Arp Poisoning

ARP Poisoning, ARP zehirleme anlamına gelmektedir.ARP protokolünün temel çalışmasındaki zaafiyetleri kullanarak gerçekleştirilir.

ARP(Adress Resolution Protokol), Layer 2 katmanının ana protokolüdür.Yerel ağlarda iletişim bilindiği üzere IP adresleri
üzerinde değil, MAC adresleri üzerinden gerçekleştirilir.Bunun için her cihaz, iletişime geçmek istediği cihazın (internete çıkarken DSL modem dahil) MAC adresini bilmek zorundadır.
Bu sebeple,Layer 2 katmanında, iletişim öncesinde ARP protokolü devreye girer,Arp request ve Arp reply paketlerini
kullanarak,IP'si bilinen cihazın MAC adresini bulur,daha sonra MAC adresleri üzerinden iletişim sağlanır.

Burada devreye giren saldırgan sahte arp reply paketleri oluşturarak yerel ağa broadcast olarak,"gitmek istediğin adres
benim" diye sürekli güçlü bir şekilde anons eder.Hedefine gitmek isteyen client, arp request talebinde bulunduğu anda
sahte arp reply paketleri üreten saldırganın cevabını arp reply cevabı olarak alır.Böylece; Client Arp poisoning'e uğramış olur.

Kullanıcı bundan sonra gitmek istediği hedef(Bu çoğu zaman Gateway olur) yerine, artık saldırganın makinasına doğru gider.
Saldırgan,kullanıcının default gateway'ini zehirlemiş ise,kendisini router olarak ayarlayıp, kullanıcıyı kendi üzerinden internete çıkarabilir.Bu şekilde kullanıcının tüm trafiğini üzerine almış olur.Bundan sonrası saldırganın teknik bilgisi ve hayal gücüne kalmış olur.
Arp poisining'e uğramamak için çift taraflı statik arp girilebilir.

Linux/Windows makinalarda;

  • Statik arp girmek için:   arp -s 192.168.x.x. 01:02:a3:21:00:03
  • Arp tablosu görüntülemek için: arp -a

komutları verilebilir.