İçindekiler

– 1.Giriş

– 2.ARP Nedir ve Ne İşe Yarar?

– 3.ARP Saldırılarının İşleyişi ve Zararları

     3.1- ARP Spoofing (ARP Sahteciliği)

     3.2- ARP Redirect (ARP Yönlendirme)

     3.3- ARP Cache Exhaustion (ARP Önbellek Tükenmesi)

– 4.Korunma Yolları ve Örnek Adımlar

   * A-) ARP Tablosu İzleme ve Temizleme Yazılımları Kullanmak

   * B-) IDS/IPS (Intrusion Detection System/Intrusion Prevention System) Yazılımları Kullanma

   * C-) ARP Spoofing Karşıtı Teknolojiler

   * D-) Kullanıcıların Güvenlik Bilinci Edinilmesi

– 5.Sonuç

– 6. Kaynakça

 

1. Giriş:

ARP (Address Resolution Protocol), bir ağdaki IP adreslerini fiziksel MAC adreslerine dönüştürmek için kullanılan bir iletişim protokolüdür. Ancak, ARP tablosunda sahte veya yanıltıcı bilgilerle manipülasyon yaparak gerçekleştirilen ARP saldırıları, ağ güvenliği açısından önemli bir tehdit oluşturur. Bu yazıda, ARP saldırılarının farklı tiplerini ve nasıl işlediklerini teknik ayrıntılarıyla açıklayacak, ardından güçlü korunma yöntemlerini ve bu yöntemlerin örnek adımlarını paylaşacağız.

2. ARP Nedir ve Ne İşe Yarar?

ARP (Address Resolution Protocol), bir ağdaki IP adreslerini fiziksel MAC adreslerine çözmek için kullanılan bir iletişim protokolüdür. Hadi biraz daha ayrıntılı açıklayalım.

Bir ağda, her cihazın bir IP adresi vardır. IP adresleri, cihazların birbirleriyle iletişim kurabilmesi için kullanılır. Ancak, veri paketlerinin doğru hedefe ulaşabilmesi için sadece IP adresleri yeterli değildir. İşte bu noktada ARP devreye girer. ARP, IP adreslerini, cihazların fiziksel MAC (Media Access Control) adresleriyle eşleştiren bir protokoldür. MAC adresleri, cihazların ağ bağlantısının fiziksel adresleridir ve her cihazın benzersiz bir MAC adresi vardır.

Diyelim ki bilgisayarımız A, aynı ağda bulunan bir yazıcıya veri göndermek istiyor. Bilgisayar A, yazıcının IP adresini biliyor, ancak yazıcının MAC adresini bilmiyor. İşte burada ARP devreye giriyor ve bize yardımcı oluyor.

Bilgisayar A, yazıcının MAC adresini öğrenmek için ARP’yi kullanır. ARP, ağdaki diğer cihazlara bir mesaj gönderir ve “Bu IP adresine sahip cihazın MAC adresi nedir?” diye sorar. Yazıcı, bu mesajı alır ve kendi MAC adresini yanıt olarak gönderir. Bilgisayar A, bu yanıtı alır ve yazıcının MAC adresini kaydeder. Artık bilgisayar A, veriyi doğru MAC adresine sahip olan yazıcıya gönderebilir. ARP sayesinde, IP adresleriyle MAC adresleri arasındaki ilişkiyi çözebilir ve iletişimi kolaylaştırabiliriz.

Özetle, ARP, IP adreslerini fiziksel MAC adreslerine dönüştürerek ağdaki iletişimi sağlayan bir protokoldür. Bu sayede cihazlar doğru adreslere veri gönderebilir ve iletişim sorunsuz bir şekilde gerçekleşebilir.

3. ARP Saldırılarının İşleyişi ve Zararları:

ARP saldırıları, saldırganın yerel ağa dahil olmasıyla gerçekleşir. Saldırgan, ARP tablosunu manipüle ederek sahte IP-MAC çiftleri oluşturur ve ağdaki cihazların trafiğini yönlendirebilir. Aşağıda, ARP saldırılarının yaygın tiplerini ve potansiyel zararlarını bulabilirsiniz:

3.1. ARP Spoofing (ARP Sahteciliği):

ARP Spoofing saldırısı, saldırganın ağdaki diğer cihazları yanıltarak hedef cihazın ARP tablosunu manipüle etmesini içerir. Saldırgan, hedefin ARP tablosunu sahte IP-MAC çiftleriyle günceller ve ağ trafiğini kendi bilgisayarına yönlendirir. Bu saldırıda, saldırgan genellikle aşağıdaki adımları izler:

    • Hedef cihazdan bir ARP isteği alır.
    • Saldırgan, hedefin isteğine sahte ARP yanıtı gönderir.
    • Sahte ARP yanıtı, hedefin ARP tablosunu günceller ve sahte IP-MAC çiftini kaydeder.
    • Bundan sonra, hedef cihaz, ağ trafiğini saldırganın bilgisayarına yönlendirir.

