Merhaba değerli Türk Hack Team üyeleri. Bu konumuzda " DNS Hijacking " adlı konuyu pek çok farklı başlıktan inceleyeceğiz. Bu sayede daha ayrıntılı ve yararlı/faydalı bir şekilde öğrenmiş olacaksınız. İyi okumalar.
DNS Hijacking saldırısını yapabilmek için DNS kavramını ve nasıl çalıştığını bilmek gerekir. Domain Name, web sitelerin ve sunucuların internet üzerinde almış oldukları addır. İnternet üzerinde erişilmek istenen web siteleri, web sunucuların içerisinde tutulmaktadır. Sunuculara ve web sitelere atanan IP adresleri vardır. IP adresi, IPv4 standardına göre 32 bitten oluşmaktadır. Her 8 biti bir oktet?e karşılık geldiği için bir IP adresinin 4 oktetten oluştuğu bilinmektedir. Kullanıcıların ziyaret edeceği web sitelerin IP adreslerini hafızada tutmaları zordur. Bu nedenle domain name yapısı meydana gelmiştir. Böylelikle her IP adresine belirli bir ad verilmektedir. IP adreslerine verilen isimler, genellikle kullanıcıların hafızasında kolaylıkla kalabilir.
Domain Name System (DNS), insanların okuyabildikleri ve akıllarında rahat tutabildikleri Domain Name bilgisini, makinelerin anlayacağı IP adreslerine çözümlemek için kullanılan bir servistir. İnternetin telefon defteri olarak adlandırılabilir. Bilindik örneklerden biri olan telefon rehberi örneğinde, insanlar rehberlerindeki kullanıcıların isimlerini bilir. Fakat kullanıcı sayısı artması durumunda hepsinin telefon numarasını bilmesi çok zordur. İnsanlar, telefon rehberinde aramak istediği kişinin adını bulup, bu adın karşılığında bulunan telefon numarasını arar. Bu örnek göz önüne alındığında, DNS telefon rehberinin yaptığı işi internette ve bilgisayarlar arasında yapar.
DNS, bir kullanıcının herhangi bir web sitesine istekte bulunmasıyla çalışmaya başlar. Ulaşılmak istenen web sitenin alan adı ve IP adresi DNS Server olarak adlandırılan sunucularda bulunur. DNS Server?a gelen istek sonucunda belirtilen alan adına karşılık gelen IP adresine istek gönderilir.
DNS HIJACKING NEDİR?
DNS Hijacking, DNS servisinin yönlendirilmesi anlamına gelir. DNS Hijacking, saldırganlar tarafından DNS?in yanlış alan adı çözümlemesi yapmasını sağlayarak kullanıcının kötü amaçlı sitelere yönlendirilmesidir. DNS Hijacking, Pharming amaçlı yapılabilir. Pharming ise, saldırganların maddi çıkar için kullanıcıları reklam sitelerine yönlendirmesidir. Ayrıca, DNS Hijacking yaparak kullanıcıların kişisel bilgilerini ve finans bilgilerini ele geçirmek amacıyla phishing (oltalama) saldırısı yapılabilir. Şekil 1?de Normal DNS çözümlemesi ve DNS Hijacking saldırısı gösterilmektedir.
Şekil 1
Şekil1?de DNS çözümlemesinin normal akışı ve DNS Hijacking saldırısı gerçekleştirdikten sonraki yanlış DNS çözümlemesi gösterilir. Normal DNS çözümlemesinde Client example.com adresine gitmek için DNS Server?a istekte bulunur. DNS Server ise DNS çözümlemesi yaptıktan sonra Client makinesini example.com sunucusunun IP adresine yönlendirir. Böylece DNS çözümlemesi başarılı bir şekilde gerçekleşir. Diğer tarafta, client makinesi DNS Hijacking saldırısına uğramış DNS Server makinesine, example.com adresine gitmek için istekte bulunurken, DNS Server makinesinde yapılan yanlış DNS çözümleme sonucunda client makinesi zararlı sunucuya yönlendirilir. DNS çözümlemesinin yanlış yapılmasının sebebi, saldırgan tarafından DNS ön belleğinin zehirlenmesinden kaynaklı olabilir. DNS ön belleğinin zehirlenmesi, DNS ayarlarının kötü amaçlı değiştirilmesi olarak adlandırılabilir.
