Süleyman Demirel Üniversitesi Siber Güvenlik Laboratuvarında yapmış olduğum Man in the Middle Atack (Ortadaki Adam Saldırısı) sunumu. Mail : info@gurelahmet.com | Blog: www.gurelahmet.com | Twitter: @ahmettgurell

1. SÜLEYMAN DEMİREL ÜNİVERSİTESİ
SİBER GÜVENLİK LABORATUVARI
Man in The Middle Attack (Ortadaki Adam Saldırısı)
Ahmet GÜREL

2. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

3. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)
Man In The Mıddle Attack, Türkçe karşılığı olarak Ortadaki Adam Saldırısı veya
Aradaki Adam Saldırısı, bir ağ içerisinde hedef ile ağ unsurları (sunucu, switch,
router ya da modem) arasında geçen trafiği dinlemek, değiştirmek olarak
tanımlanan saldırı türüdür.
MITM Saldırıları OSI Modeli içerisinde 2. Katman (Layer 2 - Data Link) içerisinde
gerçekleştirildiği için, saldırgan başarılı olduktan sonra tüm trafiğe hakim
olabilmektedir. Bu hakimiyet şifreli olan “https” trafiğinden şifresiz trafiğe kadar
sınırsızdır.
Ağ Güvenliği konusunda oldukça bilinen bir saldırı türü olmasıyla beraber koruma
önlemi en az alınan saldırı tipidir.

4. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

5. Man in The Middle Attack
İkinci Katman Saldırılarılarından Bazıları :
1. MAC Adres Atağı
2. VLAN Hopping Atakları
3. Spanning-Tree Protokolü (STP) Atakları
4. Sahte MAC (MAC Spoofing) Atağı
5. Sahte ARP (ARP Spoofing, ARP Poisoning) Atağı
6. DHCP Açlık (DHCP Starvation) Atağı
7. CDP Açıklığı
SDÜ-CYBERLAB (Man in The Middle Attack)

6. Man in The Middle Attack
Arp Poisoning Saldırısı:
Arp zehirlenmesi, ARP (Adress Resolution Protocol) OSI katman
modelinde network katmanında yer alır.Bu katmanda yer alan ARP, IP
adreslerini MAC adreslerini çevirir.
Bu IP adreslerine karşılık gelen MAC adreslerini ARP tablolarında
tutar ve ARP tabloları da belirli aralıklarla güncellenir.
Bir ip adresine karşılık, sahte bir MAC adresi oluşturulmasına ARP
zehirlenmesi denir.
SDÜ-CYBERLAB (Man in The Middle Attack)

7. Man in The Middle Attack
Arp Poisoning Saldırısı için Kullanılabilecek Araçlar :
· Arp Tool 1.0.2
· Etherial yada Wireshark
· Arpoison
· Dsniff
· Ettercap
· Parasite
· WinArpSpoofer
· Cain & Abel
SSL Trafiğini Dinlemek için SSLTrip aracı kullanılmaktadır.
SDÜ-CYBERLAB (Man in The Middle Attack)

8. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)
ARP Poisoning Önleme Yöntemleri :
1-Static ARP : Arp tablosunun statik olarak doldurulması arp
anonslarına ihtiyacı ortadan kaldıracağı için bu saldırı önlenmiş olur
ancak büyük networkler için uygulanabilirliği düşüktür.
2-Encryption: Network üzerinde akan trafik şifrelenirse paketler ele
geçirilse dahi okunamadığı için işe yaramayacaktır.Ya da kırılması için
uzun zaman harcayacaklardır.
3-Subnetting : Networkü küçük Vlan(Virtual Local Area Network)'lere
bölmek ve yetkili kullanıcıları dış ortamdan soyutlamak arp poisoning
saldırısının yüzeyini azaltmaktadır.
4-Network Ürünlerinde varsa ARP security veya Dynamic ARP
Inspection özellikleri aktif hale getirilerek saldırı önlenebilir.
5-İç networkte ARP Wathcher kullanarak sistemi gözlemlemek. ArpON
ve Arpalert gibi açık kaynak kodlu araçlar kullanılarak ARP
protokolünün güvenli bir şekilde çalışması sağlanmış olur.

9. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)
import os
from Tkinter import *
def Alert():
root = Tk()
root.title('Saldiri Var')
w =500
h = 100
ws = root.winfo_screenwidth()
hs = root.winfo_screenheight()
x = (ws/2) - (500/2)
y = (hs/2) - (100/2)
root.geometry('%dx%d+%d+%d' % (w, h, x, y))
Message(root, text="Gateway degisti.", background='red', width=300,
fg='ivory', relief=GROOVE).pack(padx=100, pady=10)
root.mainloop()
gateway = (os.popen("route -n | grep 'UG[ t]' | awk '{print $2}'")).read()
while 1:
gateway2 = (os.popen("route -n | grep 'UG[ t]' | awk '{print $2}'")).read()
if gateway != gateway2:
Alert()
break
Python ile Arp Zehirlemesi Tespiti

10. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)
DEMO

11. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

12. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

13. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

14. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

15. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

16. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

17. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

18. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

19. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

20. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

21. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

22. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

23. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

24. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

25. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

26. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

27. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

28. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

29. Man in The Middle Attack
SDÜ-CYBERLAB (Man in The Middle Attack)

30. KAYNAKÇA
1- http://blog.btrisk.com/2016/01/arp-poisoning-nedir-nasil-yapilir.html
2- https://www.irongeek.com/i.php?page=security/arpspoof
3- https://www.owasp.org/index.php/Man-in-the-middle_attack
4- http://ettercap.github.io/ettercap/index.html
5- https://www.bilgiguvenligi.gov.tr/aktif-cihaz-guvenligi/ikinci-katman-
saldirilari-1-3.html
6- http://www.pythondersleri.com/2014/06/python-ile-arp-zehirlemesi-
tespiti.html
7- http://www.belgeci.com/arp-spoofing.html
SDÜ-CYBERLAB (Man in The Middle Attack)