ARP Spoofing saldırısının potansiyel zararları şunlar olabilir:

    • Veri izleme ve çalma: Saldırgan, ağ trafiğini izleyebilir ve hassas verileri ele geçirebilir.
    • MITM (Man-in-the-Middle) saldırıları: Saldırgan, hedef ve hedef arasında iletişimi engelleyebilir veya manipüle edebilir.
    • Hizmet Kesintisi: Saldırgan, hedefin ağ bağlantısını keserek hizmet kesintilerine neden olabilir.

3.2. ARP Redirect (ARP Yönlendirme):

ARP Redirect saldırısı, saldırganın hedef cihazın ARP tablosunu manipüle ederek ağ trafiğini saldırganın kontrol ettiği bir yönlendiriciye yönlendirmesini içerir. Bu saldırıda, saldırgan genellikle aşağıdaki adımları izler:

    • Hedef cihazdan bir ARP isteği alır.
    • Saldırgan, hedefin isteğine sahte ARP yanıtı gönderir ve kendi yönlendiricisini hedefin yerine geçirir.
    • Hedef, ağ trafiğini saldırganın yönlendiricisine gönderir ve saldırgan, tüm iletişimi kontrol edebilir.

ARP Redirect saldırısının potansiyel zararları şunlar olabilir:

    • Tam kontrol: Saldırgan, tüm ağ trafiğini kontrol edebilir, verileri izleyebilir, değiştirebilir veya manipüle edebilir.
    • MITM (Man-in-the-Middle) saldırıları: Saldırgan, hedef ve hedef arasında iletişimi keserek sahte veriler gönderebilir veya gerçek verileri değiştirebilir.
    • Hizmet Kesintisi: Saldırgan, ağ bağlantısını keserek hizmet kesintilerine neden olabilir.

3.3. ARP Cache Exhaustion (ARP Önbellek Tükenmesi):

ARP Cache Exhaustion saldırısı, saldırganın ağdaki tüm ARP tablolarını hızla doldurarak normal ağ iletişimini engellemesini içerir. Bu saldırıda, saldırgan genellikle aşağıdaki adımları izler:

    • Hedef IP adresleri için çok sayıda sahte ARP isteği oluşturur.
    • Saldırgan, bu sahte ARP isteklerini ağa yayarak tüm cihazların ARP tablolarını doldurmasını sağlar.
    • Sonuç olarak, gerçek iletişim için ARP tablolarında yer kalmaz ve ağ trafiği etkilenir.

ARP Cache Exhaustion saldırısının potansiyel zararları şunlar olabilir:

    • Ağ performansının düşmesi: ARP tablolarının tükenmesi, ağ trafiğini yavaşlatabilir ve iletişimde gecikmelere neden olabilir.
    • Hizmet Kesintisi: Ağdaki cihazlar, ARP tablolarının tükenmesi nedeniyle doğru iletişim sağlayamaz ve hizmetlerde kesintilere yol açabilir.

4. Korunma Yolları ve Örnek Adımlar:

 a) ARP Tablosu İzleme ve Temizleme Yazılımları:

ARP tablosu izleme ve temizleme yazılımları, ağdaki ARP aktivitelerini sürekli olarak izler ve ARP tablosunda anormal durumları tespit eder. Bu yazılımlar, ağa gelen ARP isteklerini ve yanıtlarını yakalar ve doğru IP-MAC eşleşmelerini kontrol eder. Sahte ARP mesajlarını belirlemek için önceden tanımlanmış IP-MAC çiftlerini kontrol eder ve hatalı girişleri temizler.

b) IDS/IPS (Intrusion Detection System/Intrusion Prevention System) Yazılımları:

IDS/IPS sistemleri, ağ trafiğini izler ve anormal ARP aktivitelerini tespit eder. Bu sistemler, ağdaki tüm paketleri analiz eder ve ARP istekleri ve yanıtları üzerinde filtrelemeler yapar. Önceden belirlenmiş kurallara dayanarak sahte ARP mesajlarını tespit eder ve saldırı girişimlerini engeller. Ayrıca, IDS/IPS sistemleri, ağda gerçekleşen ARP saldırılarını kaydeder ve ağ yöneticisine bildirim gönderir.

