Layer2 Saldırı Türleri


İkinci katman yani Layer2’ye yönelik çeşitli saldırılar bulunmaktadır. Bu yazımda kullanılan saldırı türlerini açıklamaya çalıştım. Elimden geldiğince sade ve anlaşılır bir dil kullanmaya özen gösterdim. Umarım sizler için bir faydası olur.


Neden Layer 2 hedef alınır?

  1. Layer2 atakları yerel ağların(LAN) içinden yapılmaktadır.
  2. Bu yüzden güvenlik duvarları, IPS/IDS gibi sistemler engellenememek veya tespit edilememektedir. Çünkü bu sistemler genel olarak Layer3 ve üst katmanların güvenliği için tasarlanmıştır.
  3. Bir diğer nokta ise güvenlik duvarı veya IPS/IDS gibi sistemler dış ağlardan iç ağlara yönelik saldırıları tespit etme veya engellemek için kullanılmaktadır.
  4. Saldırganın iç ağda bulunduğu bir durumda diğer iç ağda bulunan switch veya router’a yapacağı saldırıları bu tür güvenlik sistemleri tespit edemez veya engelleyemez.

Yani kısaca özetlemek gerekirse her ne kadar dış ağlardan gelen saldırıları önleyecek kadar dikkatli olsak da gene de kendi iç sistemimizin güvenliliğini sağlayamazsak ağ güvenliğimizi tam anlamıyla sağlamış olamayız.

Küçük bir örnek vermek verirsek bir devlet kurumunun ağ güvenliği için en kaliteli ve son nesil güvenlik sistemleri alalım. Bu sistemler bizi yurt dışından veya binanın dışındaki ağlardan gelen saldırılardan başarılı bir şekilde korur. Ama eğer biz kurumun içinde bulunan kafenin halka açık Wifi ağı için güvenliği sağlamazsak kurum dışından içeriye çay içmeye gelen bir saldırgan bizi bu sefer iç tarafımızdan vurmuş olur.


Layer2’nin sağlamış olduğu hizmetler

  1. Veri paketlerini frame adı parçalara böler.
  2. Bu frame’lerin senkronizasyonunu yapar.
  3. Mac adresleme’de görevlidir.
  4. LLC (Logic Link Control) ile hata ve akış denetimini sağlar.
  5. Packet switching veya LAN switching sağlar
  6. VLAN

İkinci Katman(Layer2) Saldırı Türleri:

Mac Adresi Atağı:

  1. Switch cihazları, portları arasındaki iletişimi kendi MAC adres tablolarına bakarak yapar.
  2. MAC adres tablosunda; port numarası, porta bağlı olan bilgisayarın MAC adresleri ve portun hangi VLAN’a ait olduğunu gösteren bilgiler bulunur.
  3. Switch kendine gelen paketin MAC adresine bakar sonra bunu kendi MAC tablosundan hangi bilgisayarın olduğunu bulur ve o bilgisayarın bulunduğu ağa bu paketi yollar. Asla normal koşullarda diğer ağlara bu paketi yollamaz. Buna switching işlemi denir.

Örnek olması için bir tane MAC adresi tablosunun görüntüsü şu şekilde temsil edilebilir:

Image for post
Resim : https://ittutorial.org/network-uzerinde-adres-cozumleme-protokolleri/
  1. Switch cihazlarında bulunan önemli bir sorun ise bu MAC tablosu eğer tam dolu olması halinde ortaya çıkıyor. Çünkü bu cihazlarında bir kapasitesi ve belli bir miktar RAM değeri bulunuyor.
  2. Bu switch cihazların MAC adres tablolarını doldurmak çok zor bir işlem değildir. Saldırgan bunu kolaylıkla yapabilmektedir.
  3. Eğer switch’in MAC adres tablosu dolu ise switch artık anahtarlama işlemi yapamaz duruma gelir ve durumu kurtarmak için gelen paketi tüm ağlara yönlendirir. Switch artık bir hub cihazı gibi davranır.

Saldırgan bunu kolaylıkla yapabilir dedim ama bunu nasıl olduğunu sizlere şu şekilde göstersem daha iyi olur:

Image for post
Resim : https://www.linkedin.com/pulse/osi-layer-2-3-katmanlar%C4%B1nda-a%C4%9F-g%C3%BCvenli%C4%9Fi-serdar-sarikaya-1c/

Saldırgan cihaza sürekli sahte MAC adresleri yollayarak cihazın MAC tablosunu doldurur.

Artık MAC tablosu dolan cihazın hub gibi davranacağını söyledik. Hub cihazı gelen paketleri tüm ağlara gönderir. Buradaki sorun nedir peki ? Bir paketin başka ağlara gönderilmesinden ne gibi sorunlar vardır ki ?

