Merhabalar bu yazıda sizlere kablosuz ağlara yönelik gerçekleştirilen DOS saldırılarından bahsediyor olacağım. Bununla beraber bu saldırıların gerçekleşme sebebi ve scapy ile analizinden sonra örnek bir araç geliştireceğiz.

Deauthentication paketlerinin herhangi bir koruma mekanizmasına sahip olmamasından ve tekrarlanabilir olmasından dolayı bu saldırılar kolay gerçekleştirilebilmektedir. Biz bu yazıda bu saldırılardan iki tanesini inceliyor olacağız.

1. Broadcast deauthentication
2. Direct deauthentication

Şimdi gelin ilk olarak aireplay-ng aracı ile erişim noktasındaki bir istemciye yönelik gerçekleştirilen saldırı sonucu analiz amacı ile yakalanmış bir paketi inceleyelim.

Paketin wireshark ile analizi

Wireshark ekran görüntüsünde ilgimizi çeken 4 farklı adres bulunmaktadır.  Bunları şöyle açıklayabiliriz :

• Receiver address          : Alıcı adresimiz
• Destination address    : Paketin hedef adresi
• Transmitter address    : Paketi üreten kişisinin adresi
• Source address              :  Paketin çıkış kaynağı

RA == DA ve TA == SA gibi bir eşitlik çıkarabiliriz.

Paketin detaylarını biraz daha iyi anlamamız için şimdi de scapy ile bu paketi açalım .

Bu kısımda da paket içerisinde 3 farklı katman olduğunu görüyoruz. Bunlar :

• RadioTap()
• Dot11
• Dot11Deauthentication katmanlarıdır.

Yukarıda bahsi geçen adresleri de burada görmekteyiz. Bunlar burada addr1, addr2, addr3, addr4 olarak adlandırılmaktadır.

Buraya kadar bir deauthentication paketinin yapısını gördük. Gördüğümüz bu paket direct deauthentication paket yapısına örnekti.  Artık scapy ile araç geliştirme kısmına girebiliriz.  Yapmamız gerekenlerin sırası aşağıdaki gibidir :

• Scapy modülünün kurulu olması
• Erişim noktasının ve saldırı yapacağımız istemcinin belirlenmesi
• Deauthentication paketi oluşturmak
• Oluşturduğumuz paketi belirlediğimiz cihazlara göndermek.

İlk iki maddeyi hallettiğinizi varsayıyorum. Direk deauthtication paketi oluşturmaya geçiyoruz. Zaten deauth paketinin yapısını scapy ile incelerken 3 farklı katman olduğunu söylemiştik, bunları scapy ile oluşturmak istersek aşağıdaki gibi oluşturabiliriz :

• deauth = RadioTap() / Dot11(addr1=bssid, addr2=client.lower(), addr3=bssid)/Dot11Deauth()
  • bssid : Erişim noktasının mac adres bilgisi
  • client : istemcinin mac adres bilgisi

Eğer tek bir istemciye değil de bütün istemcilere yönelik olacak bir saldırı ise o zaman da aşağıdaki gibi addr1, addr2, addr3, addr4 gibi değerlerin atamalarını değiştirmemiz gerekecek.

• deauth = RadioTap() / Dot11(addr1=broad, addr2=bssid.lower(), addr3=bssid.lower())/Dot11Deauth()
  • bssid  : Erişim noktasının mac adres bilgisi
  • broad : Broadcast mac adres bilgisi (ff:ff:ff:ff:ff:ff)

Paketi göndermek içinse aşağıda tanımladığımız yapıyı kullanacağız :

• sendp(deauth, iface=iface, count=1000, inter = .2, verbose=False)
  • deauth   : Gönderilecek paketin ismi
  • iface        : Saldırı da kullanılacak ağ kartı
  • verbose  : Program çalışırken çıktı verip vermemesi ile ilgili. Eğer “False” olursa herhangi bir çıktı üretmeyecektir.
  • inter       : Paketi gönderirken ki hız, gönderilen iki paket arasındaki aralık.
  • count       : Gönderilecek paket sayısı (Eğer bu değer sıfır ise sonsuz sayıda paket gönderim işlemi yapılır. )

Son olarak bu yaptıklarımızı derleyelim :

Kodu ulaşmak isterseniz  : Wireless Network DOS with Scapy

TR | Scapy ile Wireless DOS Aracı Geliştirmek Besim ALTINOK

Merhabalar bu yazıda istemciler tarafından yayılan Probe Request paketlerini inceleyeceğiz. Cihazlarımız bir erişim noktasına bağlanmak istediğinde ilk olarak erişim noktalarının bulundukları ortamda olup olmadığını kontrol etmek amacı ile Probe Request dediğimiz bazı paketler gönderirler.