c) ARP Koruma ve İzolasyon Özellikleri Sunan Switch’ler Kullanmak:

Bu yöntemde, ağ anahtarları (switch) ARP saldırılarına karşı özel koruma ve izolasyon özellikleri sunar. Switch’ler, ağ trafiğini izler ve ARP paketlerini analiz eder. Sahte ARP mesajlarını tespit eder ve doğru IP-MAC eşleşmelerini korur. Bu özellikler sayesinde, saldırganların ağdaki diğer cihazlara erişimini engeller ve ağ güvenliğini sağlar.

d) Kullanıcıların Güvenlik Bilinci Eğitimi:

Kullanıcılar, ARP saldırılarının potansiyel tehlikeleri konusunda bilinçlendirilmelidir. Eğitimler, kullanıcılara sahte ağ bağlantılarına tıklamamayı, bilinmeyen kaynaklardan gelen dosyaları açmamayı ve ağ güvenlik politikalarına uygun davranmayı öğretir. Bu şekilde, kullanıcılar saldırılara karşı daha bilinçli ve dikkatli olurlar.

e) VLAN (Virtual Local Area Network) Kullanımı:

VLAN’lar, ağı mantıksal olarak böler ve ARP saldırılarının yayılma alanını sınırlar. Farklı VLAN’larda bulunan cihazlar arasında doğrudan iletişim olmadığı için saldırganların ağdaki diğer cihazlara erişimi kısıtlanır. VLAN’lar, güvenlik ve izolasyonu artırmak için etkili bir yöntemdir. Ağ anahtarları üzerinde VLAN segmentasyonu yapılarak, ARP saldırılarına karşı daha güvenli bir ağ yapılandırması oluşturulabilir.

f) ARP Spoofing Karşıtı Teknolojiler:

ARP spoofing saldırılarına karşı özel koruma mekanizmaları sunan ağ cihazları kullanılabilir. Bu mekanizmalar, ağ trafiğini izler ve ARP istekleri ve yanıtlarını analiz eder. Sahte ARP mesajlarını tespit ederek saldırganların ağ trafiğini yönlendirmesini önler. Güvenlik duvarları veya ağ anahtarları üzerinde bu özelliklere sahip cihazlar kullanılarak ARP spoofing saldırıları engellenebilir.

g) Statik ARP Girişleri Kullanmak:

Statik ARP girişleri, IP-MAC çiftlerinin elle yapılandırılması anlamına gelir. Bu şekilde, ARP tablosunun manipüle edilme riski azalır ve saldırganların sahte girişler eklemesi engellenir. Ancak, büyük ağlarda manuel yapılandırma zorluğu olduğu için bu yöntem pratik değildir.

h) ARP Cache Önbellekleme:

ARP tablosundaki geçici kayıtların süresinin azaltılması, saldırganların IP-MAC eşleştirmelerini manipüle etmelerini zorlaştırır. ARP cache önbellekleme, ARP tablosunun güncelliğini koruyarak ağ güvenliğini artırır. Geçici kayıtların daha kısa süreli tutulması, ARP saldırılarının etkisini azaltır.

ı) ARP-Guard ve Dynamic ARP Inspection (DAI) Kullanımı:

ARP-Guard ve DAI gibi özelliklere sahip ağ cihazları, ARP tablosundaki sahte girişleri algılar ve engeller. Bu mekanizmalar, ARP trafiğini izler ve hatalı ARP mesajlarını tespit ederek ağdaki güvenliği artırır. Saldırganların ARP saldırılarını gerçekleştirmesini önleyerek ağa ek koruma sağlarlar.

ARP saldırı türlerinden koruyan yolların birçoğu aslında büyük şirket ağları, okul ağları gibi geniş ve veri bazında önemi büyük ağlarda kullanılan yüklenilmesi ve ayarlanması uzun bir süreci olan yollardandır. Bu korunma yollarından sadece kişisel ağlarda ev, dükkân vb. küçük ağlarda kullanılabilecek olanların nasıl uygulanacağını anlatacağız. Sırasıyla gidelim:

A-) ARP Tablosu İzleme ve Temizleme Yazılımları Kullanmak:

Özellikle ARP zehirleme saldırılarını engellemek için kullanışlıdır. ARP zehirleme saldırısı, ağdaki ARP tablosunu manipüle ederek hedef cihazların iletişimini engellemek veya yönlendirmek amacıyla gerçekleştirilir.

