Wi-Fi Ağları Hakkında Bilgi Toplamak: airodump-ng

Günümüzde kullanılan WiFi protokolleri, güvenlik endişeleri göz önünde bulundurularak geliştirilmeye çalışılsa da hala WiFi ağlarına saldırılar gerçekleştirmek, bu ağlar üzerinde hizmet kesintileri gerçekleştirmek ve ağlar üzerinde kalıcı hasarlar bırakabilmek mümkündür. Özellikle WiFi ağlarına saldırı gerçekleştirmek için kullanılan araçların, ağ ve sızma testi konularında teknik bilgisi olmayan kötü niyetli bir kişinin bile kullanabileceği bir kolaylığa ulaştığından dolayı çeşitli kablosuz ağ saldırılarının gerçekleşmesi olasılığı oldukça yüksektir. Bundan dolayı hem bireyler, hem de kurumlar için kablosuz ağ güvenliği yüksek bir önem taşımaktadır.

Saldırıların önüne geçebilmek, bu saldırıları mümkün olan en kısa sürede tespit edebilmek ve saldırıların sebep olabileceği zararı en düşük seviyeye indirebilmek için kablosuz ağ saldırılarının nasıl gerçekleştirildiğini öğrenmek ve bu kablosuz ağ saldırılarını sanal bir hacking laboratuvarında (Herhangi bir üçüncül şahısa veya sisteme zarar vermeden, yasal sınırlar çerçevesinde çeşitli önlemler alınarak) gerçekleştirmek uygulanabilecek en iyi yöntemdir. Sanal bir ortamda kendi saldırılarınızı gerçekleştirdiğiniz zaman hem kaynak hem de hedef sisteme erişiminiz olduğundan dolayı hem saldırgan tarafın hem de savunma tarafının işleyişini daha iyi anlayabilir ve süreci daha iyi tanımlayabilirsiniz.

Bir kablosuz ağ saldırısının gerçekleşebilmesi için ilk olarak saldırgan tarafın, hedef ağ hakkında bilgi toplaması gerekmektedir. Saldırgan kişi bilgi toplama işlemini gerçekleştirebilmek için ilk olarak elinde bulunan Wi-Fi adaptörünü monitor mode’a almalıdır. Böylece Wi-Fi adaptörü normalde olduğu gibi ağlara bağlanmayacak bunun yerine havada dolaşan ağ paketlerini yakalayacaktır. Kablosuz ağlar hakkında bilgi toplama konusundaki bilgi de bu ağ paketlerinin analiz edilmesidir. Havada dolaşan bu paketler sayesinde bir ağ cihazının MAC adresi, kullandığı şifreleme türü, ne kadar uzakta olduğu, ne kadar veri aktardığı ve çeşitli durumlarda da bu ağ cihazına bağlı cihazların MAC adreslerinden kullandıkları veri miktarına kadar çeşitli bilgilere ulaşılabilir.

Birbirinden farklı çok sayıda kablosuz ağ saldırı tekniği olmasına rağmen neredeyse tüm kablosuz ataklarında bilgi toplama işlemi mutlaka yer almaktadır. Hedef ağa saldırabilmek için en azından hedef ağın MAC adresi, SSID bilgisi ve benzeri bilgiler gerekmektedir. Kablosuz ağlar temel olarak paketlerin kablosuz olarak birbiriyle bağlantı kurmasıyla işlemesinden dolayı havada dolaşan bu paketleri tespit etmek ve incelemek oldukça kolaydır.

Bunun için ilk olarak monitor mode’u destekleyen bir Wi-Fi adaptörünüz olması gerekmektedir. Kali Linux destekli Wi-Fi adaptörleri listesi için buraya tıklayabilirsiniz.

ÖNEMLİ UYARI

Bu içerikte yer alan işlemler yalnızca eğitim ve bilgilendirme amacıyla paylaşılmıştır. İçerikte bulunan uygulamalar tamamen bir sanal makine ortamında, herhangi bir üçüncü şahısa veya hizmete/sisteme zarar vermeyecek şekilde uygulanmıştır. İçerikte bulunan işlemleri yasal sınırlar çerçevesi dışında gerçekleştirmeniz durumunda
oluşabilecek her türlü durumda sorumluluk size aittir. Daha fazla detay için: SORUMLULUK REDDİ BEYANI

Bilgi Toplama İçin Hazırlık: Monitor Mode

Wi-Fi adaptörümüzü Kali Linux’a bağladıktan sonra monitor mode’a geçmemiz gerekmektedir. Bunun için aşağıdaki kısa adımları uygulayabilir veya Kali Linux WiFi Adaptörü Bağlama, MAC Adresi Değiştirme ve Monitor Mode’a Geçme yazımı okuyabilirsiniz.