Burada tek bir kuralı benimseyin. Bir paket mutlaka gitmesi gereken ağa yönlendirilmelidir. Gideceği ağ dışında başka ağlara yönlendirmek tüm ağın güvenliğini tehdit edecektir.

Çünkü bu ağı dinleyen bir saldırgan artık bu ağda bulunmaması gereken tüm paketleri inceleme fırsatı bulacaktır.


VLAN Hopping Atakları:

Saldıran kimsenin normalde bulunmaması gereken bir VLAN’a ulaşabilmesini sağlayan bir ataktır.

Bunu yapabilmenin 2 tür yolu vardır:

1)Anahtar Sahtekarlığı (Switch Spoofing)
  1. Bu atak türünde saldırgan kendini bir switch cihazı gibi davranacak şekilde ayarlar.
  2. Daha sonra bu saldırıyı yapabilmesi için DTP’ye (Dynamic Trunking Protocol) uygun olarak ISL veya IEEE 802.1q VLAN etiketlemesini yapabilecek bir porta sahip olan bir switch gibi gösterir.
  3. Bir portun birden fazla VLAN’i taşıyabilmesi için ISL ya da IEEE 802.1q portu (trunk port) olarak tanımlanmış olması gerekir.
  4. Trunk port gibi göstermesi ağda bulunan tüm VLAN’lere üye olması ve erişebilmesi sonucunu doğurur.
2)Double Tagging (Çift Etiketleme )
  1. Bu atakta, paketin istenen VLAN’e erişebilmesi için frame’e iki adet IEEE 802.1q başlığı (header) eklenir.
  2. İlk switch birinci header bilgisini okur.
  3. İkinci switch ise ikinci header bilgisini okur ve paketi saldırganın göndermek istediği VLAn’a yönlendirir.

Bu saldırıyı temsili olarak şu şekilde anlatabilir:

Image for post
Resim : https://www.linkedin.com/pulse/osi-layer-2-3-katmanlar%C4%B1nda-a%C4%9F-g%C3%BCvenli%C4%9Fi-serdar-sarikaya-1c/

Görüldüğü üzere saldırgan Vlan10 ve Vlan20 olmak üzere pakete 2 tane header eklemiştir. İlk cihaz Vlan10 bilgisini okur. İkinci cihaz Vlan20 bilgisini okuyarak paketi gitmesini istemediğimiz VLAN20’ye yönlendirir.


STP (Spanning-Tree Protokolü) Atakları:

  1. Ağda bulunan switch cihazlarının döngülerini engellemek için kullanılan bir protokoldür.
  2. Bu protokol aktif olduğunda switch’ler kendi aralarında bir root switch seçerler.
  3. Ağa bağlanan bir bilgisayarın root switch olmasını sağlanırsa tüm ağ trafiği bu bilgisayar üzerinden geçmesi sağlanabilir.

Sahte MAC (MAC Spoofing) Atağı:

  1. Saldırgan, switch’e gönderilen frame’lerin içerisindeki ‘kaynak MAC adresi’ kısmına dinlemek istediği bilgisayarın MAC adresini yazar.
  2. Swicth, MAC adres tablosunu bu duruma göre günceller.
  3. Artık switch’in MAC adres tablosunda, saldırganın bağlanmış olduğu switch’in portu için iki adet MAC adresi yer almış olur.
  4. Hedef bilgisayara gönderilen frame’ler böylece saldırganın bilgisayarına gönderilmiş olur. Hedef bilgisayar ağa paket gönderene kadar bu durum devam edecektir.

ARP Spoofing, ARP Poisoning Atağı:

  • ARP yerel ağda yer alan IP adreslerini MAC adresleriyle eşleştiren bir protokoldür.
  • Normalde ağdaki bir bilgisayar, paket göndereceği başka bir bilgisayarın MAC adresini öğrenmek için switch’e ARP isteği (ARP request) paketi gönderir ve switch bu paketi tüm portlarına gönderir.
  • Sadece paketin gönderileceği hedef bilgisayar bu ARP isteğine cevap verir. Paketi gönderen bilgisayar da bu IP — MAC eşleşmesini kendi ARP tablosunda tutar.
  • Saldırgan, paketin gönderileceği bilgisayarın yerine ARP isteğine cevap verir.
  • Böylece paketi gönderen bilgisayarın ARP tablosunda (IP — MAC eşleşmesi tablosu) saldırgan bilgisayarının IP ve MAC adresleri bulunacaktır.
  • Böylece hedefteki bilgisayar gönderilecek olan paketler saldırganın bilgisayarına gönderilir.

