Ettercap Nedir ?
Günümüzde ağ güvenliği, sadece büyük kurumlar için değil bireysel kullanıcılar için de kritik bir konudur. Yerel ağlar (LAN), kablosuz ağlar ve hatta küçük ofis ağları, çeşitli saldırı tekniklerine karşı savunmasız olabilir. Bu saldırıların önemli bir bölümü Man-in-the-Middle (MITM) olarak adlandırılan yöntemlere dayanır. Ettercap, bu tür saldırıları gerçekleştirmek ve analiz etmek için geliştirilmiş güçlü bir ağ aracıdır.Ettercap, açık kaynak kodlu bir ağ analiz ve saldırı aracıdır. Temel olarak yerel ağ trafiğini dinlemek, yönlendirmek ve gerektiğinde manipüle etmek için kullanılır. Linux tabanlı sistemlerde yaygın olmakla birlikte Windows sürümleri de mevcuttur. Ettercap’in en ayırt edici özelliği, aktif ve pasif ağ saldırılarını desteklemesidir. Yani yalnızca ağ trafiğini dinlemekle kalmaz, aynı zamanda trafiğe müdahale edebilir.
Ettercap Ne Yapar?
Ettercap’in yetenekleri oldukça geniştir. Başlıca işlevleri şunlardır:
1. Man-in-the-Middle (MITM) Saldırıları
Ettercap, iki cihaz arasına girerek (örneğin bir bilgisayar ile modem arasında) tüm veri trafiğini kendisi üzerinden geçirir. Bu sayede:
- Kullanıcı adları ve parolalar
- Ziyaret edilen web siteleri
- Düz metin (HTTP) verileri
görüntülenebilir veya değiştirilebilir.
2. ARP Poisoning (ARP Zehirleme)
Yerel ağlarda en sık kullanılan saldırı yöntemlerinden biridir. Ettercap, sahte ARP cevapları göndererek ağdaki cihazları yanıltır ve tüm trafiği saldırganın cihazına yönlendirir.
3. Paket Dinleme ve Analiz
Ağ üzerindeki veri paketleri yakalanabilir ve analiz edilebilir. Özellikle şifrelenmemiş protokoller (HTTP, FTP, Telnet gibi) büyük risk altındadır.
4. Trafik Manipülasyonu
Ettercap, geçen veriye müdahale edebilir. Örneğin:
- Web sayfalarına zararlı kod eklemek
- Dosya indirmelerini değiştirmek
- DNS yanıtlarını yönlendirmek
5. Güvenlik Testleri (Ethical Hacking)
Yasal ve etik sınırlar içinde kullanıldığında Ettercap, ağ güvenliğini test etmek, zafiyetleri tespit etmek ve savunma mekanizmalarını güçlendirmek için kullanılabilir.
Windows Sistemler İçin Korunma Yöntemleri
1. Güvenli Protokoller Kullanın
- HTTP yerine HTTPS
- FTP yerine SFTP / FTPS
- Telnet yerine SSH
kullanılmalıdır. Şifreli protokoller, trafiğin okunmasını büyük ölçüde engeller.Girdiğiniz web sitesi webmailler mutlaka SSL destekli sayfalar olmalıdır. Şifreli protokollerden bu verileri okuması zordur.
2. Güvenlik Duvarı (Firewall) Etkin Olsun
Windows Defender Firewall mutlaka açık olmalı ve:
- Gereksiz gelen/giden bağlantılar engellenmelidir
- Yerel ağdan gelen şüpheli ARP trafiği izlenmelidir
Ayrıca Güvenilir bir VPN kullanmak, yerel ağ üzerindeki trafiği şifreler. Bu sayede Ettercap trafiği ele geçirse bile içeriği okuyamaz.Halka açık Cafeler restoranlarda mutlaka buna dikkat edilmelidir. Bağlandığınız bir Wi-fi ağı belkide sizin için bir tuzak olabilir.
