Thread Starter
#0
Wireshark, ağ trafiğini analiz etmeye yarayan güçlü bir packet sniffer aracıdır. MITM saldırıları, özellikle ARP Spoofing, DNS Spoofing veya HTTPS Stripping senaryolarında kendini belirli anomalilerle gösterir.
MITM saldırılarının en yaygın yöntemi ARP Spoofing’tir. Burada saldırgan, kurbanın ARP tablosunu manipüle ederek kendisini “gateway” gibi gösterir.
Aynı IP adresi için birden fazla farklı MAC adresi görüyorsan bu anormaldir.
Örneğin:
Bu, saldırganın gateway’in MAC adresini kendi adresiyle değiştirdiğini gösterir.
🔴 Normalde aynı IP → her zaman aynı MAC adresini göstermelidir.
2. DNS Spoofing Tespiti
MITM saldırılarında DNS cevapları manipüle edilebilir.
Wireshark’ta Kontrol Adımları:
Filtre kullan:
Şüpheli durumlar:
Aynı domain için farklı IP adresleri dönmesi (çok sık ve tutarsız).
Yanıtların çok hızlı gelmesi (genelde saldırgan lokalden cevap verir).
Cevap veren DNS sunucusunun mevcut DNS resolver değil, farklı bir IP olması.
Örneğin:
Saldırgan HTTPS’i HTTP’ye düşürürse veya sahte sertifika sunarsa:
MITM sırasında paket yönlendirmeleri nedeniyle TCP trafiğinde anormallikler olabilir:
Filtre kullan:
MITM sırasında Wireshark ile fark edilebilecek diğer ipuçları:
🔍 Wireshark ile MITM saldırısı şu şekilde tespit edilir:
1. ARP Spoofing / Poisoning Tespiti
MITM saldırılarının en yaygın yöntemi ARP Spoofing’tir. Burada saldırgan, kurbanın ARP tablosunu manipüle ederek kendisini “gateway” gibi gösterir.
Wireshark’ta Kontrol Adımları:
Filtre kullan:NGINX
1arp
Aynı IP adresi için birden fazla farklı MAC adresi görüyorsan bu anormaldir.
Örneğin:
BASH
12192.168.1.1 → 00:11:22:33:44:55
192.168.1.1 → aa:bb:cc:dd:ee:ff
Bu, saldırganın gateway’in MAC adresini kendi adresiyle değiştirdiğini gösterir.
🔴 Normalde aynı IP → her zaman aynı MAC adresini göstermelidir.
2. DNS Spoofing Tespiti
MITM saldırılarında DNS cevapları manipüle edilebilir.
Wireshark’ta Kontrol Adımları:
Filtre kullan:
NGINX
1dns
Şüpheli durumlar:
Aynı domain için farklı IP adresleri dönmesi (çok sık ve tutarsız).
Yanıtların çok hızlı gelmesi (genelde saldırgan lokalden cevap verir).
Cevap veren DNS sunucusunun mevcut DNS resolver değil, farklı bir IP olması.
Örneğin:
SASS
1bankam.com → 192.168.1.200 (saldırganın sahte sunucusu)
3. HTTPS Stripping / SSL Hijacking Tespiti
Saldırgan HTTPS’i HTTP’ye düşürürse veya sahte sertifika sunarsa:
- Filtre kullan:
HTML1
http
- Eğer normalde HTTPS olması gereken (örneğin bankacılık sitesi) bir alan adına HTTP istekleri gidiyorsa → MITM ihtimali vardır.
- Sertifika uyarıları (tarayıcıda kırmızı uyarı) görmezden gelinirse:
- Wireshark’ta TLS handshake paketlerini kontrol et (tls.handshake).
- Sertifika geçersiz bir CA tarafından imzalanmış olabilir.
- Self-signed sertifikalar (Issuer = Subject aynı) özellikle dikkat çekicidir.
- Wireshark’ta TLS handshake paketlerini kontrol et (tls.handshake).
4. TCP Anomalileri
MITM sırasında paket yönlendirmeleri nedeniyle TCP trafiğinde anormallikler olabilir:
Filtre kullan:
CODE
1tcp.analysis.flags
- Sık görülen anomaliler:
- Tekrar eden ACK paketleri (duplicate ACKs)
- Out-of-order paketler
- Normalden fazla gecikme (latency)
- Tekrar eden ACK paketleri (duplicate ACKs)
5. Genel Trafik Davranışı
MITM sırasında Wireshark ile fark edilebilecek diğer ipuçları:
- Belirli bir MAC adresi üzerinden çok fazla trafik geçmesi (saldırgan köprü gibi davranıyor).
- Beklenmeyen IP adreslerine proxy bağlantıları.
- Kullanıcı normal bir web sitesine bağlandığını sanarken arada farklı bir ara sunucu IP görülmesi.
Sonuç
🔍 Wireshark ile MITM saldırısı şu şekilde tespit edilir:
- ARP tablosu çakışmaları → Aynı IP’ye ait farklı MAC adresleri.
- DNS manipülasyonu → Domain farklı IP’ye yönlendiriliyor.
- HTTP düşürme → HTTPS yerine HTTP paketleri gözüküyor.
- TLS sertifika anomalileri → Self-signed veya şüpheli CA imzası.
- TCP anomalileri → Duplicate ACK, out-of-order paketler.
[IMG width="249px" size="1050x1050"]https://i.hizliresim.com/a6d55tm.png[/IMG]