IP adresleri kavramına aşina olabilirsiniz. Bir ağdaki her bilgisayarda en az bir tane bulunur. Ağlar arasında iletişim kurarken, bu IP adresleri, güvenilir bir şekilde teslim edilebilmesi ve yanıt verilebilmesi için ağ trafiğinin kaynağını ve hedefini benzersiz bir şekilde tanımlar. Aynı ağdaki bir cihazla iletişim kurarken, bilgisayar doğrudan IP adresini kullanmaz. Bunun yerine, bu IP adresini bir MAC adresine çevirir. ARP, IP'den MAC'e çevirileri yönetmek ve bunu ağ çevresinde iletmek için kullanılan protokoldür.
ARP, Adres Çözümleme Protokolü anlamına gelir. Yayın ve istek-yanıt bileşenlerine sahip durumsuz bir protokoldür. ARP, diğer ağ sistemleri de kullansa da, öncelikle IPv4 ağlarında kullanılır. IPv6 ağları, ARP işlevselliğini ve NDP ile bazı ek işlevleri uygular. Veya Komşu Keşif Protokolü.
Tanımlanan MAC adresleri, her cihazda bir ARP tablosunda saklanır. ARP tablosundaki her giriş düzenli olarak sona erer. Ancak, ihtiyaç duyulan toplam ARP trafiği miktarını en aza indirerek, ARP trafiği ağa yayınlandığından pasif olarak güncellenebilir.
ARP Araştırması ve Yanıtı
Bir bilgisayarın bir ağ paketi iletmesi gerekiyorsa, hedef IP adresine bakar. Farklı bir ağdaki cihazlar için yönlendiriciye göndermesi gerektiğini bilir. Bu daha sonra paketi doğru ağa yönlendirebilir. Paket yerel ağdaki bir aygıta yönelikse, bilgisayarın onu göndermek için doğru MAC adresini bilmesi gerekir.
İlk çağrı bağlantı noktası olarak bilgisayar, ARP tablosunu kontrol edecektir. Bu, yerel ağdaki tüm bilinen cihazların bir listesini içermelidir. Hedef IP ve MAC adresi oradaysa, paketi tamamlamak ve göndermek için ARP tablosunu kullanır. IP adresinin ARP tablosunda bir girişi yoksa, bilgisayarın bir ARP probu aracılığıyla öğrenmesi gerekir.
Bilgisayar ağa bir ARP araştırması yayınlar ve “kimin
Not: ARP araştırma yanıtı da bir yayındır. Bu, diğer tüm ağ cihazlarının, aynı ARP araştırmalarını yapmalarına gerek kalmadan ARP tablolarını güncellemelerini sağlar. Bu, ARP trafiğini en aza indirmeye yardımcı olur.
Bağlantıda ARP Probu
Bir bilgisayar bir ağa bağlandığında, bir IP adresi almalıdır. Bu manuel olarak belirlenebilir ancak tipik olarak bir DHCP tarafından dinamik olarak tahsis edilir (Dinamik Ana Bilgisayar Kontrol Protokolü) sunucu. DHCP sunucusu genellikle ağ yönlendiricisinin bir işlevidir ancak ayrı bir aygıt tarafından çalıştırılabilir. Yeni bir cihazın, manuel yapılandırma veya DHCP yoluyla bir IP adresi olduğunda. Cihaz, başka bir cihazın bu IP adresini kullanmadığını hızlı bir şekilde doğrulamalıdır.