Bu aşamada MAC adresi değiştirmeniz gibi bir gereklilik yoktur. Ancak gerçek hayattaki bir saldırı durumunda saldırgan muhtemelen kendi kimliğini gizlemek amacıyla MAC adresini değiştirmiş olacaktır. Bundan dolayı MAC adresinizi değiştirerek daha gerçekçi bir simülasyon gerçekleştirebilirsiniz.

1- Monitor mode’a geçmek için ilk olarak Kali Linux’a bağlı olan Wi-Fi cihazlarını kontrol etmeniz gerekmektedir. Bunun için sudo iwconfig komutunu root yetkisi olan bir terminale yazın.

Burada Kali Linux’a bağlamış olduğunuz Wi-Fi adaptörü muhtemelen wlan0 arayüz adı ile gözükecektir. Resimden de görüldüğü üzere wlan0 kartım şuanda Managed, yani normal olarak ağlara bağlanmak için kullandığımız moddadır.

2- Monitor Mode’a geçebilmek için sudo airmon-ng start wlan0 komutunu yazmanız yeterli olacaktır.

3- Monitor Mode’a geçtiğinizden emin olmak için tekrardan iwconfig komutunu yazmanız gerekmektedir. Komutu yazdığınız zaman wlan0 arayüzünün wlan0mon olarak değiştiğini gördüyseniz bilgi toplama aşamasına geçebilirsiniz.

Bilgi Toplama: airodump-ng Aracı

Airodump-ng, aircrack-ng araçlarının en temel ve en sık kullanılan araçlarından biridir. Airodump açık kaynaklı ve ücretsiz bir yazılım olmakla beraber havada bulunan kablosuz ağ paketlerini yakalayıp kategorize edilmiş bir şekilde sürekli güncelleyerek bize sunar.

Airodump-ng aracının kullanabileceğiniz birçok parametre bulunmaktadır. Havadaki belirli paketleri filtreleyerek yakalayabilir, yaptığınız işlemleri kayıt edebilir, tarama sonrası karşınıza çıkan güncellemelerin süresini değiştirebilirsiniz. Bu parametrelerin bir kısmına ilerleyen kablosuz ağ saldırıları yazılarımda yer vereceğim. Şuanlık genel olarak airodump-ng aracını kullanmayı öğrenmeniz yeterli olacaktır.

Aracı çalıştırmak için sudo airodump-ng wlan0mon komutunu yazmanız gerekmektedir. WiFi adaptörünüz monitor mode da olduğundan dolayı wlan0mon yerine wlan0 yazarsanız hatayla karşılaşırsınız.

Komutu yazdıktan sonra aşağıdaki gibi bir ekran açılacak ve sürekli güncellenecektir. Yeteri kadar bilgiye ulaştığınızı düşündüğünüzde CTRL+C tuşlarıyla taramayı durdurabilirsiniz.

NOT: Görselde yer alan MAC adresleri güvenlik ve gizlilik nedeniyle anonimleştirilmiştir. MAC adreslerinin ilk üç kısmı yalnızca cihazı üreten firmaya ait bilgi içerdiğinden dolayı bu kısmı sansürleme gereği duyulmamıştır.

Airodump-ng Aracındaki Bilgilerin Açıklamaları

Airodump-ng arayüzündeki çok sayıda kısım ve bilgi bulunmaktadır. Eğer kablosuz ağlar üzerinde kapsamlı bir bilginiz yok ve sınırlı bir bilgiye sahipseniz bu araçta bulunan bazı kısımlar size anlamsız, gereksiz veya karışık gelebilir. Ancak bu kadar detaylı bilgiye genelde ihtiyacınız olmasa bile bu bilgileri bilmeniz ileride işinizi kolaylaştırabilir. Bundan dolayı anlamınızı kolaylaştırmak ve daha düzenli bir şekilde sunabilmek amacıyla airodump-ng aracında karşınıza çıkabilecek bilgileri üç kısıma böldüm, sırasıyla inceleyelim;

Üst Kısım: Temel Bilgiler

En üst kısımda aracın çalıştırılmasıyla ilgili temel bilgiler yer almaktadır.

