MUSTAFA GMEN BIS-4 070702006

Adres zmleme Protokol

Konu balklar
1 ARP Nedir? 2 ARP Istek Paketi Gnderilmesi 3 ARP Paket Format 4 ARP Mesajnn lenmesi 5 Reverse Address Resolution Protocol - RARP 6 D balantlar

ARP Nedir?
Yerel alarn oluturulmasnda en ok kullanlan a arayz Ethernet' tir. Sistemlere Ethernet arayz grevi gren a kartlar taklarak LAN 'lara kolayca eklenmektedir. Ethernet arayzleri birbirlerine veri paketi gndermeleri iin, kendilerine retim srasnda verilen fiziksel adresleri kullanrlar; 48 bit olan bu arayzler her bit iin farkldr. Ancak TCP/IP protokolnn kullanld alarda 32 bit olan IP adresi kullanlr. Fiziksel katmanda Ethernet arayz kullanlyorsa, IP adresten fiziksel adrese dnm iinin yaplmas gerekir. Bunun iin sistemlerde adres zmleme protokol olan ARP( ngilizce:Address Resolution Protocol ) ve ARP tablolar kullanlr.

ARP Istek Paketi Gnderilmesi

Bir paketin yerel ada bir sisteme gnderilebilmesi iin IP adresinin yannda donanm adresinin de bilinmesi gerekir. IP, bu fiziksel adresi renebilmek iin yerel adaki tm bilgisayarlara zel bir sorgulama paketi yollar. ARP istek paketi ( ngilizce: ARP request packet ) olarak anlan bu pakette alc sistemin IP adresi vardr ve bunun karl olan fiziksel adresin gnderilmesi istenir. A zerindeki ARP leri etkin olan tm dmler bu istek paketlerini grrler ve kendilerini ilgilendiriyorsa istek paketini gnderen yere fiziksel adreslerini gnderirler.Baz dmler fiziksel adres renme srelerini azaltmak iin, dier sistemlerin ARP sorgulamalarn srekli dinleyerek kendi ARP tablolarn gncel tutabilirler. Bylece kendisi daha nce herhangi bir aktarm yapmasa bile, dier sistemlerin IP-fiziksel adres dnm bilgisine sahip olurlar.Ayrca ARP, IP adreslerini fiziksel adreslere haritalamasnn dnda zel donanm tiplerinin tanmlanmasna da izin verir.Aadaki ekilde Arp istei ve cevab gsterilmektedir:

ARP Paket Format

Gerekli durumlardaki mesajlamalarda kolaylk salamas iin bir ARP mesaj yaps oluturulmutur. Bu mesaj yaps herhangi bir protokol iin fiziksel/donanm adres zmlemesi amalasa da genelde IP alarnda Ethernet adresine ulamak iin kullanlr. Donanm Adres Tipi Herbir veri hatt katman protokolne bu alanda kullanmas iin verilen numara. rnein Ethernet 1. >Protokol Adres Tipi Herbir protokole bu alanda kullanlmas iin verilen numara. rnein, IP 0x0800. Donanm Adres Uzunluu Donanm adresinin byte cinsinden uzunluunu gsterir. Ethernet adresi 6 byte uzunluundadr. Protokol Adres Uzunluu Logical Adresin byte cinsinden uzunluu. IPv4 adresi 4 byte uzunluundadr. Operasyon

MUSTAFA GMEN BIS-4 070702006

Gnderici belirli operasyonlar sergiler: istek iin 1, cevap iin 2, RARP istei iin 3 ve RARP cevap iin 4. Gnderen Donanm Adresi Donanm adres gnderici. Gnderen Protokol Adresi Protokol adres gnderici. Var Donanm Adresi Alcya ynelik donanm adresi. Bu alanda istekler nemsenmez.Bir istek mesaji gnderilirken Var Donanm Adresinin tamam sfr yaplr. Var Protokol Adresi Alcya ynelik protokol adresi.

