1. Ağı Dinlemek
Ağ neden dinlenir?:
Hackerların ağı dinlemesinin nedeni hedefinin bulunduğu networkte neler olup bittiğini
takip etmek istemesindendir. Bu ağı dinleyerek kaç adet bağlı bilgisayarın bulunduğunu, işletim
sistemlerini, kullandıkları programları, açık portlarını, E-mail yazışmalarını, HTTP ile yaptığı
istekleri ve geri dönen cevapları kısacası bilgisayarınızdan çıkan her paketi izleme yetkisine sahip
olurlar.
Çalışma mantığı nedir?:
Bildiğiniz gibi ister iç ağda iletişimde olun istersenizde internete çıkacak olun
bilgisayarlar bir switch e bağlanmak zorundadır. Sizde farklı teknikler ile kendinizi ağa switch
olarak tanıtırsınız ve ağdaki bütün paketler sizin bilgisayarınız üzerinden geçer. Böylece
isterseniz sadece izleyebilir isterseniz daha sonra tekrar bakmak için kayıt altına alabilirsiniz.
Pasif Dinleme:
HUB cihazların çalışma mantığından yararlanılarak dinlemektir. Bilindiği üzere HUB
cihazlar kendilerine gelen paketleri bağlı olduğu tüm cihazlara yollar ve asıl paket sahibi cevap
verir. Burada HUB bağlanılır ve gelen her paketin kendine gelmiş gibi göstererek ağın dinlenmesi
amaçlanmıştır.
Aktif Dinleme:
Aktif dinleme switch bulunan ağlarda gerçekleştirilir. ARP protokolünün açıklarından
faydalanılarak dinleme gerçekleştirilir. HTTP,SMTP,NNTP,POP,FTP,IMAP protokolleri verileri
şifrelemeden gönderdiği için dinlenmeye karşı korumasız protokollerdir. Dinleyiciler veri
bağlantı katmanında çalışırlar. Eğer bir katman hacklenirse diğer katmanlarda tehliye girer.
Aktif dinleme kendi içinde 5 e ayrılır. Bunlar MAC saldırıları, DHCP saldırıları, ARP zehirlenme
saldırıları, Spoofing saldırıları ve DNS zehirlemeleridir.
MAC Saldırıları:
Aşama-1:Hacker, Switch'in CAM tablosuna çok fazla MAC kayıt ettirme işlemi yollar.
Aşama-2:Switchler, MAC adreslerini eşleştirmek için hafızalarında fiziksel portları
sayısınca alana sahiptir.
Aşama-3: Hacker, Switch kaldıramayıncaya kadar sahte MAC adresleri ile istekte
bulunur.
Aşama-4: Switch çok fazla MAC adresini CAM tablosuna yazmak istediğinden dolayı en
sonunda HUB a dönüşecektir. Ve tüm paketleri ağda bulunan tüm istemcilere gönderecektir.
Böylelikle Hacker kolaylıkla ağı dinleyebilecektir.

2. MAC Adresi Özellikleri:
MAC adresi harf ve rakamlardan oluşan 48bitlik benzersiz bir kimlikdir.
Bu kimliğin ilk 24 biti IEEE tarafından üretici firmaya verilmiştir. Diğer 24 biti ise üreticinin
ürünlerine verdiği kısımdır. Herkese yayın yapan bir MAC adresi ise şu şekildedir.
FFFF.FFFF.FFFF
CAM tablosunun yapısı ve çalışma mantığı:
Bütün CAM(Content Addressable Memory) tabloları sabit bir hafıza sahiptir.
CAM tablosunda MAC adresi ve port numarası tutulur.
A bilgisayarı B kullanıcısına paket yollamak istediğinde öncelikle onun MAC adresini bilmesi
gerekmektedir. MAC adresini bilmiyor ise bunu yetkili olan Switche soracaktır. Switch eğer
CAM tablosunda B kullanıcısının MAC adresi var ise cevap verir eğer yok ise Broadcast bir
MAC adresi göndererek bağlı olan bütün istemcilerden MAC adresini talep eder. Bu aşamaya
ARP protokolü bakar.