Erişim noktası eğer ordaysa Probe Response ile buna cevap dönülecektir. Ek olarak cihazlarınız sizde evde olun ya da olmayın, okulda olun ya da olmayın daha önce bağlandığınız erişim noktalarına bağlanma talebinde bulunmak için Probe istekleri yollayacaklardır. Bu da kötü niyetli bilgisayar korsanlarının sizin cihazlarınızın bu davranışlarını kullanarak bilgi toplamasına neden olacaktır.

Peki kötü niyetli bu korsanlar topladıkları bu bilgiler ile neler yapabilir ?

• Sahte erişim noktaları oluşturabilir.
• Oluşturduğu sahte erişim noktaları ile handshake toplayabilir.

Cihazların probe isteklerini analiz etmek amacı ile bir python kodu yazacağız ve scapy isimli modülü kullanacağız.

Kodumuz : 

• https://github.com/besimaltnok/scapy-cheatsheet/blob/master/araclar/probereqanaliz.py

Kodu çalıştırdıktan sonraki durum :

Airbase-ng ile Handshake Yakalamak

Bilgileri topladıktan sonra artık bunları kötüye kullanma vakti geldi. Yayılan probe isteklerinde SSID bilgisinin bir WPA2 – CCMP – PSK özelliklerine sahip ağa ait olduğunu varsayalım. Bunun için bu özelliklerde ağ oluşturmak istiyorsanız. aşağıdaki komutu kullanabilirsiniz.

• airbase-ng -a  F8:3D:FF:89:2A:E7 –essid “SiNeK” -c 11 -F besim -v -W 1 -Z 4 wlan0
  • –essid  : Kablosuz ağın ismi
  • -a : Oluşturulan erişim noktasının mac adres bilgisi
  • -c  : Kablosuz ağın yayın yapacağı kanal numarası
  • -F : Tüm hareketlerin kayıt altına alınacağı dosya ismi
  • -v : Verbose mode (tüm hareketleri aynı zamanda terminale basmak amacı ile kullanılır.)
  • -Z 4 : WPA2 ağlar için CCMP cipher özelliği ile ağ oluşturmak için.

Daha sonra yapmamız gereken şey WPA2 parolasını elde etme yöntemlerini uygulamak .

• Bunun dışında dilerseniz daha farklı komutlar ile aynı mantıkta OPN | WEP | WPA gibi ağlar için de bu tarz saldırılar gerçekleştirebilirsiniz .

TR | Scapy ile Probe Request Analizi Besim ALTINOK

Bu yazıda amacımız etraftaki kablosuz ağların SSID bilgilerini toplamaktır. Bu kapsamda

• Beacon paketleri
• Probe Request paketleri
• Probe Response paketleri

toplanacaktır. Çünkü SSID bilgilerini bu 3 paket içerisinde bulabiliriz.

Kodu yazarken kullanacağımız modüller:

• scapy (paketleri sniff etmek için)
• termcolor (çıktıları renklendirmek için)
• os (terminal ekranını temizlemek için)

NOT !: SSID toplama sürecinde dikkat etmemiz gereken en önemli durum kullandığımız kablosuz ağ adaptörünü yayın yapılan kanallar arasında belli zaman aralıklarında değiştirip, bütün kanallarda bu işlemin yapılmasını sağlamaktır.

Bu nedenle ChannelHop() adında bir fonksiyon yazıldı ve belli zaman aralıklarında kanal numarası değiştirildi.

Sonuç : 

İşlem için kullanılan kod :

• Kaynak koda buradan erişebilirsiniz. (SSIDCollector.py)

TR | Scapy ile SSID Toplama Besim ALTINOK

Bu yazıda amacımız monitör mode ile yakalanmış pcap dosyasını analiz etmektir. Bu analiz sonucunda bir erişim noktasına ait

• Kablosuz ağın ismi – SSID
• Kablosuz ağın mac adres bilgisi
• Kaç tane probe paketi
• Kaç tane beacon paketi

gibi bilgileri çıkaracağız. Bu işlemi yaparken python ile entegre kullanabileceğimiz scapy modülünü tercih edeceğim.