ARP Mesajnn lenmesi

Bir IP paketi gnderilmeden nce Ethernet alarnda iki paket daha aktarlr ve paketin gnderilecei dmn fiziksel adresi bulunur. Bu ilemi ayn var dmne gidecek paketler iin tekrar tekrar yapmak anlamszdr. Bu nedenle bir IP_adresi-Donanm_adresi elemesi yapldnda bu bilgi bir sre ARP cep belleinde tutulur. Belli bir sre kullanlmam adresler, bellekte yer sorunu varsa silinir. Bir ARP mesaj alan dm aadaki ilemleri gerekletirir 1)Mesajn geldii dmn IP adresi ve MAC adresilerinin ARP cep belleinde olup olmadnn testi yaplr. Varsa eski donanm adresinin yerine, gelen mesajdaki donanm adresi yazlr. 2)Mesajn operasyon blmne baklr. Bu blm istek mesaj ise bir cevap mesaj hazrlanr. Cevap mesajnda, gelen mesajdaki gnderen ve var adreslerinin yerleri deitirilir. Gnderen donanm adresi blmne mesaj hazrlayan bilgisayarn donanm adresi yazlr. Operasyon alanna, 2 deeri verilir.Bu blm cevap mesaj ise daha nce istek gnderilmi olup gelen bilgiler cep bellee eklenir.Yaynlanan tm ARP mesajlarndaki verilerin ARP cep belleine konmas, cep bellein ksa srede dolmasna neden olur. Bu nedenle, bilgisayarlar sadece kendilerini hedef alan ARP mesajlar ile ilgilenirler.

Reverse Address Resolution Protocol - RARP

RARP, yeni altrlm (new-booted) bilgisayarlarn Ethernet adreslerini aa duyurmas ve kendi IP adresini sormasn salar. Bunlar disksiz bilgisayarlardr ve bu bilgisayarlar iin RARP sunucusu bu sorulara cevap verir. IP adres istekleri, yerel alan a dna kamad iin isteklerin olutuu yerel alan alarnda bir RARP sunucusu olmas gerekir. Bu sorunu zmek iin alternatif bir balang protokol (bootstrap) nerilmitir: BOOTP. BOOTP, UDP mesajlar ile haberleir bu nedenle yerel alan alarn geebilir. BOOTPnin detaylar RFC 951,RFC 1048 ve RFC 1084te verilmitir. BOOTPnin dezavantaj IP ve Ethernet adres elemesinin manuel olarak yaplmasdr. ARP ve RARP birbirinden farkl ilemlerdir. ARP her sunucunun kendi donanm adresi ve protokol adresi arasndaki haritalamay bildiini farzeder. Dier sunucular hakknda edinilen bilgi kk bir bellekte tutulur. Btn sunucular eit statdedir. stemci ve sunucu arasnda hibir ayrm yoktur. RARP' de ise durum farkldr. stemcilerden gelen istekleri cevaplamak ve protokol adresinden donanm adresine veritaban haritalanmas iin daha fazla sunucuya gereksinim duyar.

MUSTAFA GMEN BIS-4 070702006

ARP SALDIRILARI
Lokal alarda gerekletirilmesi hi de zor olmayan saldrlardan birisi de ARP sahtekarl saldrlardr. ARP sahtekarl saldrlarnn anlalabilmesi iin ARP kavramnn ok iyi bilinmesi gerekmektedir. ARP kavramnn iyi bilinmemesi, ARP saldrlarnn anlalmasna ve bu saldrlarn nlenmesine engel olacaktr. Aadaki yaznn daha iyi anlalabilmesi iin ARP kavramnn iyi bilinmesi gerekmektedir.ARP sahtekarl (ARP spoofing, ARP flooding, ARP poisoning) saldrs lokal alarda gerekletirilebilen bir saldrdr. Bu saldr, ekilde gerekletirilmektedir: Birincisi; hedef bilgisayarn ARP tablosunun yanl bilgilerle olmasn salayarak,hedef bilgisayarn gnderecei paketlerin saldrgann istedii adreslere gitmesini salamak. kincisi; hedef bilgisayarn gnderecei tm paketlerin, saldrgann bilgisayar zerinden gemesini salamak (Man in the Middle). ncs de; hedef bilgisayarn, paketlerini bir baka bilgisayara gndermesini salayarak bu bilgisayara servis d brakma (Denial of Service) saldrs yapmak eklindedir. Saldrlar, aadaki topoloji zerinden anlatmaya alacaz:

Birinci saldr:

MUSTAFA GMEN BIS-4 070702006

Ada yer alan bilgisayarlarn birbirleriyle haberleme yaptklar durumda, A bilgisayarnn ARP tablosu aadaki gibi olacaktr:

Normal durumda A bilgisayar, C bilgisayarna bir ereve (frame) gnderecei zaman erevenin hedef MAC adresi ksmna koyaca adres CC-CC-00-00-00-01 olacaktr.lk saldrmzda saldrganmz A bilgisayarnn gnderecei tm erevelerin (frame) ED-12-3388-AA-B0 MAC adresli bir bilgisayara gnderilmesini salayacaktr. Bunun iin saldrgan, A bilgisayarna srekli olarak sahte ARP (spoofed ARP) ereveleri yollayacaktr. A bilgisayar da ARP tablosunu gelen bu sahte ARP mesajlarna gre gncelleyecektir. ARP mesajlar, herhangi bir durum tablosu tutmadklar (stateless) ve ARPta herhangi bir kimlik dorulama mekanizmas olmad iin de A bilgisayar gelen ARP mesajlarnn doru bilgisayardan gelip-gelmedii kontrol edemeyecektir. Tm bilgisayarlar gibi A bilgisayar da kendisine gelen ARP mesajlaryla ARP tablosunu herhangi bir kontrole tabi tutmadan gncellemek durumundadr.

