Ettercap ve Sslstrip ile MitM(Man-In-The-Middle) Atağı

İlk önce Ettercap ve SSLStrip araçlarının ne işe yaradıklarını açıklayalım.

Ettercap, yerel ağda man-in-the-middle atağı gerçekleştirmek için kullanılan açık kaynak kodlu bir ağ güvenlik aracıdır. Bu araç ile iletişim protokollerini anlayabilir ona göre gerekli önlemleri tartışabilirsiniz.

SSLStrip, HTTPS olan trafiği HTTP trafiğine çevirmeye yarayan bir araçtır. Bu araç kullanılarak kullanıcı adı ve parolaların açık bir şekilde alınması amaçlanır.

İlk önce normal bir iletişimin nasıl gerçekleşmesi gerektiğini paint yardımı ile görselledim.

Yukarıdaki resim basit bir çizimdir. İletişim esnasında router ile server arasında kullanılan diğer cihazlar çizilmemiştir.

MitM(Man-In-The-Middle) atağı sonrasında iletişim aşağıdaki gibi gerçekleşir.

Yukarıdaki resmi anlatmak gerekirse; kullanıcı ilk başta router’a oradan da server’a gitmesi gerekirken ilk başta hacker’a gidiyor(1). Daha sonra hacker kendisine gelen trafiği router’a yönlendiriyor(2). Router hackerdan habersiz bir şekilde gelen trafiğin kullanıcıdan geldiğini sanarak server’a iletiyor(3).

Server gelen isteğe cevap veriyor(4). Router hacker’ı kullanıcı sanıyor ve server’ın verdiği cevabı hacker’a yönlendiriyor(5). Hacker’da her şey normalmiş gibi kendisini router olarak tanıtarak server’dan gelen cevabı kullanıcıya iletiyor(6).

Her şeyi açıkladıktan sonra şimdi bu atağı gerçekleştirelim.

Atak yapan kişinin IP adresi : 192.168.1.35
Hedef kişinin IP adresi : 192.168.1.37
Gateway IP adresi : 192.168.1.1

İlk önce atak yapan kişinin makinasında gelen trafiği sürekli yönlendirmemiz gerekiyor. Eğer üzerine gelen trafiği sürekli yönlendirmezsek hedeflenen kişi ulaşmak istediği web sitesine ulaşamayacaktır. Bunun için atak yapan makinada IP forward edilir.

Yukarıdaki resimde ip_forward değerini 1 olarak ayarladık. Çünkü bu değeri 1 yaparak üzerine gelen trafiği yönlendirmesini söyledik. Eğer değer 0 olsaydı yönlendirme işlemi gerçekleşmeyecekti.

Daha sonra iptables ‘ a aşağıdaki gibi kural girmemiz gerekiyor.

Yukarıdaki kuralı açıklamak gerekirse; 80 numaralı portuna gelen TCP isteklerini 10000 numaralı portuna yönlendir demiş olduk. Peki neden 10000 numaralı porta yönlendirdik? Çünkü SSLStrip aracı varsayılan olarak 10000 numaralı portta çalışmaktadır. Bu port numarası isteğe bağlı olarak değiştirilebilir.

Şimdi ise sslstrip aracını çalıştıralım.

Yukarıdaki parametreleri açıklamak gerekirse;

-a ile bütün trafiği yakalamasını,

-k ile önceden kurulmuş bağlantıların kill edilmesini sağlamış olduk.

NOT : Eğer varsayılan olarak 10000 numaralı portu kullanmak istemiyorsan “ -l “ parametresi ile kullanmak istediğin portu belirtmelisin.

Buraya kadar ne yaptık?

1-) Atak yapan makinanın üzerine gelen trafiği forward’ladık.
2-) 80 numaralı porta gelen istekleri 10000 numaralı porta yönlendirmesini sağladık.
3-) SSLStrip aracını çalıştırdık.

Şimdi de atak yapan makinada bulunan arpspoof aracını kullanalım.

Bu araç kullanılırken -i parametresi ile yerel ağ seçilir, daha sonra -t parametresi ile hedeflenen makine seçilir ve -r parametresi ile router seçilir.

ÖNEMLİ ! = Her ne kadar yapılan işleme çoğu kişi Arp Spoofing dese de bu işlem Arp Spoofing değil, ARP POISONING ‘ dir. Bu saldırı ile ARP zehirlenerek kullanıcıya router’ın atak yapan makine olduğu, router ‘ a ise kullanıcının atak yapan makine olduğu aşılanır.

Daha sonra Ettercap aracı çalıştırılarak ağ sniff edilir.

Hedef kişi örneğin Gmail’i ziyaret ettiğinde HTTPS olarak değil de HTTP olarak ziyaret eder.

Yukarıdaki resimde hedef kişi URL barından habersiz bir şekilde kullanıcı adını girmektedir.

Yukarıdaki resimde hedef kişi URL barından habersiz bir şekilde parolasını girmektedir.

Hedef kişi kullanıcı adı ve parolasını girdikten sonra aşağıdaki resimde de gösterildiği gibi girmiş olduğu kullanıcı adı ve parolası ele geçirilmiş olur.

Bu saldırıdan korunmanın en kolay yolları;

1-) Halka açık olan internetleri kullanmayacaksın. Tamam ama kafeye falan gidiyoruz ne kullanalım? Kendi internetini kullanacaksın kardeşim.

2-) Evinizde bulunan internetin parolasını kimseye vermeyeceksin ve parolanı kuvvetlendireceksin. Tamam ama komşu istiyor ödev  yapacakmış ne yapacağız? Vermeyeceksin kardeşim.

3-) Hangi siteye gireceksen gir herhangi bir aktivitede bulunmadan önce URL barını kontrol edeceksin. Yaa tamam ama gözden kaçıyor ne yapacağız? Soğuk su içeceksin.