Eaves Dropping Nedir?
Pasif Eavesdropping atakları daha çok gizlice bilgi toplamaya yöneliktir ve veriler üzerinde değişime sebep olmaz.
Ağda herhangi bir kopukluk ya da değişiklik olmadığından dinlendiğinizi fark etmeniz çok zordur.
İnternet üzerinden yapılan sesli aramaları dinlemek pasif gizli dinleme örneklerinden biridir.
E-posta adresinize ya da sosyal medya hesaplarınıza ait mesaj kutularına gelen bir linki açtığınız takdirde cihazınızla yaptığınız her işlem pasif olarak izlenebilir.
Herkese açık ağlar (örn. kafe ağları, restoran ağları vb.) herkese açık olduğu için bir tehdittir çünkü ağa bağlanan kişinin niyetini bilemezsiniz.
Aktif Eavesdropping atakları ise ağ üzerinden sisteme sızıp verileri değiştirebilir ve saldırganın kendi istekleri doğrultusunda yönlendirebilir. Bir başka ifadeyle bilgisayar korsanı, bir yazılım ya da program aracılığıyla istemci ve sunucu tarafında kendi menfaatine göre her türlü değişikliği yapabilir.
Örneğin tanıdığınız birinden ya da kurumsal bir işletmeden geldiğini düşündüğünüz bir e-posta tamamen kötü niyetli bir bilgisayar korsanının aldatmacası olabilir.
Aktif gizli dinleme ataklarındaki bu yöntem Man in The Middle (MiTM), yani “Ortadaki adam saldırısı” şeklinde de ifade edilir.
Pasif Eaves Dropping atakları:
Sosyal Mühendislik
Açık kaynak istihbaratı (OSINT)
Sosyal Mühendislik nedir?:
Kısaca insanların, zaaf duydukları şeyler ile öğrenilmek istenen bilginin alınması. - Psikolojik manipülasyon.
Açık Kaynak İstihbaratı nedir?:
Herkese açık ulaşılabilir bilgilerin (örn. İnstagram, Facebook gibi) toplanmasıdır.
Aktif Eaves Dropping atakları:
Yerel Ağ Üzerinde Yapılabilecek Saldırılar:
ARP Poisoning (ARP Zehirlenmesi): Saldırgan sahte ARP Request çerçevesi ile kendisini hedef olarak gösterir.
Böylece gerçek hedefe gidecek olan paketler saldırgana doğru gelir.
Saldırgan MAC Adresini hedef bilgisayarın tablosuna 'Ağ Cihazı MAC Adresi' olarak eşleştirme yaptırır.
Trafik bu şekilde kendi üzerinden akmaya başlar.
DNS Spoofing (DNS Önbellek Zehirlenmesi, Aldatma): DNS Spoofing başka bir deyişle DNS önbellek zehirlemesi, alan adı sisteminin verisini bozarak,
saldırganın istediği veri ile değiştirir. Böylelikle yanlış sonuç dönmesini sağlar.
Seneryo örneği: Aynı ağda bulunan bir cihazın dns önbellek verisini değiştirerek "Facebook.com" a girilip Saldırganın istediği indexin dönmesini
böylelikle saldıganın kendi yaptığı siteye girilen bilgisini çekebilir.
Port Stealing: Port Stealing Saldırganın hedef olarak belirlediği porta saldırmasıyla gerçekleşen bir saldırı türüdür.
Bu Saldırı da saldırgan portu işgal ettiği için veriler kullanıcıya gitmeyecektir veya kullanıcının gönderdiği veriler hedefe gitmeyecektir.
Kısaca, saldırgan portu işgal eder ve ordan geçen bilgileri görebilir. Bu sırada bilgisayar kaynağa paket gönderdiğini sanır.
STP Mangling:Bu saldırı türü STP protokolünü sabote etmeyi amaçlar. STP protokolü veri iletimindeki hiyerarşik yapıyı koruyan bir protokoldür ve yapıda döngü oluşmasını engeller.
STP protokolü sabote edildiğinde ise hiyerarşik denge bozulur ve paketler cihazlar arasında sonsuz bir döngüye girer.
Yerel Ağdan Uzak Ağa Gateway Aracılığıyla Yapılabilecek Saldırılar:
ARP Poisoning (ARP Zehirlenmesi)
DNS Spoofing (DNS Önbellek Zehirlenmesi, Aldatma)
DHCP Spoofing (DHCP Aldatma): Saldırgan kendini DHCP sunucusu olarak gösterip istenen paketleri gönderir ve gönderim sırasında paketleri kaydeder ve okuyabilir.
ICMP Redirection Yayınlanan ICMP Redirect mesajları saldırı amacıyla saldırganlar tarafından trafiğini üzerlerine almak için kullanılan saldırı yöntemidir.
Route Mangling Saldırgan internetteki istemci için en iyi route olduğunu gatewaye sahte paketler yollayarak kandırır. Paketler gatewaye uğramadan doğruca istemciye iletilir.