ARP protokolü bilmediği bir MAC adresi geldiği zaman broadcast bir MAC adresi ve IP adresi
yollar. Bu IP adresi, MAC adresini öğrenmek istediği cihazdır. Bu paket herkese yollanır fakat
sadece IP adresi uyuşan kişi cevap verir. Böylelikle switch CAM tablosuna port numarası ve
MAC adresini eklemiş olur. A bilgisayarıda B bilgisayarına göndereceği bir sonraki istekte bu
işlemleri yapmak yerine kolayca CAM tablosundan bulabilir.
Peki nasıl ağ dinleniyor?:
CAM tablosu tamamen dolduğunda switch kendini hub a dönüştürür ve CAM tablosunda
bütün port numaraları aynı olur. Böylelikle ağdaki diğer kişiler paketleri inceleyebilir. Fakat
bununla beraber ağda çok fazla gereksiz paket olacağından ağ yavaşlayacaktır.
NOT: Programlanabilir switchlerde bu saldırıdan korunulabilir. Bunun için switch arayüzünde
#switchport port-security
#switchport port-security maximum [mac adres sayısı]
komutları çalıştırılarak bu saldırıdan korunulabilir.
Bu saldırıyı otomatize eden araç:
MACOF:Bu araç ile bu saldırıyı otomatikleştirebilirsiniz. MACOF, switch e dakikada
131.000 bin rastgele MAC ve IP adresi yollar.
DHCP Nedir?:
DHPC sunucuları TCP/IP ayar bilgilerini (IP versiyonu,Yapılandırma paremetreleri,Geçerli
IPler,IP aralıkları) veritabanında tutan ve istemcilere otomatik IP atayan sunucu çeşididir.
İstemcinin IPAlma Aşamaları:
1-İstemci, ağa DHCP Discover(Broadcast) paketi yollar. DHCP sunucusundan IP istediğini
belirtir.

3. 2-DHCP sunucu, cevap olarak DHCPDISCOVER paketi ile beraber yapılandırma paremetrelerini
gönderir. Aynı zamanda istemciye IP Önerir.
3-İstemci daha sonra DHCP sunucusuna DHCPREQUEST paketini yollar. İstemci bu paket ile
beraber ona verilen IP yi kullanmak istediğini belirtir.
4-DHCP sunucusu, istemciye verdiği IP yi onayladığını DHCPACK paketi ile belirtir.
DHCP Mesaj Türleri
DHCP-DISCOVER: DHCP sunucusundan IP istediğini belirtir.
DHCP-OFFER: DHCP istemciye IP önerir.
DHCP-REQUEST: Verilen IP yi kullanmak istediğini belirtir.
DHCP-ACK: DHCP istemcinin IPsini onaylamak için kullanır.
DHCP-NAK:DHCP istemciye IP nin yanlış olduğunu belirtir.
DHCP-DECLINE:IP nin zaten kullanıldığını belirtir.
DHCP-RELEASE: İstemcinin IP yi bırakmasını belirtir ya da zamanı bitmiştir.
DHCP-INFORM: İstemci sunucudan sadece yapılandırma ayarlarını isteyeceği zaman kullanır.
DHCP Starvation Saldırısı:
Hacker, ağda DHCP aralığını keşfederse (İstemci Ip alırken belli olur) ağdaki bütün IPleri
almaya çalışır. Bu DHCP ye yapılan bir DOS saldırısı olur. Örnek olarak Gobbler aracı
gösterilebilir.
Rogue DHCP Saldırısı:
Hacker bu saldırısında sahte bir DHCP sunucusu tanımlar ve kurbana kendi DHCP sunucusundan
IP atar. Sahte bir DHCP sunucusu kullanıyorsanız kurbana sahte bir TCP/IP yapılandırması
gönderebilirsiniz.
1- Hacker Ağ geçidi olabilir.