Genel Güvenlik Tavsiyeleri
- Modem ve switch’lerde ARP Inspection destekleniyorsa aktif edilmelidir
- Switch üzerinde port security kullanılmalıdır
- Ağ cihazlarının yazılımları güncel tutulmalıdır
- Kullanıcılar, sertifika uyarılarını dikkate almalıdır
Bulunduğunuz Network'ü analiz edin..
Wireshark ile şunlara bakabilirsiniz:
- Çok sayıda ARP Reply
- Aynı IP için farklı MAC adresleri
- Sürekli gelen “gratuitous ARP” paketleri
Komut:
arp
Ettercap aktifse ARP trafiği normalden çok daha yoğundur.
Ağda Paket Gecikmesi ve Dalgalanma
Ettercap araya girdiği için:
- Ping süreleri artar
- Paket kaybı görülebilir
Komut:
ping -c 20 8.8.8.8
Normalden düzensiz süreler şüphelidir.
Windows kullanıcıları için öncelikle Mac Adresinizi bilmeniz gerekiyor.
Komut İstemi (CMD) aç:
ipconfig
Yazdığınızda Varsayılan Ağ Geçidi (Default Gateway) IP’sini not alın.Daha sonra Arp Tablosunu kontrol edin.
ARP tablosunu kontrol et
arp -a
Şüpheli durumlar:
- Gateway IP ile başka IP’ler aynı MAC adresine sahipse
- Gateway MAC adresi zamanla değişiyorsa
Bu durum ARP spoofing göstergesidir (Ettercap yaygın olarak bunu yapar). Gateway mac adresi sabit değilse , MITM ihtimali yüksektir.
Kurumsal Ağda (switch/router) Nasıl Engellenir
Yetkisiz cihazların sahte DHCP sunucusu olmasını engeller ve ARP doğrulamanın temelini oluşturur.
Cisco örnek:
ip dhcp snooping ip dhcp snooping vlan 10
Uplink portu trusted yap:
interface GigabitEthernet0/1 ip dhcp snooping trust
İstemci portları asla trust olmaz.
Dynamic ARP Inspection (DAI) – EN ETKİLİ ÖNLEM
ARP paketlerini DHCP Snooping tablosu ile karşılaştırır.
Ettercap burada tamamen bloke edilir.
ip arp inspection vlan 10
Trusted port:
interface GigabitEthernet0/1 ip arp inspection trust
Sahte ARP Reply anında drop edilir.
Port Security (MAC Sınırlandırma)
Bir porta bağlanabilecek MAC sayısını sınırla.
interface FastEthernet0/10 switchport mode access switchport port-security switchport port-security maximum 1 switchport port-security violation shutdown
802.1X (Kurumsal Standart – Kesin Çözüm)
Kullanıcı doğrulaması olmadan ağa erişim yok.
- Sertifika / AD / RADIUS tabanlı
- Ettercap çalıştıran cihaz ağa bile giremez
Bankalar, kamu kurumları, büyük holdingler zorunlu olarak kullanır.
ARP Inspection / IP-MAC Binding
Firewall’da IP–MAC eşleşmesini sabitle.
- FortiGate
- Palo Alto
- Cisco ASA
Bu sayede:
- Gateway taklidi imkânsız hale gelir
Layer 2 → Layer 3 Ayrımı
- Kullanıcı VLAN’ları L2’de konuşamasın
- Routing firewall üzerinde olsun
MITM, L2 ortamda olur. L3’e çıkınca oyun biter.
Böylece Ettercap bir varolan network de çalışamaz hale gelmektedir. Buna istinaden güvenli bir network e sahip olmuş oluruz
Yorumlar
Yorum Yazma Kuralları
Yorumlarınız kendi sorumluluğunuzdadır. Yazacağınız Yorumlar ile birlikte IP adresinizde Kayıt Edilir.
Yorumlarda Lütfen Hakaret Küfür Kullanmayınız.
Yorum Yazın
Bu makaleye henüz yorum yapılmamış. İlk yorumu siz yapın!