Uzak Ağ Üzerinde Yapılabilecek Saldırılar
DNS Poisoning (DNS Zehirlenmesi)
Route Mangling
Traffic Tunneling Saldırgan şifreleme olmayan güvensiz bir bağlantıyı (örn. SSL olmayan siteler) kendi üzerinden geçirerek trafiği okuyabilir.
DNS Spoofing Nasıl Yapılır?
Öncelikle /etc/ettercap/etter.conf dosyasını sudo yetkisiyle herhangi bir düzenleyici ile açıyoruz ardından
ec_uid ve ec_gid değerini 0 (sıfır) olarak değiştiriyoruz. Ardından aşağılara iniyoruz ve "redir_command_on" ve "redir_command_off" cümlelerinin başındaki "#" işaretini kaldırıyoruz.
Pasif Eavesdropping atakları daha çok gizlice bilgi toplamaya yöneliktir ve veriler üzerinde değişime sebep olmaz.
Ağda herhangi bir kopukluk ya da değişiklik olmadığından dinlendiğinizi fark etmeniz çok zordur.
İnternet üzerinden yapılan sesli aramaları dinlemek pasif gizli dinleme örneklerinden biridir.
E-posta adresinize ya da sosyal medya hesaplarınıza ait mesaj kutularına gelen bir linki açtığınız takdirde cihazınızla yaptığınız her işlem pasif olarak izlenebilir.
Herkese açık ağlar (örn. kafe ağları, restoran ağları vb.) herkese açık olduğu için bir tehdittir çünkü ağa bağlanan kişinin niyetini bilemezsiniz.
Aktif Eavesdropping atakları ise ağ üzerinden sisteme sızıp verileri değiştirebilir ve saldırganın kendi istekleri doğrultusunda yönlendirebilir. Bir başka ifadeyle bilgisayar korsanı, bir yazılım ya da program aracılığıyla istemci ve sunucu tarafında kendi menfaatine göre her türlü değişikliği yapabilir.
Örneğin tanıdığınız birinden ya da kurumsal bir işletmeden geldiğini düşündüğünüz bir e-posta tamamen kötü niyetli bir bilgisayar korsanının aldatmacası olabilir.
Aktif gizli dinleme ataklarındaki bu yöntem Man in The Middle (MiTM), yani “Ortadaki adam saldırısı” şeklinde de ifade edilir.
Pasif Eaves Dropping atakları:
Sosyal Mühendislik
Açık kaynak istihbaratı (OSINT)
Sosyal Mühendislik nedir?:
Kısaca insanların, zaaf duydukları şeyler ile öğrenilmek istenen bilginin alınması. - Psikolojik manipülasyon.
Açık Kaynak İstihbaratı nedir?:
Herkese açık ulaşılabilir bilgilerin (örn. İnstagram, Facebook gibi) toplanmasıdır.
Aktif Eaves Dropping atakları:
Yerel Ağ Üzerinde Yapılabilecek Saldırılar:
ARP Poisoning (ARP Zehirlenmesi): Saldırgan sahte ARP Request çerçevesi ile kendisini hedef olarak gösterir.
Böylece gerçek hedefe gidecek olan paketler saldırgana doğru gelir.
Saldırgan MAC Adresini hedef bilgisayarın tablosuna 'Ağ Cihazı MAC Adresi' olarak eşleştirme yaptırır.
Trafik bu şekilde kendi üzerinden akmaya başlar.
DNS Spoofing (DNS Önbellek Zehirlenmesi, Aldatma): DNS Spoofing başka bir deyişle DNS önbellek zehirlemesi, alan adı sisteminin verisini bozarak,
saldırganın istediği veri ile değiştirir. Böylelikle yanlış sonuç dönmesini sağlar.
Seneryo örneği: Aynı ağda bulunan bir cihazın dns önbellek verisini değiştirerek "Facebook.com" a girilip Saldırganın istediği indexin dönmesini
böylelikle saldıganın kendi yaptığı siteye girilen bilgisini çekebilir.
Port Stealing: Port Stealing Saldırganın hedef olarak belirlediği porta saldırmasıyla gerçekleşen bir saldırı türüdür.
Bu Saldırı da saldırgan portu işgal ettiği için veriler kullanıcıya gitmeyecektir veya kullanıcının gönderdiği veriler hedefe gitmeyecektir.
Kısaca, saldırgan portu işgal eder ve ordan geçen bilgileri görebilir. Bu sırada bilgisayar kaynağa paket gönderdiğini sanır.
STP Mangling:
STP protokolü sabote edildiğinde ise hiyerarşik denge bozulur ve paketler cihazlar arasında sonsuz bir döngüye girer.
