ARP Zehirlenmesi (ARP Poisoning) Nedir? Tehditler ve Korunma Yöntemleri

Modern bilgisayar ağlarının temel taşlarından biri olan ARP (Address Resolution Protocol), yerel ağlarda (LAN) cihazların birbirlerinin MAC adreslerini keşfetmesini sağlayan kritik bir protokoldür. Ancak ARP protokolünün tasarımı gereği güvenlikten yoksun oluşu, onu ciddi güvenlik açıklarına açık hale getirir. Bu açıkların başında gelen ve siber saldırganlar tarafından sıkça kullanılan yöntemlerden biri de ARP Zehirlenmesi ya da diğer adıyla ARP Spoofing‘tir.

Bu makalede, ARP zehirlenmesinin nasıl çalıştığını, hangi tehditleri barındırdığını, saldırı senaryolarını, nasıl tespit edilebileceğini ve etkili korunma yöntemlerini detaylı bir şekilde inceleyeceğiz. Ayrıca yazının uygun bir yerinde konuyu destekleyen bir görseli de bulacaksınız.

ARP Nedir? ARP (Address Resolution Protocol), bir IP adresine karşılık gelen fiziksel (MAC) adresi bulmak için kullanılan bir ağ protokolüdür. Örneğin, bir bilgisayar aynı ağda bulunan bir başka cihaza veri göndermek istediğinde, IP adresini bilir ama MAC adresine ihtiyacı vardır. Bu durumda “Who has IP? Tell me your MAC.” şeklinde bir ARP isteği gönderilir. Cihaz cevap verdiğinde, karşılık MAC adresi ARP tablosuna yazılır ve iletişim sağlanır.

Normal koşullarda bu sistem sorunsuz çalışır. Ancak ARP protokolü herhangi bir doğrulama mekanizması içermez; gelen ARP cevaplarının gerçekten doğru olup olmadığını kontrol etmez. Bu durum, ARP Zehirlenmesi gibi saldırılara kapı aralar.

ARP Zehirlenmesi Nedir? ARP zehirlenmesi, kötü niyetli bir kullanıcının ağdaki diğer cihazların ARP tablolarını sahte bilgilerle “zehirlemesi” ve böylece trafiği kendi cihazı üzerinden yönlendirmesidir. Saldırgan, ağdaki iki cihaz (örneğin istemci ve ağ geçidi) arasında “ortada adam” (Man-in-the-Middle) konumuna geçer.

Bu tür saldırılar genellikle şu adımlarla gerçekleşir:

1. Saldırgan, hedef cihazlara sahte ARP cevapları gönderir.
2. Bu cevaplarda “Benim MAC adresim, ağ geçidinin IP adresine ait” der.
3. Hedef cihazlar bu bilgiyi doğru kabul ederek trafiği saldırgana yönlendirir.
4. Saldırgan trafiği alır, kopyalayabilir, değiştirebilir veya doğrudan engelleyebilir.
5. Ardından trafiği gerçek hedefe iletir (ya da iletmez). Bu sırada veri çalınmış olabilir.

Bu saldırının en tehlikeli yanlarından biri, çoğu zaman fark edilmeden çalışmasıdır. Kullanıcılar bağlantı kurmaya devam eder, ancak veriler arada başka bir cihaza (saldırgana) uğramaktadır.

ARP Zehirlenmesi ile Gerçekleşen Saldırı Türleri

1. Man-in-the-Middle (MITM): En yaygın senaryodur. Saldırgan, iki cihaz arasındaki trafiği görebilir, manipüle edebilir.
2. DNS Spoofing: Saldırgan, DNS sorgularını değiştirerek kullanıcının sahte bir web sitesine yönlendirilmesini sağlar.
3. Session Hijacking: Kullanıcının aktif oturum bilgileri çalınarak, kimliği taklit edilebilir.
4. Veri Çalma ve İzleme: Giriş bilgilerinden hassas verilere kadar birçok şey elde edilebilir.
5. Hizmet Engelleme (DoS): Trafik yanlış yönlendirilerek ağ kesintilerine yol açılabilir.

