ARP
ARP(Address Resolution Protocol) Nedir?
Address Resolution Protocol/Adres Çözümleme Protokolü (ARP), TCP/IP protokol ailesinde yer alan ve IPv4 adreslerini fiziksel MAC adreslerine çevirmek için kullanılan bir ağ protokolüdür. ARP, iki cihazın aynı yerel ağda (LAN) birbirleriyle iletişim kurabilmesi için gereklidir.
ARP'nin Önemi
İnternet veya herhangi bir IP tabanlı ağda, cihazlar (bilgisayarlar, yönlendiriciler, yazıcılar vb.) IP adresleriyle tanımlanır. Ancak, bu cihazlar veri link katmanında iletişim kurabilmek için birbirlerinin MAC adreslerini bilmelidir. İşte bu noktada ARP devreye girer.
ARP'nin işleyişini anlamak için bir telefon rehberi örneğini kullanabiliriz. Bir kişinin adını (IP adresini) bildiğinizde, o kişinin telefon numarasını (MAC adresini) öğrenmek için telefon rehberine bakarsınız. Benzer şekilde, bir cihaz IP adresini bildiğinde, ARP kullanarak bu IP adresine karşılık gelen MAC adresini bulur.
Temel ARP İşlemi
ARP İsteği (ARP Request)
Bir cihaz, belirli bir IP adresine (örneğin 192.168.1.10) ait MAC adresini öğrenmek istediğinde, ağdaki tüm cihazlara bir ARP isteği gönderir. Bu istek, "192.168.1.10 IP adresine sahip cihazın MAC adresi nedir?" şeklindedir.
ARP Yanıtı (ARP Reply)
Hedef IP adresine sahip cihaz (192.168.1.10), kendi MAC adresini içeren bir ARP yanıtı gönderir. Bu yanıt, yalnızca isteği gönderen cihaza geri döner.
ARP Cache
ARP Cache Tanımı
ARP Cache, ağ cihazlarının (örneğin bilgisayarlar, yönlendiriciler, anahtarlar) IP adresleri ile bu IP adreslerine karşılık gelen MAC adreslerini geçici olarak sakladığı bir tablodur.
ARP Cache, cihazların aynı IP-MAC eşleşmesi için sürekli olarak ARP istekleri göndermesini önler, böylece ağ trafiğini azaltır ve iletişim performansını artırır.
ARP Cache'deki girişler geçici olarak saklanır. Bu girişler belirli bir süre sonra (genellikle birkaç dakika) otomatik olarak silinir. Bu süre dolduğunda, aynı IP adresine tekrar erişim gerektiğinde yeni bir ARP isteği yapılır.
Bu geçici doğa, ağdaki cihazların sürekli güncel IP-MAC eşleşmelerine sahip olmasını sağlar ve herhangi bir değişiklik olduğunda (örneğin bir cihazın MAC adresi değiştiğinde) iletişimi kesintisiz sürdürür.
ARP Cache Yönetimi
Dinamik Girişler (Dynamic Entries):
Dinamik girişler, ARP istek ve yanıtları sonucunda otomatik olarak oluşturulur.
Bir cihaz başka bir cihaza ARP isteği gönderdiğinde ve yanıt aldığında, bu eşleşme ARP Cache'e dinamik olarak eklenir.
Dinamik girişler belirli bir süre sonra otomatik olarak silinir.
Statik Girişler (Static Entries):
Statik girişler, manuel olarak eklenir ve kalıcıdır. Bu girişler, cihaz yeniden başlatılsa bile silinmez.
Önemli veya sık kullanılan IP-MAC eşleşmeleri için statik girişler kullanılabilir. Örneğin, ağ yöneticileri önemli sunucuların MAC adreslerini statik olarak ARP Cache'e ekleyebilirler.
ARP Cache Kontrolü ve Temizleme
Kontrol Etme:
Bir cihazın ARP Cache'ini kontrol etmek için
arp -a
gibi komutlar kullanılır.Bu komut, mevcut ARP Cache girişlerini listeler.
Temizleme:
ARP cache'i temizlemek (flush) için
arp -d
komutu kullanılır.Örneğin,
arp -d 192.168.1.1
komutu, belirli bir IP adresine ait ARP girişini siler.
