Man-in-the-middle attack
Man-in-the-middle attack ( Türkçe: Aradaki adam saldırısı veya Ortadaki adam saldırısı), bir network üzerinde kurban bilgisayar ile diğer ağ araçları (yönlendirici, switch, modem ya da server gibi) arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme ilkesine dayanan bir saldırı çeşididir.
Ağ üzerinde veri paketleri serbestçe dolaşır. Özellikle broadcast olarak salınan paketler, aynı ağa bağlı tüm cihazlar tarafından görülebilir. İlkesel olarak hedefinde kendi IP'si olmayan bir paketi alan makineler, bu paketlerle ilgili herhangi bir işlem yapmamaları gerekir. Ancak istenirse bu paketlere müdahale edebilir ya da içeriğini öğrenebilirler. Aradaki adam saldırısı ağ üzerindeki paketleri yakalayarak manipüle etmek olarak özetlenebilir.
Saldırı yöntemleri
Klasik yöntemlerden biri şudur: ARP zehirlenmesi yaparak yönlendiricinin ARP tablosu taşırılır. Yönlendirici gelen ARP isteklerini yanıtlayamaz hale gelir. Sonrasında ağda broadcast olarak ARP isteği yanıtı paketleri yollanır. Bu durumda ağda yönlendirici arayan bir bilgisayar olursa gerçek yönlendirici yerine saldırganın bilgisayarını yönlendirici olarak tanıyacaktır. Ağ üzerinde verilerini saldırganın bilgisayarı üzerinden gönderecektir. Şifrelenmemiş her veri paketi kolaylıkla açılabilir ve değiştirilebilir.
Kablosuz ağlarda ise paketler tamamen broadcast olarak yayıldığı için herhangi bir ön işleme gerek olmaksızın tüm paketler saldırgan tarafından yakalanabilir. Şifrelenmemiş paketlerin içerikleri kolaylıkla okunabilir. Ancak değiştirilen paketlerin yeniden kurban bilgisayara gönderilmesi için pasif olarak dinleme pozisyonunda olmak yeterli değildir.
Korunma yolları
En temel güvenlik önlemi, değerli bilgileri (parola, kredi kartı numarası gibi) HTTPS gibi şifrelenmiş protokoller üzerinden göndermektir. Bu durumda paketler saldırganın eline geçse dahi içerikleri görüntülenemez ve değiştirilemez.