MUSTAFA GMEN BIS-4 070702006

Saldrgan; A bilgisayarna lokal ada yer alan tm IP adresleri iin tek bir adet MAC adresini ieren (ED-12-33-88AA-B0) ARP mesajlar gnderecektir. Bu durumda A bilgisayarnn ARP tablosu aada duruma dnecektir:

MUSTAFA GMEN BIS-4 070702006

A bilgisayar adaki herhangi bir bilgisayara paket gndermek istedii zaman paketlerin hepsi ED-12-33-88-AA-B0 MAC adresine sahip olan bilgisayara gnderilecektir. Bu saldrda saldrgan; A bilgisayarna gnderecei sahte ARP erevelerindeki (frame) MAC adresini deitirmek suretiyle, A bilgisayarnn gnderecei tm paketleri istedii bilgisayara gndermeyi baarabilecektir. Bu ekilde saldrgan, A bilgisayarndan kan tm paketleri istedii bir bilgisayardan dinleyebilecektir. kinci Saldr Bu saldr, birinci saldrda bahsedilen yntemle gerekletirilmektedir. Bu saldrda saldrgan, sahte ARP (spoofed ARP)erevelerinin ierisine kendi bilgisayarnn MAC adresini yazmak suretiyle hedef bilgisayardan kan tm paketlerin kendi bilgisayar zerinden gemesini salar. Bu saldr, man-in-the-middle (MiM) saldrs olarak da bilinmektedir.Saldrgan, tm aa yollad ARP mesajlarnn ierisine varsaylan a geidinin (default gateway) MAC adresi yerine kendi MAC adresini yazarsa da kendisi varsaylan a geidi olmu olacaktr. Bylece adan darya kacak olan tm trafik saldrgann bilgisayarna gelebilecektir. nc Saldr Bu saldr da yine birinci saldrda bahsedilen yntemle gerekletirilmektedir. Bu saldr trnde saldrgann amac, hedef bilgisayardan dar kacak olan paketleri dinlemek deil, hedef bilgisayara servis d brakma (DoS) saldrs yapmaktr.Bunun iin saldrgan tm ada yer alan bilgisayarlara sahte ARP mesajlar yollar. Bu mesajlarn ierisine de hedef bilgisayarn MAC adresini yazar. Bylece ada yer alan tm bilgisayarlar paketlerini hedef bilgisayara yollar. Bu da hedef bilgisayarn ethernet balantsnn limitinin dolmasna sebep olur. Ayrca hedef bilgisayarn ilemci gcnn de %100 orannda kullanlmasna sebep olarak, hem hedef bilgisayarn ilem yapmasn engellemi olur, hem de ada yer alan dier bilgisayarlarn balantlarn engellemi olur.Saldrgan tm a etkileyip, bu saldry ok fazla dikkat ekmeden yapmak isterse de, sahte ARP mesajlarn tm aa deil de, dnml olarak ada yer alan baz bilgisayarlara gndererek adaki bilgisayarlarn eriim sorununu gizlemi olur. Adaki bilgisayarlardaki eriim problemi dnml olarak gzlendiinden, bunun bir atak olduunun anlalmas olduka zor olacaktr. zm: Olduka eski bir protokol olan ARPn alma yapsndan kaynaklanan bu sorunlarn protokol baznda bir zm bulunmamaktadr. ARPn bu eksikliini, anahtarlama cihazlar zerinde alnacak baz nlemlerle kapatmak mmkndr. zm 1: zmlerden bir tanesi; anahtarlama cihazlarnn da IP adresi MAC adresi elemelerini (ARP tablosu) port baznda tutmalardr. Anahtarlama cihazlar zerinde port baznda bir IP adresi MAC adresi eletirmesi yapld takdirde ilgili porttan farkl bir MAC adresinin gelmesi mmkn olmayacaktr. Bylece saldrgan bal olduu anahtarlama cihaznn portundan farkl IP adresi MAC adresi elemelerine sahip olan ARP mesajlar gnderemeyecektir. Anahtarlama cihaznn bir portu iin sadece bir IP adresi ve bir MAC adresi tanmlanabilecektir. Bu nleme; Dynamic ARP Inspection ya da Dynamic ARP Protection denmektedir.Dynamic ARP Inspection/Dynamic ARP Protection yaplandrmas yaplm olan anahtarlama cihazlar, ayn zamanda 0.0.0.0 ya da 255.255.255.255 gibi geerli olmayan IP adreslerinden gelen ARP isteklerini de engelleyecektir.DHCP sunucusunun bulunduu bir sistemde Cisco marka anahtarlama cihazlarnda bu zellik aadaki gibi aktif hale getirilir:

MUSTAFA GMEN BIS-4 070702006

Cisco(config)#ip dhcp snooping vlan 53, 61 Cisco(config)#ip arp inspection vlan 53,61 Cisco(config)#interface GigabitEthernet 5/48 Cisco(config-if)#ip dhcp snooping trust Cisco(config-if)#ip arp inspection trust Yukardaki rnekte, IP adreslerinin otomatik olarak datld (bir DHCP sunucusunun bulunduu) bir sistemde 53 ve 61 numaral VLANler iin Dynamic ARP Inspection zellii aktif hale getirilmitir. Anahtarlama cihaz 53 ve 61 numaral VLANlere bal olan portlar iin kendi zerinde tuttuu IP adresi MAC adresi tablosuna bakarak ARP erevelerine izin verecek ya da bu ereveleri (frame) drecektir.Aadaki rnekte de HP ProCurve marka anahtarlama cihazlarnda DHCP sunucusunun bulunduu bir ortamda Dynamic ARP Protection zellii aktif hale getirilmitir: ProCurve(config)# arp-protect vlan 53,61 ProCurve(config)# arp-protect trust c1-c12, e3 Bu konfigrasyonlarda dikkat edilmesi gereken husus, anahtarlama cihazlarnn birbirlerine balandklar portlarn gvenilir (trusted) olarak tanmlanmasdr.Gvenilir (trusted) olarak tanmlanmayan portlardan gelen ARP istekleri kontrol edileMEYEecek, gvenilir olmayan (untrusted) portlardan gelen ARP mesajlar da kontrol edilecektir. zm 2: Bir DHCP sunucusunun bulunmad bir ortamda (IP adreslerinin statik olduu) IP adresi MAC adresi elemelerinin anahtarlama cihazlar zerinde el ile birer birer yaplmas gerekmektedir. Yani DHCP sunucusundan hazr olarak alnan IP adresi MAC adresi eletirmelerinin anahtarlama cihazna el ile girilmesi gerekmektedir.Bunun iin anahtarlama cihazlar zerinde ARP eriim kontrol listeleri (ARP access control lists - ARP ACLs) tanmlanr.Aadaki rnekte Cisco marka anahtarlama cihazlarnda DHCP sunucusunun bulunmad bir sistemde Dynamic ARP Inspection konfigrasyonu yer almaktadr: Cisco(config)#ip arp inspection vlan 61 Cisco(config)#ip source binding AAFF.6161.0606 vlan 61 192.168.61.61 interface Gi1/2 Cisco(config)#arp access-list ARP_ACL_NAME Cisco(config-arp-acl)# permit ip host 192.168.61.61 mac host AAFF.6161.0606 Cisco(config)#ip arp inspection filter ARP_ACL_NAME vlan 61 Yukardaki rnekte VLAN 61 iin, sadece 192.168.61.61 IP numaral ve AA-FF-61-61-06-06 MAC adresine sahip olan bir bilgisayardan ARP mesajlar kabul edilecektir.Aadaki rnekte HP ProCurve marka anahtarlama cihazlarnda DHCP sunucusunun bulunmad bir sistemde Dynamic ARP Protection konfigrasyonu yer almaktadr: ProCurve(config)#ip source-binding AAFF61-610606 interface vlan 61 192.168.61.61 interface A4

MUSTAFA GMEN BIS-4 070702006

zm 3: Bu saldr iin bir baka zm de, anahtarlama cihaznn portlarna birim zamanda gelen ARP mesajlarn snrlamaktr. Bu ekilde, ARP servis d brakma saldrlarnn da (ARP DoS) nne geilmi olunur. Bu zellik, sadece Cisco marka anahtarlarn baz modellerinde aktif hale getirilebilmektedir. Cisco(config)#errdisable recovery cause arp-inspection Cisco(config)#interface GigabitEthernet 6/12 Cisco(config-if)#ip arp inspection limit rate 25 burst interval 3 Yukardaki rnekte GigabitEthernet 6/12 numaral port iin, bu porta 3 saniye boyunca saniyede 25ten fazla ARP mesaj geldii takdirde port, bunu bir ARP saldrs olarak alglayp, zerinden geen iletiimi kesecektir.Lokal alarda ok fazla nlem alnmayan ve saldr tespit sistemleriyle de tespit edilmeleri mkn olmayan ikinci katman saldrlarna kar nlemlerin alnmas lokal alarn gvenlii iin olduka nemlidir