ARP Protokolünün Türleri
Proxy ARP
Bir ağ cihazının başka bir cihazın adına ARP yanıtı vermesidir.
Gratuitous ARP
Cihazın kendi IP-MAC eşleşmesini tüm ağa bildirmesi için gönderdiği istektir.
IP çakışmalarını tespit etmek ve önlemek için kullanılır.
ARP ile İlgili Güvenlik Sorunları
ARP Spoofing
ARP Spoofing Tanımı
ARP spoofing, bir saldırganın sahte ARP mesajları göndererek bir cihazın ARP Cache'ini manipüle ettiği bir saldırı türüdür. Saldırgan, kendisini ağdaki başka bir cihazmış gibi tanıtarak, bu cihazlara gönderilen trafiği kendi üzerine yönlendirebilir.
Çalışma Prensibi
Saldırgan, sahte ARP yanıtları gönderir. Bu yanıtlar, ağdaki diğer cihazların ARP Cache'lerini yanlış bilgilerle günceller.
Örneğin, saldırgan kendisini ağdaki bir yönlendirici gibi tanıtarak, yönlendiricinin IP adresiyle kendi MAC adresini eşleştiren sahte ARP yanıtları gönderir.
Diğer cihazlar, bu sahte ARP yanıtlarını alır ve ARP Cache'lerine kaydeder. Bu cihazlar, artık yönlendiriciye gönderilmesi gereken trafiği saldırgana gönderir.
Sonuçları
Man-in-the-Middle (MitM) Saldırıları:
Saldırgan, ağdaki iki cihaz arasındaki trafiği izleyebilir, değiştirebilir veya yönlendirebilir. Bu tür saldırılarda, saldırgan gizlice iletişimleri takip eder ve gerektiğinde müdahale eder.
DoS (Denial of Service) Saldırıları:
Saldırgan, belirli cihazlara gelen trafiği keserek bu cihazların iletişim kurmasını engelleyebilir. Örneğin, ağdaki önemli bir sunucunun trafiğini kendisine yönlendirerek, sunucunun hizmet verememesine neden olabilir.
ARP Poisoning
ARP Poisoning Tanımı
ARP poisoning, ARP spoofing saldırısının bir alt türüdür ve aynı prensiplerle çalışır. Ancak bu saldırı, daha spesifik hedeflere yöneliktir ve genellikle belirli cihazlara veya trafiğe odaklanır.
Çalışma Prensibi
Hedef Odaklı Saldırılar:
Saldırgan, belirli bir cihazın ARP cache'ini zehirler. Bu, saldırganın belirli bir IP adresine sahip cihazın trafiğini kontrol etmesine olanak tanır.
Örneğin, saldırgan belirli bir sunucunun (IP: 192.168.1.100) MAC adresini kendi MAC adresiyle değiştirir ve bu sunucuya gelen tüm trafiği ele geçirir.
ARP Yanıltması:
Saldırgan, belirli bir cihaza sahte ARP yanıtları göndererek, bu cihazın ARP cache'ini yanlış bilgilerle günceller.
Sonuçları
Saldırgan, hedef cihazın trafiğini ele geçirerek hassas bilgileri çalabilir. Örneğin, kullanıcı adı ve parolalar, kişisel bilgiler ve finansal veriler.
Saldırgan, hedef cihaza gelen trafiği değiştirebilir veya yönlendirebilir. Bu, veri bütünlüğünün bozulmasına ve güvenliğin tehlikeye girmesine neden olabilir.
Korunma Yöntemleri
Statik ARP Girişleri
Kritik cihazlar için ARP tablosuna statik girişler eklemek, sahte ARP yanıtlarının etkisini azaltabilir.
ARP Güvenlik Protokolleri
Dinamik ARP Inspection (DAI) gibi güvenlik protokolleri, ARP mesajlarının doğruluğunu kontrol ederek sahte ARP mesajlarını engelleyebilir.
VPN ve Şifreleme
Ağ trafiğini şifrelemek ve güvenli iletişim kanalları (VPN) kullanmak, MitM saldırılarını zorlaştırabilir.
Last updated