Birçok İnternet Servis Sağlayıcısı (ISP), kullanıcıların DNS isteklerini kontrol altına almak, istatistiksel verileri toplamak ve kullanıcıların bilinmeyen bir domaine erişmek istediği zaman kullanıcıyı reklamların veya uyarıların olduğu bir sayfaya yönlendirir. Ayrıca bazı hükümetler sansürlediği domainlere kullanıcıların erişmesini istemediği zaman yönlendirmelerle kullanıcıları sansürlenmeyen domainlere veya sansür uyarısının yapıldığı domaine yönlendirebilir. Bu yönlendirme yasal olduğu için DNS Hijacking olarak adlandırılmaz. Fakat yapılan benzer bir işlemdir. Yönlendirmenin yetkisiz kişilerce ve kötü amaçlı yapılması DNS Hijacking olarak adlandırılabilir.
DNS HIJACKING SALDIRI TÜRLERİ
Belli başlı dört farklı DNS Hijacking saldırı türü bulunur. Bu saldırı türleri; Local DNS Hijacking, Router DNS Hijacking, MITM DNS Attacks ve Rogue DNS Server saldırı türleridir.
Local DNS Hijacking:
Saldırganlar tarafından bilgisayarlara zararlı kod parçalarının yüklenmesi ile meydana gelen bir saldırı türüdür. Bilgisayara yüklenen zararlı kod parçası, bilgisayarın DNS ayarlarını değiştirerek, kullanıcıyı zararlı sitelere yönlendirmek amacıyla kullanılır. Bu saldırı tekniği ile kullanıcının kişisel ve finansal bilgilerini ele geçirmek için phishing saldırısı yapılabilir. Ayrıca bilgisayara yüklediği zararlı kod parçası ile bilgisayarda yapamadığı işlemleri yapabilmesi için kullanıcıyı zararlı siteye yönlendirerek bilgisayarda oturum elde edebilir.
Router DNS Hijacking:
Router cihazlarını hedef alan bir saldırı türüdür. Router?ın ilk kurulumunda kullanılan varsayılan parola bilgisi değiştirilmediği için saldırganların hedefi haline gelir. Saldırganlar, router cihazını varsayılan parola zafiyetini kullanıp ele geçirdikten sonra DNS ayarlarını değiştirerek, router?a bağlı bütün kullanıcıların yaptığı istekleri DNS ayarlarında belirlediği zararlı IP adreslerine ve sitelere yönlendirebilir. Yönlendirme sonucunda kullanıcılara yönelik phishing (oltalama) saldırıları gerçekleştirilebilir.
MITM DNS Attacks:
Man In The Middle (MITM) saldırı tekniği, genellikle istemci ve sunucu arasındaki trafiği görüntülemek veya değiştirmek amacıyla istemciden gelen isteği sunucuya yönlendirir. Saldırganların bulunduğu ağ üzerindeki kullanıcıları hedefleyen bu saldırı türüdür. Kullanıcının DNS sunucusuna istek göndermesi sırasında DNS sunucusu ve istek yapan kullanıcı arasına girerek, istek DNS sunucusuna gelmeden isteği kontrol altına alıp kötü amaçlı sitelere veya IP adreslerine yönlendirebilir.
Rogue DNS Server:
Bir saldırganın DNS Server makinesini ele geçirmesiyle DNS kayıtlarını değiştirerek, DNS Server makinesine gelen istekleri zararlı sitelere yönlendirmek amacıyla yapılan saldırı türüdür. Böylelikle, saldırgan kullanıcılar ile ilgili kişisel bilgileri ele geçirebilir ve kullanıcıların cihazlarını ele geçirmeye kadar ilerleyebilir.
DNS Hijacking saldırısı, ARP Poisoning ve DNS Spoofing saldırıları ile yapılabilir. ARP Poisoning saldırısı, bir MITM saldırı tekniğidir. ARP Poisoning, ARP tablosunun zehirlenmesi veya değiştirilmesi olarak adlandırılabilir. Bilgisayarlar kendi aralarında haberleşmek için Fiziksel MAC adresi ve Mantıksal IP adresi olarak iki adres bilgisine sahip olması gerekir. ARP ise, bu haberleşmede eldeki Mantıksal IP adresinden Fiziksel MAC adresini elde etmek için kullanılan bir adres çözümleme protokolüdür. Genellikle İstemci ve Sunucu kavramı üzerinden örneklendirilen MITM saldırı tekniklerinden ARP Poisoning, istemci ve sunucu arasındaki veri akışı gerçekleşmeden önce istemci, sunucu makinesinin Fiziksel MAC adresini öğrenmek için bulunduğu ağa ARP Request paketleri göndererek sunucu makinesinin hangi makine olduğunu öğrenmek ister. Böylelikle gelen cevap ile sunucu makinesinin Fiziksel MAC adresini ARP tablosuna ekleyecektir. Bu sırada, saldırgan makine istemci makinesinin atmış olduğu ARP Request paketine cevap olarak ARP Reply paketini gönderir. Böylelikle istemci makinesi, saldırgan makinesinin Fiziksel MAC adresini ARP tablosuna ekleyip sunucu makinesine göndereceği paketlerini saldırgan makinesine gönderir. Saldırgan makinesi, gelen paketleri görüntüleyebilir, değiştirebilir, silebilir ve yönlendirebilir.