İşlem için gerekli algoritma aşağıdaki gibidir :

• Örnek teşkil etmesi açısından kablosuz ağ adaptörümüzü monitör moda alıp wireshark ile etrafı belli bir süre dinleyeceğiz. Elde Edilen trafiği kayıt edip ilk aşamayı tamamlayacağız.
• Daha sonra Scapy ile elde ettiğimiz pcap dosyasını okuyup analiz adımlarını yerine getireceğiz.

• Gerekli modüller tanımlanır

import os
from scapy.all import *
from termcolor import colored
conf.verb = 0

• Değişkenler ve kullanacağımız listeler tanımlanır.

toplam, beacon, probereq, proberes = 0, 0, 0, 0
ssidlist   = []
bssidlist  = []

• Beacon paketleri analiz edilir.

def Parser(pkt):
	global beacon, probereq, proberes, hidden, toplam
	toplam += 1
	if pkt.haslayer(Dot11Beacon):
		ssid = pkt.info
		mac  = pkt.addr2
		beacon += 1
		if mac not in bssidlist:
			bssidlist.append(mac)
			ssidlist.append(ssid)

• Probe istekleri analiz edilir.

	
	elif pkt.haslayer(Dot11ProbeReq):
		ssid = pkt.info
		mac  = pkt.addr2
		probereq += 1
		if mac not in bssidlist:
			bssidlist.append(mac)
			ssidlist.append(ssid)

• Probe cevapları analiz edilir.

	elif pkt.haslayer(Dot11ProbeResp):
		ssid = pkt.info
		mac  = pkt.addr2
		proberes += 1
		if mac not in bssidlist:
			bssidlist.append(mac)
			ssidlist.append(ssid)	

Kodun başlaması ile beraber sniff() fonksiyonu yardımı ile pcap dosyası okunur ve her paket Parser fonksiyonuna gönderilir.
Bu aşamadan sonra fonksiyonun sonuçları ekrana basılır.

if __name__ == "__main__":
	os.system("reset")
	sniff(offline="/home/rootx/Dosyalar/scapy_e.pcap", prn=Parser)
	print colored("Toplam paket sayisi : ", "green"), toplam
	print colored("Beacon      : ", "green"), beacon
	print colored("ProbeR      : ", "green"), probereq
	print colored("ProbeResp   : ", "green"), proberes
	print colored("\nSSIDList    : ", "green"), ssidlist
	print colored("\nBSSIDList   : ", "green"), bssidlist

İşlemin çıktısı aşağıdaki gibidir :

Uygulamanın kaynak koduna aşağıdaki linkten erişebilirsiniz :

• WifiPcapParser

TR | Scapy ile PCAP Dosyasını Parse Etme Besim ALTINOK

Her zaman söylerim ve söylemeye de devam edeceğim

• “Eğer herhangi bir sistemin çalışma mantığını biliyorsanız, bu durumda hem atak vektörü hemde savunma vektörü geliştirebilirsiniz”

Bu yazıda da ARP nin çalışma mantığını anlatacak ve bir saldırı gerçekleştireceğiz. Konu içeriğimiz aşağıdaki gibi olacaktır.

• ARP Protokolünün Çalışma Mantığı
• ARP Zehirlemenin Çalışma Mantığı
• Scapy ile ARP Paketi Oluşturma
• Scapy ile ARP Saldırısı ve Sonucu

ARP Protokolünün Çalışma Mantığı

• Ağda herhangi bir işlem yapmak istediğinizde [Bir cihaz ile iletişim kurmak istediğimizde] cihazımız ilk olarak ARP tablosunu kontrol eder. [arp -a]
• Eğer iletişim kurmak istediğimiz cihazın MAC bilgisi bu tabloda yoksa bağlı olduğumuz ağa cihazımız tarafından genel bir mesaj gönderilir. Ağdaki bütün cihazlar bu mesajı alır ve ip adresinin sahibi olan cihaz karşı tarafın  MAC adresini kendi ARP tablosuna ekler [yoksa] ve bu ARP isteğine bir cevap döner.
• Cevabı alan cihazımız hemen ARP tablosunu günceller. [arp -a]

ARP Zehirlemenin Çalışma Mantığı

• Burada amaç bilgisayarı router cihazı olduğumuza ikna edecek ARP paketleri göndermektir.

