ARP Aldatmasını ARPWATCH ile Tespit Edin

Bilgisayar ağlarındaki en büyük sorunlardan bitanesi güvenilir gibi davranan fakat güvenilir olmayan istemcilerdir.diğer bir istemciyi taklit eden kişi birçok zararlı işlem gerçekleştirebilir.örneğin,gerçek istemciye yönlendirilen trafiği kaydedebilir veya diğer istemcilerin bu istemciye bağlanıp özel bilgileri göndermesini bekleyebilir.başka bir istemciyi taklit etmek özellikle IP ağlarında ciddi sonuçlara yol açıp,birçok saldırı noktası yaratabilmektedir.IP ağındaki bir istemciyi taklit etme yollarından bi tanesi Adres Çözümleme Protokolü aldatmasıdır.(ARP spoofing)ARP aldatması sadece yerel ağlara mahsus ve sadece IP adreslerinin donanım adreslerine çevrilmesini kullanarak çalışan bir yöntemdir.
Aynı segment üzerinde bulunan bir istemciden diğer istemciye bir IP datagramı gönderildiğinde,hedef istemcinin IP adresi MAC adresine çevrilmek zorundadır.bu çevrim ise ARP ile mümkün olmaktadır.
Bir istemci diğer bir istemcinin Ethernet adresini bilmek isterse aşağıdaki şekilde broadcast frame ler gönderir.

01:20:14.833350 arp who-has 192.168.0.66 tell 192.168.0.62

Buna ARP Request denir.yayınlama adresine gönderildiği için yerel ağdaki tüm sistemler bu isteği görür.bu isteğin içeriğine uyan sistem ise ARP reply ile cevap verir.

01:20:14. 833421 arp reply 192.168.0.66 is-at 0:0d1:1f:3f:f1
Göndericinin MAC adresi Ethernet çerçevesinde bulunduğundan dolayı alıcı bu isteği başka bir arp isteği yapmadan cevaplayabilir.malesef arp nin en büyük zayıflıklarından birisi stateless(durum bilgisiz)olmasıdır.yani gönderilen isteklere verilen cevapları takip etmez ve dolayısı ile yapılmayan isteklere de cevap verir.eğer bir kişi diğer bir istemciye gönderilen bir trafiği almak isterse özel olarak hazırlanmış ARP cevapları gönderebilir.bu özel hazırlanmış ARP cevaplarını alan sistemler paketlerini saldırganın MAC adresine göndereceklerdir.
ARP nin durum bilgisiz çalışmasının başka bir yan etkisi de sistemin ARP tablolarının sadece son verilen ARP cevabının bilgilerini taşımasıdır.bir kişinin belli bir IP adresini taklit etmeye devam etmesi için,orijinal istemciyi ARP yağmuruna tutarak gerçek istemciden gelen cevapların kaybolmasını sağlaması gerekir.bu tür saldırılara ARP önbellek zehirlemesi denir.
Ortadaki adam tekniğini ve paket izleme yöntemini kullanabilen yazılımlar: Ettercap,Dsniff ve Hunt yazılımlarıdır.bu teknik tabiki ağ üzerinde bulunan iki istemci arasında ve ağ geçidi üzerinde gerçekleştirilebilir.iki taraflı A ve B istemcileri arasındaki trafiği izleyebilmek için C saldırganı A nın ARP önbelleğini zehirler ve B nin IP adresinin C nin MAC adresine uyduğunu gösterir.C daha sonra B nin önbelleğini zehirler ve A nın IP adresinin C nin MAC adresine uyduğunu düşündürür.
Bizse bu tür olayları belirleyebilmek için hazırda bulunan yöntemleri kullanırız.Örnek olarak Arpwatch yazılımını kullanabiliriz.bu program MAC/IP ikililerini kaydeder ve anormal bir davranış olduğunda,mesela bu öğrenilen MAC/IP ikililerinin birisinin değişmesi gibi,gördüğünde ise syslog mesajları gönderecektir.Hub kullanan sistemlerde paylaşımlı bir ağ üzerinde tek bir sistem tüm ARP trafiğini gözlemleyebildiği için bu çok faydalı olur.Günümüzde hemen hemen herkes SWİTCH kullandığı için HUB kullanan kimse kalmadı.Fakat ARP cevapları tekli yayındır.(unicast) Ondan dolayı switch kullanılan ortamlarda ARPWATCH mümkün olan tüm sistemlere yüklenmelidir.sonuçta saldırganın hangi istemcilere saldıracağını kesin olarak bilemeyiz.eğer şanslıysanız yüksek kapasiteli switchler üzerinde bulunan bir gözlemleme portu (monitor port)ile diğer portlara gelen tüm paketleri görebilme şansını sunacaktır.eğer bu port sisteminizde bulunuyorsa Arpwatch bulunan sunucuya bu port üzerinde bağlamınız yeterli olur.