DNS Spoofing aslında, DNS Cache Poisoning saldırısı olarak adlandırılabilir. DNS çözümleyicisinin ön belleğinde bulunan domain name ve IP adresi bilgisinin yetkisiz kişilerce değiştirilmesidir.
Şekil 2
Şekil2?de saldırgan tarafından DNS Server makinesine DNS Spoofing saldırısı gerçekleştirilir. DNS Spoofing saldırısı, DNS ön belleğinin zehirlenmesine neden olur. Saldırganın DNS Server makinesinin ön belleğindeki DNS kayıtlarını değiştirerek istemci makinesinden gelen istekleri sahte siteye yönlendirip saldırı gerçekleştirebilir. Ayrıca istemci makinesi ele geçirebilir.
DNS HIJACKING SALDIRILARINDAN KORUNMA
Ağda bulunan gereksiz DNS sunucuları kapatılmalıdır.
Kullanılan DNS sunucuları, yetkisiz kullanıcılarca erişime kapalı olması için güvenlik duvarlarının arkasına yerleştirilebilir.
Ağda bulunan Name Server?lara erişim kısıtlanmalıdır. Erişim kısıtlanmasında, fiziksel güvenlik, ağ güvenliği, güvenlik duvarları ve çok faktörlü erişim kontrolü gibi kontroller yapılmalıdır.
Ağ tabanlı kimlik doğrulama işlemi aktif edilmelidir.
DNS Cache Poisoning saldırısına karşı önlem almak için Source Port, Query ID, gibi değerler rastgele ayarlanmalıdır. Ayrıca, domain adının rastgele olarak büyük ve küçük harflerden oluşması sağlanabilir.
Bir saldırgan bakış açısıyla DNS sunucularına yönelik saldırılar yaparak bulunan güvenlik açıklarının kapatılması gerekir.
Name Server ve DNS Server?ın farklı makinelerde kurulması herhangi birine yapılan DDOS saldırısının diğerini etkilemesi engellenebilir.
DNS Sunucuları arasındaki Zone transferleri kısıtlanmalıdır. Çünkü saldırganlar, DNS Zone transferi sırasında kopyalanan DNS kayıtlarını elde edebilir.
Kullanıcıların, router?larda bulunan varsayılan parola bilgisini değiştirmesi gerekir.
Yapılan saldırı sonucunda makinelere erişimin engellenmesi için antivirüs yazılımları kullanılabilir.
VPN kullanılarak DNS trafiğinin şifrelenmesi sağlanabilir.
Google DNS, Cisco OpenDNS gibi alternatif DNS hizmetleri kullanılabilir.
Web sitelerin DNS kayıtlarına yönelik yapılan bir saldırının engellenmesi için iki faktörlü kimlik doğrulama mekanizması kullanılabilir.
ÖRNEK DNS SALDIRI TÜRLERİ
Domain Hijacking
DNS Flood Attack
Distributed Reflection Denial of Services (DRDoS)
Cache Poisoning
TCP SYN Floods
DNS Tunneling
Random Subdomain Attack(Slow Drip)
Buna benzer olan DNSSec; istemci ile DNS sunucusu arasında gelen ve giden verinin şifreli olarak iletilmesini sağlar. Bu sayede doğru web sayfasına giderek, araya girebilecek üçüncü kişilere karşı güvenli bir iletişim katmanı oluşturulur.
DNSSEC kullanıcının bağlanmak istediği web sayfasına veya servislere karşılık gelen IP adresine ait bilgiyi doğrulamaktadır. Bu sayede güvenli bir iletişim sağlanmaktadır.
DNSSEC yapısı, KSK ?Key Signing Key? ve ZSK ?Zone Signing Key? isimleri verilen iki çift anahtardan oluşmaktadır. Yeterli miktarda veri toplanabilirse kriptografik anahtarlar çözülebilir. Bu duruma karşı DNS anahtarları belirli aralıklarla yeniden imzalanmaktadır. DNSSEC brute force gibi saldırılara karşı güvenliği sağlamak için DNS kayıtlarını ZSK anahtar çiftini, imzaları doğrularken ise KSK anahtar çiftini kullanır.
Aynı zamanda DNS korsanlığı manasına gelen DNS hijacking veya DNS yönlendirmesi, Alan Adı Sunucu (DNS) sorgu sonuçlarını değiştirme pratiğidir. Bu işlem Malware adı verilen kötü amaçlı yazılımlar kullanılarak bir sunucunun TCP/IP ayarları değiştirilip korsanlığı yapan kişinin kontrolü altındaki sahte bir DNS sunucusuna yönlendirilerek veya güvenilir bir DNS sunucunun davranışları internet standartlarına uygun olmayacak şekilde değiştirilerek yapılır.