Örnek bir araç olarak “ARPwatch” adlı yazılımı kullanabiliriz. ARPwatch, ağdaki ARP tablosunu izler ve anormal aktiviteleri tespit eder. İşte ARPwatch kullanarak ARP zehirleme saldırılarını engellemek için izlenebilecek adımların açıklandığı video aşağıda verilmiştir:

(https://youtu.be/oV8MBCVDN5c)

B-) IDS/IPS (Intrusion Detection System/Intrusion Prevention System) Yazılımları Kullanma:

IDS/IPS (Intrusion Detection System/Intrusion Prevention System) yazılımları, ağdaki potansiyel saldırıları tespit etmek ve engellemek için kullanılan önemli araçlardır. Bu yazılımlar, çeşitli saldırı türlerini algılayarak ağ güvenliğini sağlamak amacıyla kullanılır.

Örnek olarak, Snort adlı bir IDS/IPS yazılımını ele alalım. Snort, ağ trafiğini izleyerek saldırıları tespit eder ve gerektiğinde engeller. Aşağıda Snort’un bir ARP saldırısı türünü nasıl engellediğini ve kullanım adımlarını bulabilirsiniz:

Snort, ARP zehirleme saldırısı gibi saldırıları tespit etme ve engelleme yeteneklerine sahiptir. ARP zehirleme saldırısı, ağdaki ARP tablosunu manipüle ederek hedef cihazların iletişimini yönlendirmeyi amaçlar. Aşağıda kurulumu ile ilgili bilgi veren video linki verilmiştir:

(https://youtu.be/bQjwSMqCF1g)

C-) ARP Spoofing Karşıtı Teknolojiler:

ARP Spoofing Karşıtı Teknolojiler, ARP zehirleme saldırılarına karşı etkili koruma sağlamayı amaçlayan çeşitli yöntemler ve araçlar içerir. Bu teknolojiler, ağdaki ARP tablosunu koruyarak, saldırganların ARP zehirleme saldırısı yapmasını engeller.

Örnek olarak, ARP tablosu izleme ve otomatik güncelleme özelliği sunan “XArp” adlı bir aracı ele alalım. XArp, ağdaki ARP saldırılarını tespit eder ve hedef cihazların ARP tablosunu güncelleyerek saldırıları önler. ARP zehirleme saldırıları, ağdaki ARP tablosunu manipüle ederek hedef cihazların iletişimini yönlendirmeyi amaçlar. ARP zehirleme saldırılarına karşı etkili bir koruma sağlar. Aşağıda kurulum ve kullanımı için video linki verilmiştir:

(https://youtu.be/WyBAZLMkmPk)

D-) Kullanıcıların Güvenlik Bilinci Edinilmesi:

Kullanıcıların Güvenlik Bilinci Eğitimi, ev veya dükkân kullanıcılarının bilinçli bir şekilde ARP saldırılarına karşı önlem almasını sağlar. İşte bu eğitimde kullanıcılara önerilen adımlar:

  1. Güncel Yazılım: Bilgisayar ve network cihazların güncellemeleri zamanında yapılmalı. Hatta güncelleme varsayılan olarak manuel ise otomatik hale geçmeli.
  2. Güvenilir Ağlara Bağlanma: Ortak alanlarda kullanılan Wi-Fi noktalarına bağlanmaktan kaçının. En azından bağlandığınızda VPN programınızı çalıştırıp işinize öyle başlayın.
  3. Güvenlik Duvarı (Firewall) Kullanımı: Kullanıcılar, güvenlik duvarı özelliğine sahip bir router kullanmaları tavsiye edilir. Güvenlik duvarı, ağa gelen ve ağdan çıkan trafiği izler ve zararlı ARP saldırılarını engelleyebilir.
  4. MAC Adresi Filtreleme: Kullanıcılar, ağlarına bağlı cihazların MAC adreslerini kontrol etmeleri ve tanımadıkları veya güvenmedikleri cihazların ağlarına erişimini engellemeleri önerilir. Filtreleme modem arayüzünden yapılabilir. Bu yöntem, ARP spoofing gibi saldırı türlerine karşı bir koruma sağlayabilir.
  5. Ağ Ayarlarının Denetlenmesi: Kullanıcılar, ağ cihazlarının ayarlarını düzenli olarak kontrol etmeli ve gereksiz veya güvenliksiz özelliklerin devre dışı bırakılmasını sağlamalıdır. Örneğin, bazı ağ cihazları, dışarıdan gelen ARP taleplerini otomatik olarak kabul edebilir, bu nedenle bu özelliğin kapatılması önerilir.

