ARP Zehirlenmesi (ARP Spoofing veya ARP Poisoning), bir saldırganın, ağda bulunan cihazlara yanlış ARP yanıtları göndererek, doğru IP-MAC adresi eşlemesini bozan bir tür ağ saldırısıdır. Bu tür saldırılar, ağ trafiğini yönlendirme, verileri çalmak veya ağda kesintiye neden olmak amacıyla yapılabilir.

ARP Zehirlenmesinin Çalışma Prensibi:

1. Sahte ARP Yanıtları Göndermek:

   • Bir saldırgan, ağda gerçek IP-MAC eşleşmesini taklit eden sahte ARP yanıtları gönderir. Bu yanıtlar, ağdaki cihazlara, IP adresi ve MAC adresi eşleşmesini yanlış şekilde gösterir.

2. Trafiği Yönlendirmek veya Ele Geçirmek:

   • Ağa dahil olan cihazlar, bu sahte ARP yanıtlarını kabul eder ve IP-MAC eşleşmelerini yanlış şekilde kaydeder. Bu sayede saldırgan, hedef cihazların trafiğini kendisine yönlendirebilir.
   • Saldırgan, veri paketlerini kendi üzerinden geçirerek dinleyebilir (sniffing), değiştirebilir ya da kesebilir. Bu da veri güvenliğini ciddi şekilde tehlikeye atar.

3. Zincirleme Etki:

   • Bu tür saldırılar sadece tek bir cihazı değil, genellikle ağdaki birden fazla cihazı etkileyebilir. Saldırganın sahte ARP yanıtları, diğer cihazları da etkileyerek ağdaki tüm iletişimi bozabilir.

ARP Zehirlenmesinin Amacı:

• Veri Hırsızlığı (Sniffing): Saldırgan, hedef cihazlar arasındaki veri trafiğini okuyarak, şifreler, kişisel bilgiler veya diğer hassas verileri ele geçirebilir.
• Man-in-the-Middle (MITM) Saldırıları: Saldırgan, iki cihaz arasındaki trafiği yönlendirebilir ve bu trafiği değiştirebilir veya izleyebilir. Bu, özellikle şifreli olmayan (HTTP gibi) ağ trafiği için büyük bir tehlike oluşturur.
• Servis Dışı Bırakma (DoS): Saldırgan, ağ trafiğini hedef cihazlara yönlendirerek, bu cihazları kullanılamaz hale getirebilir.
• Ağ İstikrarını Bozma: Birçok cihazda yanlış ARP tablosu oluşturulması, ağda karışıklığa ve iletişim kesintilerine neden olabilir.

ARP Zehirlenmesi Örnek Senaryosu:

1. Saldırganın Pozisyonu:
   • Bir saldırgan, bir ağda "Man-in-the-Middle" konumunda yer alır. Diğer cihazların trafiği, saldırganın cihazından geçmektedir.
2. ARP Zehirlenmesi Başlatmak:
   • Saldırgan, ağdaki cihazlara sahte ARP yanıtları göndererek, hedef cihazın IP adresini kendi MAC adresiyle ilişkilendirir. Örneğin, cihaz A, cihaz B'nin IP adresine ulaşmak isterken, cihaz A'nın trafik verileri saldırganın cihazına yönlendirilir.
3. Trafiği Ele Geçirme:
   • Şimdi cihaz A'nın verileri, cihaz B'ye gitmeden önce saldırganın cihazına yönlendirilmiş olur. Saldırgan, bu verileri inceleyebilir, değiştirebilir ya da kaydedebilir.

ARP Zehirlenmesi (ARP Poisoning) Koruma Yöntemleri:

1. Statik ARP Tablosu Kullanmak:

   • ARP tablosunda IP-MAC eşleşmelerini statik olarak belirlemek ve değiştirilmesini engellemek, ARP zehirlenmesine karşı etkili bir koruma olabilir.

2. ARP İzleme ve Tespiti:

   • Ağdaki ARP trafiğini izlemek, olağandışı ARP yanıtlarını tespit etmek için yazılımlar kullanılabilir. Bu yazılımlar, sahte ARP yanıtları gönderildiğinde alarm verebilir.

3. Dinamik ARP İzolasyonu (DAI):

   • Dinamik ARP İzolasyonu (DAI), ağ anahtarlarında bulunan bir özelliktir ve yalnızca geçerli ve doğrulanan ARP paketlerinin iletilmesine izin verir.

4. Güvenli Protokoller Kullanmak:

   • HTTPS, SSH, VPN gibi güvenli protokoller kullanmak, iletişimin şifreli olmasını sağlayarak, Man-in-the-Middle (MITM) saldırılarına karşı koruma sağlar.

5. Switch Port Security:

   • Anahtar portlarının sadece belirli MAC adreslerine izin verecek şekilde yapılandırılması, ağda MAC adres tablosu zehirlenmesi riskini azaltabilir.

6. Daha Güvenli Ağ Yapıları Kullanmak:

   • VLAN kullanmak ve ağ segmentasyonunu sağlamak, ARP zehirlenmesinin ağda daha geniş bir etki yaratmasını engelleyebilir.

ARP Zehirlenmesi, ağ güvenliği için ciddi bir tehdit oluşturur. Özellikle yerel ağlarda, IP-MAC eşleşmesinin bozulması, kötü niyetli bir saldırganın trafiği yönlendirmesine, verileri çalmasına ya da iletişimi kesmesine neden olabilir. ARP zehirlenmesine karşı alınacak önlemler, ağda güvenliği artırarak, bu tür saldırıların başarılı olmasını engellemeye yardımcı olabilir.