2- Hacker DNS sunucu olabilir.
3- Sahte IP ile DOS saldırısı yapabilir.
DHCP Starvation Saldırısından Korunmak:
IOS Switch Komutları:
switchport port-security
switchport port-security maximum 1
switchport port-security violation restrict
switchport port-security aging time 2
switchport port-security aging type inactivity

4. Rogue DHCP Saldırısından Korunmak:
IOS Global Komutları:
ip dhcp snooping vlan 4,104
no ip dhcp snooping information option
ip dhcp snooping
ARP (Address Resolution Protocol) Nedir?
ARP protokolü yerel ağda MAC adresi ile IP adresinin eşleştirilmesini sağlayan protokoldür.
ARP, istemcilerin MAC adreslerini bulmak için bir broadcast yollar.
Yerel ağda bir istemci diğer istemci ile haberleşmek istediğinde ARP tablosuna bakar.
Eğer MAC adresi ARP tablosunda yoksa broadcast yayını yapar.
Ağdaki bütün istemciler kendi MAC adreslerini bu IP ile karşılaştırır.
İstemcilerden birinde karşılaştırma başarılı olursa ARP ye yanıt verir.
ARP Spoofing Saldırısı:
Hacker ARP paketlerini hedefe sahte veriler göndermek için kullanabilir.
Hacker bu saldırıda hedefe kendi MAC adresinin gateway cihazın MAC adresiymiş gibi
göndermesi ile gerçekleşir. Kurban bir paket yollayacağı zaman bu paket gateway e yani hacker a
gidecektir. Böylelikle hacker paketleri inceleyebilecektir. Hacker paketler kendisine geldikten
sonra gerçek gateway e yollar böylelikle iletişim kesilmemiş olur.
Bu saldırıda kullanılabilecek araçlara örnek vermek gerekirse Cain and Abel ve Ufasoft Snif
gösterilebilir.
Nasıl Korunulur?:
Cihazınızdaki MAC ve IP adreslerini kontrol edin. Bir fark olduğunda engelleyebilirsiniz.
DHCP Snooping:
ip dhcp snooping
ip dhcp snooping vlan 10
^Z
show ip dhcp snooping
daha sonra kontrol amaçlı olarak
show ip dhcp snooping binding komutlarını kullanabilirsiniz.

5. ARP Inspection:
ip arp inspection vlan 10
^Z
show ip arp inspection komularını kullanabilirsiniz.
MAC Spoofing/Duplicating Saldırısı:
Temel olarak aynı MAC adresini 2 cihazın kullanmasına dayanır. Öncelikle ağı dinler ve
cihazların MAC adresi öğrenilir. Daha sonra öğrenilen MAC adreslerinden biri kullanılarak
saldırı gerçekleştirilir. Kullanılan araçlara örnek olarak SMAC verilebilir.
Not:Bu saldırının başarılı olabilmesi için Kablosuz Acces point de MAC filtrelemenin açık
olması gereklidir.
DNS Zehirleme Teknikleri:
Bu saldırıda sahte bir DNS server kullanılır.
İç ağda DNS Spoofing:
Bu saldırının gerçekleşebilmesi için ağa bağlı olmak ve ağdaki paketleri dinleyebiliyor olmak
gerekir. Çünkü kurbanın hangi DNS sorgusunda bulunduğunu bilmek gerekir.
Aşamalar:
1- Hacker, Router a www.facebook.com un IP adresinin 192.168.2.6 olduğunu söyler.
2-Kurban daha www.facebook.com a bağlanmak istediğinde bu DNS sorgusu önce kendi
bilgisayarında host dosyasına gider. Orada yoksa router a sorar. Router da bilemiyorsa ISP nin
verdiği DNS sucunusuna sorar. Fakat kurbanımız burada www.facebook.com adresinin IP
adresini Router daha önceden belirtmiştir. Böylelikle Kurbanımız sahte olan www.facebook.com
adresine yönlendirir.
