet Control Message Protocol )Türkçe adıyla Internet Kontrol Mesaj İletişim Protokolü
Dönüt mesajları bildirmek için kontrol amaçlı kullanılan protokoldür. IP dediğimiz yapının hata düzeltme ve raporlama gibi bir özelliği bulunmamaktadır. Bu nedenle ICMP kullanılmaktadır.