Bunu yapmak için cihaz, yeni atanan IP adresini kullanarak herhangi bir cihazın yanıt vermesini isteyen bir ARP araştırma paketi yayınlar. Beklenen cevap sessizliktir. Özellikle bir DHCP ağında başka hiçbir cihaz tepki vermemelidir. Kısa gecikmelerden sonra cihaz aynı mesajı birkaç kez tekrar yayınlayacaktır. Bu tekrarlama, çakışan bir IP adresine sahip bir cihaza giderken veya bir cihazdan bir paketin düştüğü durumlarda yardımcı olur. Birkaç ARP araştırmasına yanıt gelmediğinde, cihaz yeni IP adresini kullanmaya başlayabilir. Bunu yapmak için, karşılıksız bir ARP göndermesi gerekir.
karşılıksız ARP
Bir cihaz, kullanmak istediği IP adresinin kullanılmadığını belirlediğinde, karşılıksız bir ARP gönderir. Bu, yalnızca ağa yayın yapmayı içerir”
Gereksiz ARP istekleri, bilgisayarın hala bağlı, çevrimiçi ve IP adresine sahip olduğu diğer tüm cihazlara hatırlatıcı olarak düzenli olarak ağa gönderilir.
ARP Sahtekarlığı
ARP durumsuz bir protokoldür, bağlantı yoktur ve tüm mesajlar genel olarak ağa yayınlanır. Tüm cihazlar, ARP yanıtlarını ARP tablolarında dinler ve önbelleğe alır. Ancak bu, sistemde bir güvenlik açığına yol açar. Saldırganın ağa fiziksel olarak bağlanabileceğini varsayarsak, kötü niyetli olarak yanlış gereksiz ARP yanıt paketleri yayınlayan yazılımlar çalıştırabilirler. Ağdaki her cihaz kötü amaçlı ARP paketlerini görecek, onlara dolaylı olarak güvenecek ve yönlendirme tablolarını güncelleyecektir. Bu artık yanlış olan ARP tablolarına "zehirli" denir.
Bu, trafiği yanlış yöne yönlendirerek ağ sorunlarına neden olmak için kullanılabilir. Ancak daha kötü bir senaryo var. Saldırgan, yönlendiricinin IP adresi için ARP paketlerini taklit ederse ve bunları kendi cihazlarına yönlendirirse, tüm ağ trafiğini alır ve görebilir. Cihazın trafiği iletmek için başka bir ağ bağlantısı olduğunu varsayarsak, Ortadaki Adam'ı alabilir (MitM) durum. Bu, saldırganın HTTPS soyma gibi kötü saldırılar gerçekleştirmesine ve potansiyel olarak tüm ağ trafiğini görmelerine ve değiştirmelerine olanak tanır.
Not: MitM saldırılarına karşı bazı korumalar vardır. Saldırgan, bir web sitesinin HTTPS sertifikasını çoğaltamaz. Trafiği yakalayan herhangi bir kullanıcı, tarayıcı sertifikası hataları almalıdır.
Bununla birlikte, özellikle dahili bir ağda birçok temel ve şifrelenmemiş iletişim vardır. Bu, bir ev ağında pek de geçerli değil. Yine de Windows üzerine kurulu kurumsal ağlar, ARP sızdırma saldırılarına karşı özellikle savunmasızdır.
Çözüm
ARP, Adres Çözümleme Protokolü anlamına gelir. Yerel ağlarda gerektiği gibi IP adreslerini MAC adreslerine çevirmek için IPv4 ağlarında kullanılır. Durum bilgisi olmayan istek ve yanıt yayınlarından oluşur. Yanıtlar veya bunların eksikliği, bir cihazın hangi MAC adresinin bir IP adresiyle ilişkili olduğunu veya bir IP adresinin kullanılmadığını belirlemesine olanak tanır. Cihazlar, ARP tablolarını güncellemek için ARP yanıtlarını önbelleğe alır.
Cihazlar ayrıca düzenli olarak MAC adreslerinin IP adresleriyle ilişkili olduğuna dair gereksiz duyurular yayınlayabilir. Kimlik doğrulama mekanizmasının olmaması, kötü niyetli bir kullanıcının ARP tablolarını zehirlemek için sahte ARP paketleri yayınlamasına ve trafik analizi veya MitM saldırıları gerçekleştirmek için trafiği kendilerine yönlendirmesine olanak tanır.