Layer 2  Paket Analizi , Saldırı  ve Korunma Yöntemleri Bölüm 1

Bu yazı dizimizde sizlere network üzerinde , OSI referans modeli dediğimiz yapının katmanlarından 2.katman olan (Layer 2 ) veri bağlantı (Datalink ) katmanındaki işleyişi ve bu katmanda oluşan zafiyetler ile network’de oluşabilecek tehditlerden bahsedeceğim.

Datalink(Layer2) ,ağ üzerinde bulunan bilgisayarların ARP veya RARP protokolü ile fiziksel olarak adreslenmesini ve aynı ağ üzerinde bulunan bilgisayarların veri alışverişinin gerçekleşmesini sağlayan katmandır.ARP protokolü fiziksel adresleri IPv4 çevirmeyi sağlayan protokoldür.Datalink katmanı bir alt katmandan aldığı verileri frame haline getirerek bir üst katman olan network katmanına iletir.Datalink katmanında her frame’de veriyi gönderen ve alan adresin bilgileri yer alır ve MAC(Media Access Control ) adreslerini kullanarak verilerin iletilmesini sağlarlar.MAC adresleri ethernet kartının üreticisi tarafından verilir , bu adres her ethernet kartı için farklılık gösterir . Aynı network üzerinde bulunan bilgisayarlar böylece adres çakışması yaşamazlar.

 

 

Bir bilgisayar networke dahil olmak istediğinde veya aynı ağ üzerinde başka bir bilgisayara veri göndermek istediğinde ARP broadcast (toplu yayın ) yapar ve paketi göndermek istediği bilgisayarın bu yayına cevap vermesini bekler.Anlatımımıza ARP request ve ARP replay paketlerini inceleyerek devam edelim.TCP/IP yapılarında trafiği dinlemek için birçok program mevcut ben günümüzde en çok tercih edilen Wireshark programını kullanacağım.

 

 

Şekil2’de arp request paketini inceledğimizide ,

Kaynak mac adresi  “08:00:27:67:26:db  “,  ,”192.168.10.160 ” ip adresi olan bilgisayar ortama  ” ff:ff:ff:ff:ff:ff ” mac adresli arp broadcast yapıyor böylece bütün bilgisayarlar  broadcast paketini görecekler fakat replay cavabını,paketimiz içindeki  Target IP address 192.168.10.1 olduğu için sadece bu ip adresine sahip bilgisayar veya router verecektir.Burda dikkat edilmesi gereken , bir bilgisayar  ortamdaki ip adresine ait mac adresini öğrenmek istediği zaman broadcast yapmasıdır.İleride göreceğimiz Man in the middle teknikleri ile bu masum görünen broadcast paketlerinin başımıza ne gibi işler açacağını göreceğiz .

Wireshark’da paket analizine biraz daha detaylı bakacak olursak ;

 

Şekild 4 de destination mac adres belirtilmiştir.

 

 

Belirtilen alan paketi yollayan source mac adresini belirtmektedir.

 

Şekil 6 ‘da  ARP protokolü’nün hexadecimal karşılığı bulunmaktadır.

 

 

Şekil7’de  ARP paketinin hazırlandığı donanımın ethernet  kartı olduğunu belirmekte.

Şekil 8 de belirtilen 06  paketimizin ethernet ağı , 04 rakamı ise IPv4 adresi olduğunu belirtmektedir.

 

Opcode değeri paketimizin request’mi yoksa replay paketimi olduğunu anlamamıza yarar .Bizim incelediğimiz paket request paketi olduğu için opcode değeri 0x0001 göstermekte.Opcode değeri 0x0002 olsaydı o zaman replay paketi olduğunu anlıyacaktık.

Belirtilen alanda Source mac adresine ait IP adresini hexadecimal olarak  belirtmekte .Bir alt satırda ise Target Ip adresinin hexadecimal karşılığını belirtmektedir.

 

 

Şekil 11 ‘de gördüğümüz gibi ” 192.168.10.1 ” ip adresli bilgisayar ” 192.168.10.160 ” dan gelen arp request paketini aldı ve kendi mac adresini bildiren bir replay paketi yolladı .Swıtch olan ortamlarda veri iletişimi sadece request isteğine cevap veren bilgisayar ile yapılır.Hub olan ortamlarda ise veri aynı networkde bulunan tüm pc’lere gönderilir bu da güvenlik açısından nekadar tehlikeli olduğunu göstermektedir.

ARP paket yapısı ve analizinden sonra bir sonraki yazımızda konumuzun devamı olan layer2 saldırı türlerini anlatabiliriz.Ençok kullanılan saldırı türlerini gördükten sonra networkümüzü bu saldırı türlerine karşı nasıl koruyabiliriz ,  bunları anlatıyor olacağım.

One comment

  1. Yuksel Hamzaoglu

    Gokhan Bey, ellerinize sağlık

Leave a Reply

Your email address will not be published. Required fields are marked *

*