Wireshark ile MITM (Man-in-the-Middle) Saldırısını Tespit Etme

0 Replies 139 Views
·

Leave a rating: Wireshark ile MITM (Man-in-the-Middle) Saldırısını Tespit Etme

You have already rated this thread. Re-rating it will remove your existing rating or review.

Rating:

Raters: Wireshark ile MITM (Man-in-the-Middle) Saldırısını Tespit Etme

Participants
Thread Starter #0
Wireshark, ağ trafiğini analiz etmeye yarayan güçlü bir packet sniffer aracıdır. MITM saldırıları, özellikle ARP Spoofing, DNS Spoofing veya HTTPS Stripping senaryolarında kendini belirli anomalilerle gösterir.




1. ARP Spoofing / Poisoning Tespiti


MITM saldırılarının en yaygın yöntemi ARP Spoofing’tir. Burada saldırgan, kurbanın ARP tablosunu manipüle ederek kendisini “gateway” gibi gösterir.


Wireshark’ta Kontrol Adımları:

Filtre kullan:

NGINX
1arp





Aynı IP adresi için birden fazla farklı MAC adresi görüyorsan bu anormaldir.


Örneğin:


BASH
12192.168.1.1 → 00:11:22:33:44:55
192.168.1.1 → aa:bb:cc:dd:ee:ff




Bu, saldırganın gateway’in MAC adresini kendi adresiyle değiştirdiğini gösterir.

🔴 Normalde aynı IP → her zaman aynı MAC adresini göstermelidir.

2. DNS Spoofing Tespiti

MITM saldırılarında DNS cevapları manipüle edilebilir.

Wireshark’ta Kontrol Adımları:

Filtre kullan:

NGINX
1dns



Şüpheli durumlar:

Aynı domain için farklı IP adresleri dönmesi (çok sık ve tutarsız).

Yanıtların çok hızlı gelmesi (genelde saldırgan lokalden cevap verir).

Cevap veren DNS sunucusunun mevcut DNS resolver değil, farklı bir IP olması.

Örneğin:

SASS
1bankam.com → 192.168.1.200   (saldırganın sahte sunucusu)


3. HTTPS Stripping / SSL Hijacking Tespiti


Saldırgan HTTPS’i HTTP’ye düşürürse veya sahte sertifika sunarsa:


  • Filtre kullan:


    HTML
    1http
    

  • Eğer normalde HTTPS olması gereken (örneğin bankacılık sitesi) bir alan adına HTTP istekleri gidiyorsa → MITM ihtimali vardır.
  • Sertifika uyarıları (tarayıcıda kırmızı uyarı) görmezden gelinirse:

    • Wireshark’ta TLS handshake paketlerini kontrol et (tls.handshake).
    • Sertifika geçersiz bir CA tarafından imzalanmış olabilir.
    • Self-signed sertifikalar (Issuer = Subject aynı) özellikle dikkat çekicidir.



4. TCP Anomalileri


MITM sırasında paket yönlendirmeleri nedeniyle TCP trafiğinde anormallikler olabilir:


Filtre kullan:


CODE
1tcp.analysis.flags


  • Sık görülen anomaliler:

    • Tekrar eden ACK paketleri (duplicate ACKs)
    • Out-of-order paketler
    • Normalden fazla gecikme (latency)



5. Genel Trafik Davranışı


MITM sırasında Wireshark ile fark edilebilecek diğer ipuçları:


  • Belirli bir MAC adresi üzerinden çok fazla trafik geçmesi (saldırgan köprü gibi davranıyor).
  • Beklenmeyen IP adreslerine proxy bağlantıları.
  • Kullanıcı normal bir web sitesine bağlandığını sanarken arada farklı bir ara sunucu IP görülmesi.



Sonuç


🔍 Wireshark ile MITM saldırısı şu şekilde tespit edilir:


  • ARP tablosu çakışmaları → Aynı IP’ye ait farklı MAC adresleri.
  • DNS manipülasyonu → Domain farklı IP’ye yönlendiriliyor.
  • HTTP düşürme → HTTPS yerine HTTP paketleri gözüküyor.
  • TLS sertifika anomalileri → Self-signed veya şüpheli CA imzası.
  • TCP anomalileri → Duplicate ACK, out-of-order paketler.


[IMG width="249px" size="1050x1050"]https://i.hizliresim.com/a6d55tm.png[/IMG]

You must be logged in to reply.

0 quotes selected