Daha iyi anlaşılması için bu saldırı türünün temsili bir resmini şu şekilde gösterebiliriz:

Image for post
Resim : https://www.thesecuritybuddy.com/data-breaches-prevention/how-to-detect-arp-spoofing-attack-in-a-system/
  • Saldırgan eğer bir network sistemi yeniden başlatıldığından, default gateway’in sistemde hangi araçların olduğunu öğrenmek için gönderdiği ARP paketlerine, saldırgan ondan hızlı davranıp default gateway yerine ARP isteklerine cevap verecek olursa da, ağdan dışarı çıkacak olan tüm paketler, default gateway yerine saldırganın bilgisayarı üzerinden dışarı çıkacaktır.
  • Böylece saldırgan hem ağdan dış dünyaya çıkan tüm paketleri dinleyebilecektir hem de ağda performans düşüklüğüne sebep olacaktır.

DHCP Açlık (DHCP Starvation) Atağı:

  • DHCP isteklerine sahte MAC adresleriyle cevap vermeye dayalı bir atak çeşididir.
  • Burada amaç içinde bulunduğu ağın IP adresi aralığını belirlemektir.
  • Daha sonra saldırganın yapacağı iş kendini bir DHCP sunucusu gibi ağa tanıtmak olacaktır. Buradaki amaç ağ içindeki DHCP isteklerini görebilmeyi amaçlamaktır.
  • Peki bu DHCP istekleri neden önemli ?
  • DHCP cevap paketlerinin içerisinde varsayılan default gateway bilgisi ve DNS sunucularının adresleri bilgileri yer almaktadır. Bu bilgileri DHCP sunucusu paketlerin içine kendisi girer.
  • Saldırgan kendini DHCP sunucusu olarak ağa tanıttığı için default gateway ve DNS sunucularını kendi isteği doğrultusunda değiştirir hatta isterse kendi bilgisayarının adresini verebilir.
  • Böylece ağdan dışarı çıkacak olan tüm paketleri kendi bilgisayarına yönlendirebilir.
  • Bu atağa aynı zamanda “man-in-the-middle” atağı da denmektedir. Yani saldırgan, paketler dışarı çıkmadan yani default gateway’e gitmeden önce araya girer ve daha sonra kendi bu paketleri default gateway’e yönlendirir.

Man-in-the-middle atağını şu şekilde gösterebiliriz:

Image for post
Resim : https://www.slideshare.net/AhmetGrel1/man-in-the-middle-atack-ortadaki-adam-saldrs

CDP Açıklığı:

  1. Bu saldırıdaki amaç saldırmaktan çok ağ hakkında bilgi toplamaktır.
  2. CDP protokolü, Layer2’de çalışan bir protokoldür.
  3. Protokolün amacı Cisco cihazlarının birbirlerini tanımalarını sağlamasıdır.
  4. CDP, gönderdiği frame’ler içerisinde hostname, IP adresi, cihazın modeli, cihazın işletim sistemi versiyonu gibi bilgiler yer almaktadır.
  5. Peki buradaki sorun nedir?
  6. Bu bilgiler ağ üzerinde açık olarak, şifresiz bir şekilde gönderilmektedir.
  7. Cihazın modelinin öğrenilmesi sonucunda ;modelin sahip olduğu açıklıklar kullanılarak cihaza saldırıgerçekleştirilebilir.
  8. Cihazlardan öğrenilmiş olan IP bilgileri kullanılarak da ağın topolojisi tespit edilebilir.

VTP Açıklığı:

  1. Ağ yöneticilerinin VLAN’lar üzerindeki silme, ekleme, update etme gibi olayların merkezi bir şekilde yapılmasını sağlayan protokoldür.
  2. Bu protokol sadece Cisco cihazlara ait Layer2 bir protokoldür.
  3. VTP konusunda bir saldırı tespit edilmemiştir ama bu, saldırının olmayacağı anlamına da gelmemelidir.
  4. Burada nasıl bir atak simüle edilebilir ?
  5. Saldırgan, switch’in portuna bağladığı bilgisayarının portunu “trunk port” olarak tanımlayıp bağlansın.
  6. Ağa sahte VTP mesajları göndermek suretiyle, switch’e VLAN ekleyebilir, silebilir ya da değişiklik yapabilir.
  7. Gerçekleşme ihtimali düşük olsa bile önlemleri alınmadığı takdirde böyle bir saldırı teorik olarak mümkün olduğu söylenebilir.

Buraya anlattığım her şeyi detaylı olarak anlatmaya, görseller ile desteklemeye çalıştım. Umarım sizler için bir faydam olmuştur.

Sorularınız için fatihturgutegitim@gmail.com adresine mail atabilirsiniz.

Ayrıca bana linkedin üzerinden de ulaşabilirsiniz. Okuyan herkese teşekkür eder sağlıklı günler dilerim. Bir sonraki yazımda görüşmek üzere…

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s

WordPress.com'da Blog Oluşturun.

Yukarı ↑

%d blogcu bunu beğendi: