Bu dəfəki mövzumuz MITM ATTACK -dır.

• Açılışı “Man In The Middle ATTACK” olan bu hücum növünün dilimizdə tərcüməsi “Ortadakı Adam Hücumu”-dur. Yəni hücumçunun, iki istifadəçinin də bağlantısını uzaqdan idarə edib, ondan istifadə edə, onu dəyişdirə, yönləndirə, və s. edə bildiyi hücum növüdür.
• Belə desək, hücumçu bağlantını özünün üzərindən keçirərək bütün axan trafiki görə bilir. Istifadəçi ilə web program arasında olan bağlantını sanki onların arasındaymış kimi manipuliyasiya edir, amma öz üzərindən keçirərək istifadəçinin həyata keçirdiyi trafikdən xəbərdar olur
• Bu hücum növü ilə hücumçular kredit kartı məlumatları, hesab məlumatları və bəzi şifrələr kimi həssas dataları görə bilirlər

MITM növləri

Lokal Şəbəkədə edilə bilən ən məhşur MITM növləri ARP / DNS spoofing -dir

ARP SPOOFING :

• Hücumçu əvvəlcə öz MAC adressini trafikini oxuyacağı hədəf cihazın MAC adressi ilə eyniləşdirir.
• Sonra isə saxta ARP paketləri göndərərək özünü hədəf istifadəçi olaraq göstərir. Beləcə hədəfə getməli olan paketlər hücumçuya da gəlir. Və trafiki öz üzərindən keçirərək oxuya bilir.

DNS SPOOFING :

• Bu hücum növündə isə hücumçular bir növ DNS ilə oynayır, hədəfin gedəcəyi websayta oxşar bir websayt qurur.
• Sonra isə DNS requestləri hədəfdən əvvəl alaraq dəyişdirib öz "saxta" saytlarına yönləndirir. Nəticə olaraq yenə məlumat trafikini görə bilir

Lokal şəbəkədən digər şəbəkəyə olan hücumlar :

Yenə əvvəlki hücum növləri burda da keçərlidir, ama burada DHCP SPOOFİNG adlı maraqlı hücum növü də var.

• Bu hücum növündə isə hücumçu özünü DHCP serveri kimi göstərərək hədəf cihazlara IP paylayır və Gateway olaraq öz adresini verir. Bu şəkildə yenə trafik öz üzərindən axmağa başlayır.

Gəlin birlikdə praktika edək ;

Burada, mən bu hücumu bir növ laboratoriya şəraitində, öz Lokal virtual şəbəkəmdə özümün qurduğum iki virtual maşında ARP SPOOFING üsulundan istifadə edərək həyata keçirəcəm.

• Maşınlardan biri Windows 7, digəri isə Metasploitable maşınıdır

İlk öncə, hər iki maşının IP adresini öyrənmək lazımdır.

Windows 7 maşınının IP adresi :

Metasploitable maşınının IP adresi :

Sonra isə Ettercap-a daxil olub şəbəkəni skanlayaraq hədəf maşınların IP adreslərini tapmaq lazımdır.

• Terminala "ettercap -g" yazaraq başlada bilərsiniz

Yuxarıdakı "Tik" işarəsinə tıklayaraq Ettercap-a start veririk ;

Sonra isə, Şəbəkəni skanlamağa başlayırıq :

Skanlama bitdikdən sonra, tapılan IP-ləri Hosts List-ə tıklayaraq listləyirik :

Listlənmiş adresləri görəcəksiniz. Hədəfləri seçib Target bölməsinə əlavə etmək lazımdır. Bunun üçün ;

Bizə lazım olan IP-lərin üzərinə sağ klik edib Add to Target-ə klikləyirik. Bununla birlikdə bizə lazım olan IP-lər hədəflənir.

Bunlardan sonra, hədəfdəki IP-ləri görmək üçün işarələdiyim hissəyə daxil olmaq lazımdır

Hədəfləri listlədik. Artıq hədəfləri dinləməyin vaxtı çatdı ;

Üstdəki MITM menyusuna daxil olaraq istifadə edəcəyimiz üsulu seçirik. Mən ARP Poisoning üsulundan istifadə edirəm

Bu situasiyada hədəf şəxs Windows 7 maşınından Metasploitable maşınına giriş edərək Login olmaq istəyir.

Və gördüyümüz kimi Login proseduru gerçəkləşir. Amma Ortadaki Adam dinləmədədir :)

Budur. Hədəf şəxsin xəbəri olmadan onun bilgiləri artıq hücumçudadır.

MITM Attack buna görə təhlükəli hücumlardan sayılır. Bəs necə qorunaq?

• Tunelləmədən istifadə edən Virtual Bağlantılardan istifadə edərək. Belə bağlantılar web trafiki şifrələyir və hücumçunun trafiki oxuya bilməsi daha çox çətinləşir
• İki faktorlu doğrulamalar ilə də hücumdan qoruna bilərsiniz. Hücumçu ilk şifrəni görə bilər, amma ikinci şifrə hücumçunun əlinin çata bilmədiyi bir yerdə olsa, hücum tam gerçəkləşə bilməz :)

Oxuduğunuza görə təşəkkürlər! Kanalımıza abunə olmağı yaddan çıxartmayın :)

• Ümumiyyətlə, hamımız Google-dan istifadə edirik. Axtarışlar edib maraqlandığımız hər hansı birşey haqqında məlumat toplaya bilirik.
• Məsələn populyar olan Tesla şirkəti haqqında axtarış etmək istəsək, çox sadə, axtarışa "tesla" yazırıq və Google bizə cavabları sıralayır.

Daha ətraflı məlumat toplamaq üçün isə Dork-lardan istifadə etmək lazımdır.

"Dork" atardığımız bir hədəf haqqında daha dəqiq və ona yönümlü cavablar almağımız üçün bir vasitədir. Qısaca "filter" deyə bilərik.

SITE :

ilk dorkumuz "site" dorkudur.

• Bu dork, verdiyimiz parametri sadəcə ona verilən saytdan axtarış etməyinizə imkan verir.

site:"wikipedia.org"

• Yəni, sadəcə axtarışınız Vikipediyadan olacaq, gələn cavablar yalnız Vikipediya saytından gələcək. Məsələn :

site:"wikipedia.org" "kitab"

• Parametr "kitab"dır, deməli Google sadəcə bu axtarışın cavablarını Vikipediya saytından verəcək, alacağınız cavablar Vikipediyada dərc olunmuş kitab haqqında məqalələr olacaq.
• Və ya sadəcə istədiyimiz ölkənin saytlarını axtara bilərik, həmin ölkənin adının qısaltmasını yazaraq :

site:am

• Bu dork, bizə sadəcə ermənistanın saytlarını verəcək. Qısaltmanı dəyişib digər ölkələrdə də yoxlaya bilərsiniz.

INURL :

İkinci dorkumuz "inurl" dorkudur.

• Bu dork, əsasən "hacking" üçün istifadə olunur, daha çox URL tərkibinə diqqət edir. Yəni, dork ilə birlikdə verdiyimiz parametri, URL içində axtarmağımıza yarayır. Məsələn :

inurl:"php?id="

• Bu dorkun içindəki parametrlər URL içində .PHP saytının olmağını və onun hər hansı bir ID dəyərinə sahib olmağını göstərir.
• Yenə bayaqki kimi bu dorka da digər parametrlər verib, daha dəqiq cavablar ala bilərik. Misal üçün bu axtardığımız saytların sonluqlarını yazaraq, sadəcə o sonluğu olan saytları görə bilərik. com, gov, edu və s.

İKİ DORKU BİR ARADA İŞLƏTMƏK DƏ MÜMKÜNDÜR

Axtarışı daha da dəqiqləşdirmək istəsək, dorkları bir yerdə istifadə edə bilərik. Məsələn, filan ölkənin sadəcə müəyyən saytlarını axtarmaq istəyiriksə, onda :

inurl:"php.id?" site:olkeqisaltmasi

Kimi dorklar da istifadə edə bilərik :). Bu sadəcə nümunədir, digər dorkları da belə istifadə edə bilərsiniz.

INTEXT :

Digər dorkumuz "intext" dorkudur.

• Bu dork isə, adından da bəlli olduğu kimi, verəcəyimiz saytdaki "text"-lərdə axtarış etməyə yarayır. Məsələn :

intext:"yasil kitab" site:sayt.com

• Demək ki, bu dork verdiyimiz sayt.com saytındaki yazılarda yaşıl kitab sözünü axtaracaq, və varsa bizə cavab verəcək.

INTITLE :

Sonraki dork, "intitle" dorkudur.

• Bu dork, Səhifənin başlığındaki yazılara diqqət edir.

intitle:"cyber security"

• Bu axtarışda, Google bizə Cyber Security başlığı altındaki məqalələri çıxardacaq.

FILETYPE :

Bu dork, verəcəyimiz parametrlə axtarmaq istədiyimiz faylın tipinə uyğun faylları tapmağımıza kömək edir.

filetype:pdf cyber security

• Cyber Security ilə əlaqəli pdf-lər tapmaq istəsək, bu dorkdan istifadə edəcəyik.
• BONUS : Bunu digər bir yöndən, hər hansı bir yazıçının kitablarının pdf-lərini tapmaq üçün də istifadə edə bilərsiniz :)

=? OPERATORU

Bu operator, bizə solunda yazdığımız dəyərin, sağda yazdığımız dəyərlə müqayisəsini göstərəcək.

usd=?azn
btc=?azn

Və s. Dorklar bununla limitli deyil, dork yazmaq öz xəyal gücünüzə qalır. Dorkları birlikdə işlədərək, daha dəqiq nəticələr ala bilərsiniz.