Bu değişiklikler phishing adı verilen e-dolandırıcılık gibi kötü amaçlar için yapılabileceği gibi İnternet Servis Sağlayıcı?lar (ISP) tarafından kullanıcıları kendi reklam sayfalarına yönlendirme, istatistik toplama ve belirli alan adlarına engel koyup o alan adını sansürleme gibi amaçlar için de yapılabilir.
Sahte DNS sunucusu arama motorları, bankalar gibi çok kullanılan internet site adlarını kötü amaçlı içeriğe sahip farklı IP adreslerine çevirir. Çoğu kullanıcı kendi ISP?lerinin otomatik olarak atadığı DNS sunucularını kullanır. Zombi bilgisayar adı verilen kötü amaçlı makineler DNS değiştiren trojanlar kullanarak bir kullanıcının bilgisayarında ISP tarafından otomatik olarak atanan DNS sunucu isimlerini gizli bir şekilde değiştirir ve yönlendirmeleri sahte DNS sunucularına yapar. Kullanıcı bir internet sitesini ziyaret etmek istediğinde farklı bir siteye yönlendirilir. Bu saldırıya pharming denir. Eğer yönlendirilen site kötü amaçlı ve kredi kartı gibi hassas bilgileri toplama amaçlı bir site ise bu saldırıya phishing denir.
Son kez değinecek olursak DNS hijacking Türkçe adıyla DNS korsanlığı veya DNS yönlendirmesi, Alan Adı Sunucu (DNS) sorgu sonuçlarını değiştirme pratiğidir. Bu işlem Malware adı verilen kötü amaçlı yazılımlar kullanılarak bir sunucunun TCP/IP ayarları değiştirilip korsanlığı yapan kişinin kontrolü altındaki sahte bir DNS sunucusuna yönlendirilerek veya güvenilir bir DNS sunucunun davranışları internet standartlarına uygun olmayacak şekilde değiştirilerek yapılır.
Bu değişiklikler phishing adı verilen e-dolandırıcılık gibi kötü amaçlar için yapılabileceği gibi İnternet Servis Sağlayıcı?lar (ISP) tarafından kullanıcıları kendi reklam sayfalarına yönlendirme, istatistik toplama ve belirli alan adlarına engel koyup o alan adını sansürleme gibi amaçlar için de yapılabilir.
DNS hijacking kısaca çalışma mantığına değinirsek bilgisayarınızın DNS ayarları genellikle ISS?niz (İnternet Servis Sağlayıcısı) tarafından atanır. Öte yandan, bazı kullanıcılar Google tarafından sağlananlar gibi genel DNS sunucusunu kullanır. Bir web sitesine erişmeye çalıştığınızda, bilgisayarınız isteğinizi bir DNS sunucusuna yönlendiren ayarlara yönlendirir. Sunucu adı IP adresiyle eşleştirir ve sizi istenen web sitesine gönderir.
Bilgisayar ayarlarınızın güvenliği ihlal edilirse, isteğiniz sahte bir DNS sunucusuna yönlendirilecektir. Sonuç olarak, sahte sunucu isteğinizi sahte veya kötü amaçlı bir web sitesine yönlendiren sahte bir IP adresine çevirir.
Bu hacklenme olayı yani ele geçirilme bu nedenlerden dolayı olabilir. Örneğin kötü amaçlı yazılım saldırısı, bilgisayar korsanlarının DNS?nizi ele geçirmek için kullandıkları en yaygın yollardan biridir. Bilgisayar korsanları, sisteminizin DNS ayarlarını değiştirmek için herhangi bir DNS değiştiren Truva atı kullanabilir. Kullanıcıları bir şey indirmeye veya kötü amaçlı bağlantıları tıklamaya iterek saldırıyı başarıyla gerçekleştirebilirler.
Benzer şekilde, bir bilgisayar korsanı da yönlendiricinizde bir güvenlik açığı bularak ve ayarlardan ödün vererek saldırı saldırılarını gerçekleştirebilir. Ancak, sizi saldırılara karşı savunmasız yapan tek şey yönlendiricideki güvenlik zayıflığı değildir. Yönlendiriciniz ayrıca basit bir şifre kırma yoluyla da tehlikeye girebilir.
Bu ve buna benzer olumsuz durumları yaşamamak için tüm tedbirleri almamız gerekir. Sunucu ve serverlarımızı sık sık kontrol etmeli, koruma yetmiyorsa koruma satın alarak güvene almalıyız. Koruma aynı zamanda sunucu hızını arttırır ve kullanıcı bilgilerini saklar. Bu yüzden oldukça önemlidir.