  • CH: Channel anlamına gelir ve anlık olarak aracın taramış olduğu kanalı gösterir. Wi-Fi ağları farklı kanallarda çalışmaktadır. Bundan dolayı bu kısım sürekli değişerek aracın karşımıza daha çok veri çıkarmasını sağlar.
  • Elapsed: Aracın kaç dakika boyunca çalıştığını gösterir
  • Diğer Kısımlar: CH ve Elapsed’e ek olarak üst kısımda sistemin anlık tarihi de yer alır. Ayrıca eğer siz tarama yaparken bir Handshake yakalandıysa yani bir cihazın bir ağa yeni bir bağlantı kurduğu tespit edildiyse bu bilgide üst kısımda yer alır.

Orta Kısım: Modemler ve Kablosuz Ağ Cihazları

Bu kısımda aracın havadaki paketleri toplayarak tespit ettiği modem gibi kablosuz ağ yayan cihazlar ve bu cihazlara ait bilgiler yer almaktadır. Kablosuz ağ saldırılarında bu bilgilerin içerisinden özellikle BSSID bilgisi, CH, ENC ve ESSID bilgisi büyük önem taşımaktadır. Diğer bilgilere kablosuz ağ saldırılarında genelde gerek duyulmasa da anlamlarını bilmeniz faydalı olacaktır.

  • BSSID: BSSID “Temel Servis Seti Tanımlayıcıları” anlamına gelir ve bu kısımda modemlerin ve diğer ağ yayan cihazların MAC adresleri bulunur. MAC adreslerinin ilk üç kısmı bu cihazı üreten firmaya dair bilgiler vermektedir ve bu ilk üç kısım aracılığıyla bu adresten cihazı üreten firmanın adı öğrenebilir. Son üç kısım ise her cihaza özeldir ve donanım bilgisi içerir. Bu kısım oldukça önemlidir ve kablosuz ağ saldırılarında kullanılacak olan en temel bilgilerden biridir.
  • PWR: PWR WiFi cihazı tarafından bildirilen sinyal seviyesini ifade eder. Eğer bu sayı düşük ise cihaz size o kadar yakındır. Ancak bu bilginin kesin olmadığına dikkat etmek gerekmektedir. Her WiFi cihazı kesin bir PWR değeri sunamaz. Genelde bu durumlarda airodump-ng bu cihazların PWR değerini -1 olarak gösterir.
  • Beacons: Beaconlar ağ cihazları tarafından yayınlanan ve bu ağ cihazlarına dair bilgi içeren paketlere verilen addır. Temel olarak anlatmak gerekirse; ağ cihazları sürekli olarak bu beacon frame’leri yayarak kendilerini etrafa tanıtmış olurlar.
  • #Data: Havadan yakalanan paketlerin miktarını belirtir.
  • #/s: Son 10 saniyede yakalanan veri paketlerinin saniye başına ne kadar yakalandığını gösterir.
  • CH: Bu kısımda Wi-Fi ağının o sırada çalıştığı Wi-Fi kanalı gözükmektedir. Bu bilgi ağ cihazları tarafından yayınlanan Beacon’lar üzerinden elde edilmektedir. Bazı durumlarda bu bilgi kablosuz ağ saldırılarında kullanılmaktadır.
  • MB: MB modemlerin ve ağ cihazlarının desteklediği maksimum hızı temsil eder. Bu hız ağ cihazının kullandığı protokole ve donanıma göre değişebilen bir bilgidir.
  • ENC: ENC kısmında ağ cihazının kullanmış olduğu şifreleme yöntemi bulunmaktadır. Kablosuz ağ saldırılarında farklı şifreleme yöntemlerinde farklı saldırı çeşitleri kullanıldığından dolayı bu kısım oldukça önemlidir.
  • CIPHER: Bu kısımda ağ cihazının kullandığı şifreleme yönteminin şifreleme protokolü yer alır.
  • AUTH: Bu kısımda ağ cihazının kullandığı doğrulama methodu yer alır. Bu bilgi de genel olarak ağ cihazının kullandığı şifreleme yöntemine göre değişmektedir. CIPHER ve AUTH bilgisi ileri seviye ağ saldırıları için kullanılmaktadır.
  • ESSID: Bu kısımda ağın adı yer alır. Oldukça temel bir bilgidir ve kablosuz ağ saldırılarında sıkça yer almaktadır.

Alt Kısım: Ağlara Bağlanan Cihazlar

Bu kısımda herhangi bir kablosuz ağa bağlanmış olan cihazlar ve Wi-Fi’ı açık durumda olan cihazlar yer alır. Bu cihazların MAC adresleri, bağlı oldukları modemlerin MAC adresleri gibi bilgiler de bu kısımda bulunur. Temel kablosuz ağ saldırılarında genel olarak BSSID ve STATION bilgileri yeterli olsa da ileri seviye saldırılarda daha çok bilgiye ihtiyaç duyulabilir.

  • BSSID: Burada cihazların bağlanmış oldukları modemlerin veya ağ cihazlarının MAC adresleri yer alır. Eğer bir cihaz SSID adresi gizli olan bir ağa bağlandıysa veya herhangi bir ağ bağlantısı kurmadıysa bu kısımda <not associated> yazar.
  • STATION: Burada BSSID kısmındaki modeme, ağ cihazına bağlanan ağ cihazının MAC adresi yer alır. Örneğin bir telefon (resimdeki örneğe göre FC:3D:93 şeklinde başlayan MAC adresli cihaz) BC:99:11 MAC adresli bir modeme bağlanırsa (resimdeki örneğe göre) bu telefonun MAC adresi STATION kısmında, modemin MAC adresi ise BSSID kısmında yer alır.
  • PWR: Ağ cihazı tarafından bildirilen sinyal seviyesini belirtir. (Orta kısımdaki ile aynı)
  • Rate: Bu kısımda bir modeme bağlanan ağ cihazının veriyi alma hızı belirtilir. Modemler her cihaza aynı seviyede veri hızı sunmazlar. Bundan dolayı bu kısımda bu veriler yer almaktadır. Ayrıca gelişmiş modemlerde QoS özelliği denen bir sistem bulunur. Bu sistem ağdaki işlemleri bir sıraya sokar ve çeşitli öncelikler vererek ağın sizin için daha hızlı olmasını sağlar. Eğer bu özellik aktif ise airodump-ng Rate kısmında bir “e” harfi gösterir.
  • Lost: Son 10 saniye içerisinde kullanılan veri miktarını gösterir.
  • Frames: Ağa bağlanan cihaz tarafından gönderilen veri miktarını gösterir.
  • Notes: Ağa bağlanan cihaz hakkında daha fazla ek bilgi mevcut ise bu kısımda gösterilir.
  • Probes: Bu kısımda bir cihaz (Örneğin bir telefon) bir ağa henüz bağlanmadıysa veya bağlanma aşamasındaysa bu kısımda bağlanılmaya çalışan ağın SSID adı bulunur.

Sorularınızı ve aracı kullanırken karşılaştığınız sorunlarınızı yorumlar kısmında belirtebilirsiniz.

Sonuç

Kablosuz ağ güvenliğinin önemini ve ağ güvenliğini artırmak amacıyla uygulanması gerek süreç hakkında temel bir bilgiye sahip oldunuz.
Saldırganların yaklaşım biçimi ve kablosuz ağlar hakkında bilgi toplamanın kritik önemini öğrendiniz.
Airodump-ng aracının kullanımına ve aracın arayüzünde bulunan verilerin anlamları hakkında bilgi sahibi oldunuz.

Sırada Ne Var?

Kablosuz ağlar hakkında bilgi toplamayı öğrendiğinize göre artık kablosuz ağ saldırılarına giriş yapabilirsiniz. Bu konuya Deauth Hizmet Kesintisi Saldırısı yazımdan başlayabilirsiniz. Daha fazla eğitim içeriğinden haberdar olmak amacıyla e-posta bültenine abone olabilir ve Ücretsiz Etik Hackerlık – Sızma Testi Eğitimi yazı dizimi takip edebilirsiniz.

    Leave a Reply