Yerel Ağdan Uzak Ağa Gateway Aracılığıyla Yapılabilecek Saldırılar:
ARP Poisoning (ARP Zehirlenmesi)
DNS Spoofing (DNS Önbellek Zehirlenmesi, Aldatma)
DHCP Spoofing (DHCP Aldatma): Saldırgan kendini DHCP sunucusu olarak gösterip istenen paketleri gönderir ve gönderim sırasında paketleri kaydeder ve okuyabilir.
ICMP Redirection Yayınlanan ICMP Redirect mesajları saldırı amacıyla saldırganlar tarafından trafiğini üzerlerine almak için kullanılan saldırı yöntemidir.
Route Mangling Saldırgan internetteki istemci için en iyi route olduğunu gatewaye sahte paketler yollayarak kandırır. Paketler gatewaye uğramadan doğruca istemciye iletilir.
Uzak Ağ Üzerinde Yapılabilecek Saldırılar
DNS Poisoning (DNS Zehirlenmesi)
Route Mangling
Traffic Tunneling Saldırgan şifreleme olmayan güvensiz bir bağlantıyı (örn. SSL olmayan siteler) kendi üzerinden geçirerek trafiği okuyabilir.
DNS Spoofing Nasıl Yapılır?
Öncelikle /etc/ettercap/etter.conf dosyasını sudo yetkisiyle herhangi bir düzenleyici ile açıyoruz ardından
ec_uid ve ec_gid değerini 0 (sıfır) olarak değiştiriyoruz. Ardından aşağılara iniyoruz ve "redir_command_on" ve "redir_command_off" cümlelerinin başındaki "#" işaretini kaldırıyoruz.
Ardından /etc/ettercap/etter.dns dosyasını sudo yetkisi ile açıyoruz.
Ardından fotoğrafta belirtilen yerin altına bir komut ekliyoruz : " x.com A <ip adresiniz> " bu komut x.com a gidildiğinde ip adresiniz yazan yerdeki sitenin indexini yükler.
NOT: Neden kendi ip mizi girdik?: çünkü apache üzerinden kendi sunucumuzu açıcağız ve sahte bir login sitesi yapabilirsiniz.
Ardından apache'yi başlatmak için "service apache2 start"
Hazırlık işlemleri tamamlandı.
Terminale "sudo ettercap -G" yazarak ettercap'i başlatıyoruz. Setup bölümünü sağ üstteki işarete tıklayarak tamamlıyoruz.
Ettercap açıldıktan sonra sol üst bölümden büyüteç resmine ardından büyütecin sağ tarafındaki icona tıklıyoruz ve aynı ağda bulunan cihazların listelenmesini bekliyoruz. Ardından açılan sekmede kurban olan cihazın ip sini seçip target1 olarak atıyoruz. Ve deafult gatewayi de target2 olarak atıyoruz.
deafult gatewaya terminale "route -n" yazarak ulaşabilirsiniz. Ardından sağ üstteki dünya iconuna ardından ARP poisoning e tıklıyor ve yalnızca "Sniff remote connections" u seçip "OK" diyoruz.
Ardından plugin eklemek için sağ üstteki 3 noktaya ardından plugins ve manage plugins e tıklıyoruz. Açılan sekmede "dns_spoof"'a 2 kez tıklıyoruz. İşlem tamamlandı, dilerseniz "wireshark"'dan gelen ve giden paketleri görebilirsiniz.
Ardından fotoğrafta belirtilen yerin altına bir komut ekliyoruz : " x.com A <ip adresiniz> " bu komut x.com a gidildiğinde ip adresiniz yazan yerdeki sitenin indexini yükler.
NOT: Neden kendi ip mizi girdik?: çünkü apache üzerinden kendi sunucumuzu açıcağız ve sahte bir login sitesi yapabilirsiniz.
Ardından apache'yi başlatmak için "service apache2 start"
Hazırlık işlemleri tamamlandı.
Terminale "sudo ettercap -G" yazarak ettercap'i başlatıyoruz. Setup bölümünü sağ üstteki işarete tıklayarak tamamlıyoruz.
Ettercap açıldıktan sonra sol üst bölümden büyüteç resmine ardından büyütecin sağ tarafındaki icona tıklıyoruz ve aynı ağda bulunan cihazların listelenmesini bekliyoruz. Ardından açılan sekmede kurban olan cihazın ip sini seçip target1 olarak atıyoruz. Ve deafult gatewayi de target2 olarak atıyoruz.
deafult gatewaya terminale "route -n" yazarak ulaşabilirsiniz. Ardından sağ üstteki dünya iconuna ardından ARP poisoning e tıklıyor ve yalnızca "Sniff remote connections" u seçip "OK" diyoruz.
Ardından plugin eklemek için sağ üstteki 3 noktaya ardından plugins ve manage plugins e tıklıyoruz. Açılan sekmede "dns_spoof"'a 2 kez tıklıyoruz. İşlem tamamlandı, dilerseniz "wireshark"'dan gelen ve giden paketleri görebilirsiniz.
Son düzenleme:
