CCNPNetwork SecurityLayer 2MITM

ARP Spoofing

okuma süresi—

zorluk

İleri

konuARP Poisoning · MITM · DAI

yazarMert Çongur

Bu makale ARP Spoofing saldırısını yalnızca "nasıl yapılır" değil, paket yaşam döngüsü, cache davranışı ve kurumsal ağlarda tespit/savunma bakış açısıyla ele alır.

01 / ARP'nin Layer 2.5 Mantığı

ARP, OSI modelinde tam olarak Layer 2 veya Layer 3'e oturtulamaz. IP bilgisi taşır fakat Ethernet frame içinde çalışır. Bu yüzden network mühendisleri tarafından Layer 2.5 olarak adlandırılır.

ℹ

Not: ARP yalnızca IPv4'e özgüdür. IPv6, adres çözümlemesi için NDP (Neighbor Discovery Protocol) kullanır.

02 / ARP Cache ve Yaşam Döngüsü

Her işletim sistemi ARP cevaplarını geçici olarak cache'ler. Cache belirli bir TTL sonrası zaman aşımına uğrar.


terminal
arp -a

Windows: ~2 dakika (dynamic entry)
Linux: ~60 saniye
Statik kayıtlar süresizdir, manuel silinmelidir

03 / ARP Header Alanları


ARP packet structure
Hardware Type : Ethernet (1)
Protocol Type : IPv4 (0x0800)
Opcode        : Reply (2)
Sender MAC    : aa:bb:cc:dd:ee:ff
Sender IP     : 192.168.1.1
Target MAC    : 00:00:00:00:00:00
Target IP     : 192.168.1.100

⚠

Kritik nokta: ARP Reply, karşılık bir Request olmadan da kabul edilir. Stateless yapısı bu saldırının temel zafiyetidir.

04 / Cache Poisoning Mekanizması

Saldırgan, hedef cihazların ARP cache'lerini sürekli olarak sahte Reply paketleriyle günceller. Tek paket yeterli değildir — saldırı periyodik ARP Reply flood içerir.


sahte arp reply
# Saldırgan ~30s'de bir bu paketi broadcast eder:
192.168.1.1 is-at AA:BB:CC:DD:EE:FF  ← gateway IP, saldırgan MAC

05 / MITM Trafik Akışı

Client → Attacker → Gateway
Gateway → Attacker → Client
Saldırgan TLS termination veya SSL downgrade deneyebilir

⛔

Risk: HTTPS bile tam koruma sağlamaz. HSTS olmayan sitelerde SSLstrip ile downgrade mümkündür. Credential harvesting ve session hijacking bu aşamada gerçekleşir.

06 / Wireshark ile Tespit


wireshark display filter
arp.opcode == 2

Şüpheli indicator'lar:

Aynı IP için birden fazla farklı MAC adresi görülmesi
Yüksek frekanslı ARP Reply trafiği (saniyede >10)
Gratuitous ARP patlamaları

07 / Enterprise Gerçek Senaryo

Kullanıcılar "internet var ama bankalar açılmıyor" şikayetiyle helpdesk'e başvurur. Firewall loglarında herhangi bir anomali görülmez — saldırı Layer 2'de gerçekleştiğinden L3/L7 sistemler kör kalır.

Switch mirror port (SPAN) açılır
Wireshark ile ARP reply flood tespit edilir
Rogue device MAC adresi tespit edilerek port izole edilir

08 / Kurumsal Savunma Katmanları

Dynamic ARP Inspection


cisco ios — dai config
ip dhcp snooping
ip dhcp snooping vlan 10

ip arp inspection vlan 10
ip arp inspection limit rate 15

Statik IP için ARP ACL


cisco ios — arp acl
arp access-list STATIC-SERVERS
 permit ip host 192.168.1.50 mac host 00:11:22:33:44:55

Log & Monitoring

DAI violation logları — SIEM'e yönlendirilmeli
SNMP trap ile NOC bildirimi
Threshold tabanlı alert: dakikada >50 ARP violation → P1 alarm

⚠

Uyarı: Bu içerik ileri seviye network güvenliği farkındalığı amaçlıdır. Gerçek sistemlerde test ortamı dışında uygulanmamalıdır.