Konumuzun Sonuna Geldik, İyi Forumlar. :Smiley1009:
DNS Hijacking saldırısını yapabilmek için DNS kavramını ve nasıl çalıştığını bilmek gerekir. Domain Name, web sitelerin ve sunucuların internet üzerinde almış oldukları addır. İnternet üzerinde erişilmek istenen web siteleri, web sunucuların içerisinde tutulmaktadır. Sunuculara ve web sitelere atanan IP adresleri vardır. IP adresi, IPv4 standardına göre 32 bitten oluşmaktadır. Her 8 biti bir oktet?e karşılık geldiği için bir IP adresinin 4 oktetten oluştuğu bilinmektedir. Kullanıcıların ziyaret edeceği web sitelerin IP adreslerini hafızada tutmaları zordur. Bu nedenle domain name yapısı meydana gelmiştir. Böylelikle her IP adresine belirli bir ad verilmektedir. IP adreslerine verilen isimler, genellikle kullanıcıların hafızasında kolaylıkla kalabilir.
Domain Name System (DNS), insanların okuyabildikleri ve akıllarında rahat tutabildikleri Domain Name bilgisini, makinelerin anlayacağı IP adreslerine çözümlemek için kullanılan bir servistir. İnternetin telefon defteri olarak adlandırılabilir. Bilindik örneklerden biri olan telefon rehberi örneğinde, insanlar rehberlerindeki kullanıcıların isimlerini bilir. Fakat kullanıcı sayısı artması durumunda hepsinin telefon numarasını bilmesi çok zordur. İnsanlar, telefon rehberinde aramak istediği kişinin adını bulup, bu adın karşılığında bulunan telefon numarasını arar. Bu örnek göz önüne alındığında, DNS telefon rehberinin yaptığı işi internette ve bilgisayarlar arasında yapar.
DNS, bir kullanıcının herhangi bir web sitesine istekte bulunmasıyla çalışmaya başlar. Ulaşılmak istenen web sitenin alan adı ve IP adresi DNS Server olarak adlandırılan sunucularda bulunur. DNS Server?a gelen istek sonucunda belirtilen alan adına karşılık gelen IP adresine istek gönderilir.
DNS HIJACKING NEDİR?
DNS Hijacking, DNS servisinin yönlendirilmesi anlamına gelir. DNS Hijacking, saldırganlar tarafından DNS?in yanlış alan adı çözümlemesi yapmasını sağlayarak kullanıcının kötü amaçlı sitelere yönlendirilmesidir. DNS Hijacking, Pharming amaçlı yapılabilir. Pharming ise, saldırganların maddi çıkar için kullanıcıları reklam sitelerine yönlendirmesidir. Ayrıca, DNS Hijacking yaparak kullanıcıların kişisel bilgilerini ve finans bilgilerini ele geçirmek amacıyla phishing (oltalama) saldırısı yapılabilir. Şekil 1?de Normal DNS çözümlemesi ve DNS Hijacking saldırısı gösterilmektedir.
Şekil 1
Şekil1?de DNS çözümlemesinin normal akışı ve DNS Hijacking saldırısı gerçekleştirdikten sonraki yanlış DNS çözümlemesi gösterilir. Normal DNS çözümlemesinde Client example.com adresine gitmek için DNS Server?a istekte bulunur. DNS Server ise DNS çözümlemesi yaptıktan sonra Client makinesini example.com sunucusunun IP adresine yönlendirir. Böylece DNS çözümlemesi başarılı bir şekilde gerçekleşir. Diğer tarafta, client makinesi DNS Hijacking saldırısına uğramış DNS Server makinesine, example.com adresine gitmek için istekte bulunurken, DNS Server makinesinde yapılan yanlış DNS çözümleme sonucunda client makinesi zararlı sunucuya yönlendirilir. DNS çözümlemesinin yanlış yapılmasının sebebi, saldırgan tarafından DNS ön belleğinin zehirlenmesinden kaynaklı olabilir. DNS ön belleğinin zehirlenmesi, DNS ayarlarının kötü amaçlı değiştirilmesi olarak adlandırılabilir.
Birçok İnternet Servis Sağlayıcısı (ISP), kullanıcıların DNS isteklerini kontrol altına almak, istatistiksel verileri toplamak ve kullanıcıların bilinmeyen bir domaine erişmek istediği zaman kullanıcıyı reklamların veya uyarıların olduğu bir sayfaya yönlendirir. Ayrıca bazı hükümetler sansürlediği domainlere kullanıcıların erişmesini istemediği zaman yönlendirmelerle kullanıcıları sansürlenmeyen domainlere veya sansür uyarısının yapıldığı domaine yönlendirebilir. Bu yönlendirme yasal olduğu için DNS Hijacking olarak adlandırılmaz. Fakat yapılan benzer bir işlemdir. Yönlendirmenin yetkisiz kişilerce ve kötü amaçlı yapılması DNS Hijacking olarak adlandırılabilir.