3-Burada gerçek facebook.com un giriş sayfasının bir kopyası bulunur. Kurban, giriş yapmak için
kullanıcı adı parolasını girer. Bu esnada hacker bu bilgileri kaydeder.
4-Daha sonra sanki bilgilerini yanlış girmiş gibi bir mesaj çıkartılır ve gerçek facebook sayfasına
yönlendirilir. Böylelikle kurban oturum bilgilerinin çalındığını anlamaz. Sadece bir seferlik
bilgilerini yanlış girdiğini sanar.
Başka bir DNS Spoofing Saldırısı:
Bu saldırıda hacker router ile değil doğrudan kurbanın bilgisayarına sızarak DNS ayarlarını
değiştirir.
1- Hacker, kurbanın bilgisayarına trojan ile sızar ve DNS IP adresini kendi IP adresi yapar.
2-Kurban Facebook a bağlanmak istediğinde hackerdan domain in IPsini isteyecektir.
3- Hacker kurbana sahte Facebook un IP adresini verecek ve bilgilerini çalacaktır.
4- Az önceki saldırıdaki gibi parola yanlış mesajı verilecek ve gerçek siteye yönlendirilecektir.

6. Proxy Server DNS Poisoning Saldırısı:
Bu saldırıda aynı ağda olmaları gerekmez.
1-Hacker öncelikle kurbanın bilgisayarına trojan ile sızar.
2-Kurbanın proxy server ayarlarını kendi IP si yapar.
3-Bu andan itibaren kurbanın bütün istekleri hackerın sisteminden geçecektir.
4-Böylelikle önceki saldırıları gerçekleştirebilir. Şifresiz paketlerini okuyabilir.
DNS Cache Poisoning Saldırısı:
1- Kurban normal bir DNS sorgusu gerçekleştirir.
2- Bu sorgu gerçek siteye kadar gider.
3- Fakat cevabı(IP bilgisini) hacker verir.
4- Böylelikle kurban sahte yönlendirilmiş olur.
Ağ Dinleme Araçları:
Wireshark: Wireshark üzerinizden geçen bütün paketleri dinlemenize daha sonra bakabilecek
şekilde kaydetmenizi sağlayan ücretsiz bir programdır. Bilgisayarınızdan geçen bütün paketleri
kaydeder(TCP,UDP vb.) Daha sonra veya canlı olarak filtreleme yapabilirsiniz. Böylelikle sadece
TCP paketlerini ya da HTTP isteklerini görebilirsiniz.
TCPDump ve WinDump:
TCPDump aracı Linux sistemler için WinDump aracı ise Windows sistemler içindir.
tcpdump -i eth0 komutu gibi basit bir komut ile dinlemeye başlayabilirsiniz.
Buradaki eth0 hangi arayüzü dinlemek istediğiniz alandır. wlan0 da olabilir.
Ağ Keşif Araçları:
NetworkView: Bu araç ile ağdaki cihazları bulabilirsiniz.
The Dude Sniffer:Belirtilen subnetleri tarar ve detaylı bir haritasını çizer.
Parola Dinleme Araçları:
Ace:Bu araç FTP,POP3,HTTP,SMTP,Telnet ve webmail parolalarını yakalayabilirsiniz.
Dinlenme Araçlarından Korunma Önerileri:
1-PGP ve S/MIME kullanın
2-VPN kullanın
3- Secure Shell(SSH) kullanın.
4- IPSec kullanın.
5-Tek seferlik parolalar kullanın (OTP)
6-SSL/TLS protokolünü kullanın.

7. Dinleme Araçları nasıl farkedilir?
IDS servisleri bu dinlemeleri fark edebilir. Örneğin yönlendiricinin MAC adresi değiştiğinde
bunu farkeder ve uyarı verir.
Başka bir öneri olarak ağ performansınızı takip edin. Eğer bir düşüş var ise biri ağınızı dinliyor
olabilir.
Araçlara örnek olarak PromqryUI ve PromiScan verilebilir.