Scapy ile ARP Paketi Oluşturma

• Scapy ile bir ARP paketi oluşturmadan önce gelin bu paketin yapısını wireshark ve scapy ile inceleyip içinde neler olduğuna bakalım.

Bir ARP paketinin yapısı

• Wireshark ile ARP paketini inceleyelim :

• Scapy ile ARP paketini inceleyelim
  • ilk olarak scapy içerisinde hazır gelen “rdpcap()” fonksiyonu ile elimizdeki pcap dosyasından ARP paketini okuyoruz. Daha sonra bunu aşağıdaki şekilde görüntülüyoruz.
  • arp = rdpcap(“/path/arp.pcap”)[0]

ARP saldırısından önce :

# [Kurbanın ARP tablosu]

ARP saldırısından sonra :

# [ARP Zehirlemesinden sonra kurbanın ARP tablosu]

Sonuç : 

• Daha da ilerisini yapabilirsiniz, bu sadece saldırının başarılı olduğunu gösterebilmek için.

İşlem için kullanılan kodlar : 

TR | Scapy ile ARP Zehirleme Saldırısı Besim ALTINOK

Gizli SSID yayını yapan cihazın bu bilgisini tespit edebilmek için ilk olarak yapının nasıl işlediğini bilmemiz gerekmektedir. Bunun için aşağıdaki yapıyı inceleyelim.

• AP (erişim noktası) cihazları istemcilerin onları bulması için SSID bilgisi ile beraber Beacon Frame paketleri yayar.
• Bu yayını gören ve o cihaza bağlanmak isteyen istemciler, AP (erişim noktası) cihazına bir bağlanma isteği yollar(Probe Requset) [Bu istek Broadcast bir istektir. Yani bağlanılmak istenen cihazın MAC adresi bilgisi gitmez]
• Buna karşılık AP (erişim noktası) cihazıda Probe Response döner.
• Daha sonra Authentication Request ve Authentication  Response paketleri işlenir.
• Son olarak da Association Request ve Association Response paketleri de işlendikten sonra istemci kablosuz ağa bağlanmış olur.

Buraya kadar bir istemci ile AP (erişim noktası) cihazı arasında geçen iletişimi öğrenmiş olduk.

Şimdi ek olarak şunu da bilmemiz gerekiyor ; eğer gizli SSID yayını varsa bu iletişim nasıl olur ?

• Beacon Frame içinde SSID bilgisi gitmeyecek
• Bu nedenle bağlanma isteği yollayacak istemcinin SSID bilgisini bilmesi gerekiyor.

Buraya kadar öğrenmiş oluyoruz ki, SSID bilgisi gizli olsa dahi Probe Request ve Probe Response paketleri içerisinde gidecektir.

Temel bilgileri öğrendikten sonra izleyeceğimiz adımları sırası ile kararlaştıralım:

• İlk olarak ağ kartı monitör moda alınır.
• Airodump-ng ile gizli SSID yapan cihaz tespit edilir.
• Daha sonra wireshark ile trafik dinlemeye alınır.
• Scapy ile bir probe request oluşturup SSID bilgisini wordlisten atayıp AP cihazına gönderilir.
• Tüm bu adımlar sonunda amacımız dönen probe request e dönen probe response içinden SSID bilgisini yakalamak olacak.

Şimdi gelin bu adımları gerçekleştirelim:

• Ağ kartı monitör moda almak

Airodump-ng ile gizli SSID yayını yapan cihazı tespit etmek [SSID bilgisi uzunluğu da burada ortaya çıkıyor]

airodump-ng wlan0

Wireshark ile gerekli filtreyi yazıp beklemek :

wlan.bssid == 40:F3:08:80:A0:9B and wlan.fc.type == 0 and (wlan.fc.subtype == 4 or wlan.fc.subtype == 5)

Bundan sonra yapmamız gereken kodu çalıştırıp doğru SSID bilgisi ile probe request üretip AP cihazının bu isteğe cevap dönmesini beklemek ve wireshark ile yakalamak.

TR | Scapy ile Gizli Kablosuz Ağları Bulmak Besim ALTINOK