DNS HIJACKING SALDIRI TÜRLERİ
Belli başlı dört farklı DNS Hijacking saldırı türü bulunur. Bu saldırı türleri; Local DNS Hijacking, Router DNS Hijacking, MITM DNS Attacks ve Rogue DNS Server saldırı türleridir.
Local DNS Hijacking:
Saldırganlar tarafından bilgisayarlara zararlı kod parçalarının yüklenmesi ile meydana gelen bir saldırı türüdür. Bilgisayara yüklenen zararlı kod parçası, bilgisayarın DNS ayarlarını değiştirerek, kullanıcıyı zararlı sitelere yönlendirmek amacıyla kullanılır. Bu saldırı tekniği ile kullanıcının kişisel ve finansal bilgilerini ele geçirmek için phishing saldırısı yapılabilir. Ayrıca bilgisayara yüklediği zararlı kod parçası ile bilgisayarda yapamadığı işlemleri yapabilmesi için kullanıcıyı zararlı siteye yönlendirerek bilgisayarda oturum elde edebilir.
Router DNS Hijacking:
Router cihazlarını hedef alan bir saldırı türüdür. Router?ın ilk kurulumunda kullanılan varsayılan parola bilgisi değiştirilmediği için saldırganların hedefi haline gelir. Saldırganlar, router cihazını varsayılan parola zafiyetini kullanıp ele geçirdikten sonra DNS ayarlarını değiştirerek, router?a bağlı bütün kullanıcıların yaptığı istekleri DNS ayarlarında belirlediği zararlı IP adreslerine ve sitelere yönlendirebilir. Yönlendirme sonucunda kullanıcılara yönelik phishing (oltalama) saldırıları gerçekleştirilebilir.
MITM DNS Attacks:
Man In The Middle (MITM) saldırı tekniği, genellikle istemci ve sunucu arasındaki trafiği görüntülemek veya değiştirmek amacıyla istemciden gelen isteği sunucuya yönlendirir. Saldırganların bulunduğu ağ üzerindeki kullanıcıları hedefleyen bu saldırı türüdür. Kullanıcının DNS sunucusuna istek göndermesi sırasında DNS sunucusu ve istek yapan kullanıcı arasına girerek, istek DNS sunucusuna gelmeden isteği kontrol altına alıp kötü amaçlı sitelere veya IP adreslerine yönlendirebilir.
Rogue DNS Server:
Bir saldırganın DNS Server makinesini ele geçirmesiyle DNS kayıtlarını değiştirerek, DNS Server makinesine gelen istekleri zararlı sitelere yönlendirmek amacıyla yapılan saldırı türüdür. Böylelikle, saldırgan kullanıcılar ile ilgili kişisel bilgileri ele geçirebilir ve kullanıcıların cihazlarını ele geçirmeye kadar ilerleyebilir.
DNS Hijacking saldırısı, ARP Poisoning ve DNS Spoofing saldırıları ile yapılabilir. ARP Poisoning saldırısı, bir MITM saldırı tekniğidir. ARP Poisoning, ARP tablosunun zehirlenmesi veya değiştirilmesi olarak adlandırılabilir. Bilgisayarlar kendi aralarında haberleşmek için Fiziksel MAC adresi ve Mantıksal IP adresi olarak iki adres bilgisine sahip olması gerekir. ARP ise, bu haberleşmede eldeki Mantıksal IP adresinden Fiziksel MAC adresini elde etmek için kullanılan bir adres çözümleme protokolüdür. Genellikle İstemci ve Sunucu kavramı üzerinden örneklendirilen MITM saldırı tekniklerinden ARP Poisoning, istemci ve sunucu arasındaki veri akışı gerçekleşmeden önce istemci, sunucu makinesinin Fiziksel MAC adresini öğrenmek için bulunduğu ağa ARP Request paketleri göndererek sunucu makinesinin hangi makine olduğunu öğrenmek ister. Böylelikle gelen cevap ile sunucu makinesinin Fiziksel MAC adresini ARP tablosuna ekleyecektir. Bu sırada, saldırgan makine istemci makinesinin atmış olduğu ARP Request paketine cevap olarak ARP Reply paketini gönderir. Böylelikle istemci makinesi, saldırgan makinesinin Fiziksel MAC adresini ARP tablosuna ekleyip sunucu makinesine göndereceği paketlerini saldırgan makinesine gönderir. Saldırgan makinesi, gelen paketleri görüntüleyebilir, değiştirebilir, silebilir ve yönlendirebilir.