Bu adımlar, kullanıcıların bilinçli bir şekilde ARP saldırılarına karşı önlem almasını sağlar. Farkındalık, güncel yazılımlar, güvenli ağlara bağlanma, güvenlik duvarı kullanımı, MAC adresi filtreleme ve ağ ayarlarının denetlenmesi, ARP saldırılarının etkilerini azaltabilir veya tamamen önleyebilir.

5. Sonuç:

ARP saldırıları, ağ güvenliği açısından ciddi bir tehdit oluşturur. Bu saldırılar, sahte veya yanıltıcı ARP tablosu bilgileri kullanılarak gerçekleştirilir ve ağ trafiğini manipüle ederek hedefleri etkiler. Ancak, ARP saldırılarına karşı etkili korunma yöntemleri vardır. Bu yazıda, ARP saldırılarının farklı tiplerini ve nasıl işlediklerini açıkladık. ARP spoofing, ARP poisoning, ARP cache exhaustion ve ARP redirect gibi yaygın saldırı türlerini tanımladık ve potansiyel zararlarını belirttik.

Ardından, ARP saldırılarına karşı alınabilecek korunma yöntemlerini ve örnek adımlarını paylaştık. ARP tablosu izleme ve temizleme yazılımları, IDS/IPS yazılımları, kullanıcıların güvenlik bilinci eğitimi, ARP spoofing karşıtı teknolojiler gibi önlemlerden bahsettik. Son olarak, kişisel ağlarda ARP saldırılarına karşı uygulanabilecek yöntemleri ayrıntılı bir şekilde anlattık. ARP tablosu izleme ve temizleme yazılımları kullanma ve IDS/IPS yazılımları kullanma gibi basit adımlarla başlayarak, daha ileri düzey korunma yöntemlerine geçilebileceğini vurguladık.

Unutmayın, ARP saldırılarına karşı korunmak önemlidir ve ağ güvenliğinizi sağlamak için bu önlemleri uygulamanız gerekmektedir. İyi Okumalar…

Kapak fotoğrafı (Kevin Ku- Glasses) tarafından alınmıştır.

6. Kaynakça

  • Cisco. (2021). ARP Attack. Network Security. URL: https://lms.netacad.com/course/network_securityhttps://contenthub.netacad.com/netsec/14.6.1
  • Cisco. (2021). Dynamic ARP Inspection. Network Security. URL: https://lms.netacad.com/course/network_securityhttps://contenthub.netacad.com/netsec/14.6.3
  • Cisco. (2021). DAI Implementation Guidelines. Network Security. URL: https://lms.netacad.com/course/network_securityhttps://contenthub.netacad.com/netsec/14.6.4
  • Cisco. (2021). DAI Implementation Guidelines. Network Security. URL: https://lms.netacad.com/course/network_securityhttps://contenthub.netacad.com/netsec/14.6.4
  • Cisco. (2021). Destination on Same Network. Cyberops Associate. URL: https://lms.netacad.com/course/cyberops_associate -https://contenthub.netacad.com/cyberops/8.1.1
  • Cisco. (2021). Destination on Remote Network. Cyberops Associate. URL: https://lms.netacad.com/course/cyberops_associate -https://contenthub.netacad.com/cyberops/8.1.2
  • Cisco. (2021). ARP Overview. Cyberops Associate. URL: https://lms.netacad.com/course/cyberops_associate -https://contenthub.netacad.com/cyberops/8.2.1
  • Cisco. (2021). ARP Functions. Cyberops Associate. URL: https://lms.netacad.com/course/cyberops_associate -https://contenthub.netacad.com/cyberops/8.2.2
  • Cisco. (2021). Removing Entries from an ARP Table. Cyberops Associate. URL: https://lms.netacad.com/course/cyberops_associate -https://contenthub.netacad.com/cyberops/8.2.6
  • Cisco. (2021). ARP Tables on Networking Devices. Cyberops Associate. URL: https://lms.netacad.com/course/cyberops_associate -https://contenthub.netacad.com/cyberops/8.2.7
  • Cisco. (2021). ARP Issues – ARP Broadcasts and ARP Spoofing. Cyberops Associate. URL: https://lms.netacad.com/course/cyberops_associate -https://contenthub.netacad.com/cyberops/8.3.1
  • VirtualizationHowto. (2021). What is Arpwatch network monitor? How can it protect my network?. Youtube. https://www.youtube.com/watch?v=oV8MBCVDN5c
  • Loi Jiang Yang. (2020). Intrusion Detection System for Windows (SNORT). Youtube. https://www.youtube.com/watch?v=bQjwSMqCF1g
  • AWS TECH. (2021). XArp -ARP Tool. Youtube. https://www.youtube.com/watch?v=WyBAZLMkmPk

Creative Commons LisansıBu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.