ARP Zehirlenmesi Nasıl Tespit Edilir? ARP zehirlenmesi sessiz gerçekleştiği için tespiti zordur, ancak bazı ipuçları ve araçlarla saldırı belirlenebilir:

• Aynı IP’ye ait birden fazla MAC adresi görülmesi
• ARP tablolarında sık değişim olması
• İstemcilerde DNS hataları veya yavaşlama yaşanması
• Wireshark, Arpwatch, XArp, Ettercap gibi araçlarla analiz yapılması

Kurumsal ağlarda bu tür anomalileri tespit eden IPS/IDS sistemleri de kullanılabilir. Ayrıca SIEM sistemleri ile korelasyonlu analizler yapılabilir.

ARP Zehirlenmesinden Korunma Yöntemleri

1. Statik ARP Tabloları Kullanmak: Özellikle sunucu ve ağ geçidi gibi kritik cihazlar için sabit (statik) ARP kayıtları girilmesi, sahte ARP cevaplarını engeller.
2. Dynamic ARP Inspection (DAI): Cisco ve benzeri yönetilebilir switch’lerde bulunan bu özellik sayesinde switch, DHCP snooping ile eşleşmeyen ARP paketlerini engeller.
3. VPN Kullanımı: Kullanıcıların internete çıkışı VPN üzerinden yapılırsa, yerel ağ dinlemeleri büyük ölçüde anlamsız hale gelir.
4. Güvenlik Yazılımları: ArpON, XArp, Arpwatch gibi yazılımlar, istemci tarafında ARP trafiğini izleyerek saldırıları algılayabilir.
5. Segmentasyon ve VLAN Kullanımı: Ağın bölümlere ayrılması, saldırganın diğer ağ segmentlerine erişimini zorlaştırır.
6. IDS/IPS Kullanımı: Ağ tabanlı saldırı tespiti yapan sistemler, şüpheli ARP trafiğini algılayarak alarm oluşturabilir veya engelleme yapabilir.
7. Güncel Sistem ve Donanım Kullanımı: Eski switch, router ve istemcilerde bu tür saldırılara karşı koruma mekanizmaları bulunmayabilir. Donanım ve yazılım güncel tutulmalıdır.

Kurumsal Açıdan Riskler ve Önemi ARP zehirlenmesi, bireysel kullanıcılar kadar kurumlar için de yüksek risk taşır. Kurumsal ağlarda gerçekleştirilecek bir MITM saldırısı, e-posta trafiğinin ele geçirilmesi, veritabanı bağlantılarının izlenmesi veya yönetim arayüzlerine erişimin sağlanması gibi büyük tehditler yaratabilir. Ayrıca kullanıcı bilgileri çalınarak iç tehdit unsurlarına dönüşebilir.

Veri sızıntısı, KVKK ve GDPR gibi düzenlemelere aykırı olacağı için kuruma hem yasal hem de itibari zararlar verir. Bu nedenle ağ güvenliği altyapılarında ARP zehirlenmesine karşı alınan önlemler, siber güvenlik politikalarının ayrılmaz bir parçası olmalıdır.

Sonuç ARP Zehirlenmesi, ağ protokollerinin temelindeki güvenlik eksikliğinden faydalanan tehlikeli ve yaygın bir saldırı türüdür. Bu saldırının en güçlü yönü, fark edilmeden gerçekleşebilmesidir. Ancak güçlü ağ yapılandırmaları, güvenlik denetimleri ve bilinçli kullanıcı alışkanlıkları ile bu tür saldırıların önüne geçmek mümkündür. Özellikle kurumsal ağlarda ARP güvenliğini sağlamak, sadece bireysel verileri değil; kurumun tamamını güvence altına almak anlamına gelir.

Ağ yöneticilerinin bu saldırı türüne karşı bilgili olması, yapılandırmaları doğru yapması ve tespit/koruma sistemlerini aktif kullanması gereklidir. Unutulmamalıdır ki, ARP zehirlenmesi basit bir açık gibi görünse de, etkileri oldukça yıkıcı olabilir. Bu yüzden hem teknik bilgi hem de operasyonel disiplin bu konuda hayati öneme sahiptir.