DNS Spoofing aslında, DNS Cache Poisoning saldırısı olarak adlandırılabilir. DNS çözümleyicisinin ön belleğinde bulunan domain name ve IP adresi bilgisinin yetkisiz kişilerce değiştirilmesidir.
Şekil 2
Şekil2?de saldırgan tarafından DNS Server makinesine DNS Spoofing saldırısı gerçekleştirilir. DNS Spoofing saldırısı, DNS ön belleğinin zehirlenmesine neden olur. Saldırganın DNS Server makinesinin ön belleğindeki DNS kayıtlarını değiştirerek istemci makinesinden gelen istekleri sahte siteye yönlendirip saldırı gerçekleştirebilir. Ayrıca istemci makinesi ele geçirebilir.
DNS HIJACKING SALDIRILARINDAN KORUNMA
Ağda bulunan gereksiz DNS sunucuları kapatılmalıdır.
Kullanılan DNS sunucuları, yetkisiz kullanıcılarca erişime kapalı olması için güvenlik duvarlarının arkasına yerleştirilebilir.
Ağda bulunan Name Server?lara erişim kısıtlanmalıdır. Erişim kısıtlanmasında, fiziksel güvenlik, ağ güvenliği, güvenlik duvarları ve çok faktörlü erişim kontrolü gibi kontroller yapılmalıdır.
Ağ tabanlı kimlik doğrulama işlemi aktif edilmelidir.
DNS Cache Poisoning saldırısına karşı önlem almak için Source Port, Query ID, gibi değerler rastgele ayarlanmalıdır. Ayrıca, domain adının rastgele olarak büyük ve küçük harflerden oluşması sağlanabilir.
Bir saldırgan bakış açısıyla DNS sunucularına yönelik saldırılar yaparak bulunan güvenlik açıklarının kapatılması gerekir.
Name Server ve DNS Server?ın farklı makinelerde kurulması herhangi birine yapılan DDOS saldırısının diğerini etkilemesi engellenebilir.
DNS Sunucuları arasındaki Zone transferleri kısıtlanmalıdır. Çünkü saldırganlar, DNS Zone transferi sırasında kopyalanan DNS kayıtlarını elde edebilir.
Kullanıcıların, router?larda bulunan varsayılan parola bilgisini değiştirmesi gerekir.
Yapılan saldırı sonucunda makinelere erişimin engellenmesi için antivirüs yazılımları kullanılabilir.
VPN kullanılarak DNS trafiğinin şifrelenmesi sağlanabilir.
Google DNS, Cisco OpenDNS gibi alternatif DNS hizmetleri kullanılabilir.
Web sitelerin DNS kayıtlarına yönelik yapılan bir saldırının engellenmesi için iki faktörlü kimlik doğrulama mekanizması kullanılabilir.
ÖRNEK DNS SALDIRI TÜRLERİ
Domain Hijacking
DNS Flood Attack
Distributed Reflection Denial of Services (DRDoS)
Cache Poisoning
TCP SYN Floods
DNS Tunneling
Random Subdomain Attack(Slow Drip)
Buna benzer olan DNSSec; istemci ile DNS sunucusu arasında gelen ve giden verinin şifreli olarak iletilmesini sağlar. Bu sayede doğru web sayfasına giderek, araya girebilecek üçüncü kişilere karşı güvenli bir iletişim katmanı oluşturulur.
DNSSEC kullanıcının bağlanmak istediği web sayfasına veya servislere karşılık gelen IP adresine ait bilgiyi doğrulamaktadır. Bu sayede güvenli bir iletişim sağlanmaktadır.
DNSSEC yapısı, KSK ?Key Signing Key? ve ZSK ?Zone Signing Key? isimleri verilen iki çift anahtardan oluşmaktadır. Yeterli miktarda veri toplanabilirse kriptografik anahtarlar çözülebilir. Bu duruma karşı DNS anahtarları belirli aralıklarla yeniden imzalanmaktadır. DNSSEC brute force gibi saldırılara karşı güvenliği sağlamak için DNS kayıtlarını ZSK anahtar çiftini, imzaları doğrularken ise KSK anahtar çiftini kullanır.
Aynı zamanda DNS korsanlığı manasına gelen DNS hijacking veya DNS yönlendirmesi, Alan Adı Sunucu (DNS) sorgu sonuçlarını değiştirme pratiğidir. Bu işlem Malware adı verilen kötü amaçlı yazılımlar kullanılarak bir sunucunun TCP/IP ayarları değiştirilip korsanlığı yapan kişinin kontrolü altındaki sahte bir DNS sunucusuna yönlendirilerek veya güvenilir bir DNS sunucunun davranışları internet standartlarına uygun olmayacak şekilde değiştirilerek yapılır.
Bu değişiklikler phishing adı verilen e-dolandırıcılık gibi kötü amaçlar için yapılabileceği gibi İnternet Servis Sağlayıcı?lar (ISP) tarafından kullanıcıları kendi reklam sayfalarına yönlendirme, istatistik toplama ve belirli alan adlarına engel koyup o alan adını sansürleme gibi amaçlar için de yapılabilir.
Sahte DNS sunucusu arama motorları, bankalar gibi çok kullanılan internet site adlarını kötü amaçlı içeriğe sahip farklı IP adreslerine çevirir. Çoğu kullanıcı kendi ISP?lerinin otomatik olarak atadığı DNS sunucularını kullanır. Zombi bilgisayar adı verilen kötü amaçlı makineler DNS değiştiren trojanlar kullanarak bir kullanıcının bilgisayarında ISP tarafından otomatik olarak atanan DNS sunucu isimlerini gizli bir şekilde değiştirir ve yönlendirmeleri sahte DNS sunucularına yapar. Kullanıcı bir internet sitesini ziyaret etmek istediğinde farklı bir siteye yönlendirilir. Bu saldırıya pharming denir. Eğer yönlendirilen site kötü amaçlı ve kredi kartı gibi hassas bilgileri toplama amaçlı bir site ise bu saldırıya phishing denir.
Son kez değinecek olursak DNS hijacking Türkçe adıyla DNS korsanlığı veya DNS yönlendirmesi, Alan Adı Sunucu (DNS) sorgu sonuçlarını değiştirme pratiğidir. Bu işlem Malware adı verilen kötü amaçlı yazılımlar kullanılarak bir sunucunun TCP/IP ayarları değiştirilip korsanlığı yapan kişinin kontrolü altındaki sahte bir DNS sunucusuna yönlendirilerek veya güvenilir bir DNS sunucunun davranışları internet standartlarına uygun olmayacak şekilde değiştirilerek yapılır.
Bu değişiklikler phishing adı verilen e-dolandırıcılık gibi kötü amaçlar için yapılabileceği gibi İnternet Servis Sağlayıcı?lar (ISP) tarafından kullanıcıları kendi reklam sayfalarına yönlendirme, istatistik toplama ve belirli alan adlarına engel koyup o alan adını sansürleme gibi amaçlar için de yapılabilir.
DNS hijacking kısaca çalışma mantığına değinirsek bilgisayarınızın DNS ayarları genellikle ISS?niz (İnternet Servis Sağlayıcısı) tarafından atanır. Öte yandan, bazı kullanıcılar Google tarafından sağlananlar gibi genel DNS sunucusunu kullanır. Bir web sitesine erişmeye çalıştığınızda, bilgisayarınız isteğinizi bir DNS sunucusuna yönlendiren ayarlara yönlendirir. Sunucu adı IP adresiyle eşleştirir ve sizi istenen web sitesine gönderir.
Bilgisayar ayarlarınızın güvenliği ihlal edilirse, isteğiniz sahte bir DNS sunucusuna yönlendirilecektir. Sonuç olarak, sahte sunucu isteğinizi sahte veya kötü amaçlı bir web sitesine yönlendiren sahte bir IP adresine çevirir.
Bu hacklenme olayı yani ele geçirilme bu nedenlerden dolayı olabilir. Örneğin kötü amaçlı yazılım saldırısı, bilgisayar korsanlarının DNS?nizi ele geçirmek için kullandıkları en yaygın yollardan biridir. Bilgisayar korsanları, sisteminizin DNS ayarlarını değiştirmek için herhangi bir DNS değiştiren Truva atı kullanabilir. Kullanıcıları bir şey indirmeye veya kötü amaçlı bağlantıları tıklamaya iterek saldırıyı başarıyla gerçekleştirebilirler.
Benzer şekilde, bir bilgisayar korsanı da yönlendiricinizde bir güvenlik açığı bularak ve ayarlardan ödün vererek saldırı saldırılarını gerçekleştirebilir. Ancak, sizi saldırılara karşı savunmasız yapan tek şey yönlendiricideki güvenlik zayıflığı değildir. Yönlendiriciniz ayrıca basit bir şifre kırma yoluyla da tehlikeye girebilir.
Bu ve buna benzer olumsuz durumları yaşamamak için tüm tedbirleri almamız gerekir. Sunucu ve serverlarımızı sık sık kontrol etmeli, koruma yetmiyorsa koruma satın alarak güvene almalıyız. Koruma aynı zamanda sunucu hızını arttırır ve kullanıcı bilgilerini saklar. Bu yüzden oldukça önemlidir.
Konumuzun Sonuna Geldik, İyi Forumlar. :Smiley1009: