İçindekiler

  • Giriş
  • DNS Zehirlenmesi Nasıl Çalışır?
  • DNS Zehirlenmesi Örnekleri ve Yöntemleri
    • Yöntemler
      • Ortadaki Adam Saldırıları
      • Dns Ele Geçirme
      • Önbellek Zehirlenmesi
    • Örnekler
  • DNS Önbellek Zehirlenmesi Neden Tehlikeli?
  • DNS Önbellek Zehirlenmesinden Korunma Yolları
    • DNSSEC
      • Powershell Kullanarak DNSSEC Sorgu Yapma
        • DNS Sunucusunu Hazırlama
        • İstemci Bilgisayarları Hazırlama
  • Yönergeler
  • Kaynakça

Giriş

Domain Name System (DNS) yani alan adı sistemi, bir alan adını, belirli olan IP adreslerine çevirmek için kullanılmaktadır. DNS önbelleği farklı alan adlarına yapılan ziyaretlerin bütün kayıtlarını içerisinde bulunduran geçici bir veri tabanıdır. Bütün bilgisayarların en son DNS isteklerini depolamayı sağlayan bir DNS önbelleği bulundurur. En son kullandığımız sunucunun IP adresi TTL süresi (Time To Live) bitene kadar burada bulundurulur, hedef sorgulara daha hızlı cevap verilmesidir. DNS sunucularındaki zayıflıklardan faydalanan DNS önbellek zehirlenmesi saldırıları, bir alan adının orijinalinden farklı bir IP adresine yönlendirilmesini sağlayan bir siber saldırı çeşididir. Bununla çevrimiçi trafiği sahte bir web sitesine yönlenmesi sağlanır. Bu saldırı biçiminde saldırgan DNS kayıtlarını değiştirerek bunu başarır. Yani kısaca DNS önbellek zehirlenmesi, alan adı sistemi verisini bozar. Sonra ise DNS çözümleme önbelleğine bozuk verinin yerleştirildiği bir bilgisayar güvenliği tehdididir.

 

DNS Spoofing

DNS Zehirlenmesi Nasıl Çalışır

Çoğu saldırgan, DNS sahtekarlığı gerçekleştirmek için önceden hazırlanmış araçlar kullanır. Genellikle halka açık Wi-Fi’ye sahip konumlar birincil hedeftir. Ancak yine de internete bağlı bir cihaz olan herhangi bir yerde gerçekleştirilebilir Bir ev veya iş ağı bu saldırıya karşı savunmasız olmaktadır. Fakat bu konumlarda genellikle kötü amaçlı etkinliği tespit edecek izleme bulunur. Herkese açık Wi-Fi genellikle yanlış yapılandırılmış ve güvenliği yetersizdir. Bu durum da bir tehdit aktörüne DNS sahtekarlığı gerçekleştirmesi için daha fazla fırsat verir. Bu nedenle, ister evde ister halka açık yerlerde olsun, her zaman Wi-Fi güvenliğini düşünmeniz önerilmektedir.

DNS ile ilgili olarak, en belirgin 2 tehdit vardır;

  1. DNS sahtekarlığı, bir etki alanının trafiğini tekrar yönlendirme işlemine sokmak için yasal sunucu hedeflerini taklit eden ve sonucunda ortaya çıkan tehdittir. Bu durumdan şüphelenmeyen kullanıcılar, çeşitli DNS sahtekarlığı saldırı metotlarından kaynaklanan kötü amaçlı web sitelerine giriş yapar.
  2. DNS önbellek zehirlenmesi, DNS sahtekarlarının kullanıcıyı bitirmeye yönelik kullandığı bir yöntemdir. Kullanıcı sistemlerinin sahte IP adresini yerel bellek önbelleklerine kaydederek bunu yaparlar. Bu sorun çözüme kavuşturulsa bile sunucu tarafından hiç bulunamamaktadır. Böylelikle özellikle kullanıcı için DNS’in kötü siteyi geri çağırmasına neden olur.

 

 

DNS Zehirlenmesi Örnekleri ve Yöntemleri

Dns zehirleme saldırına yönelik çeşitli yöntemler arasında daha yaygın olanlardan bazıları şunlardır:

ntemler

Ortadaki Adam Saldırıları (Man-in-the-Middle Attacks):

Bir saldırganın web tarayıcınız ile DNS sunucunuz arasında adım atarak her ikisine de bulaşmasıdır. Yerel cihazınızdan eşzamanlı önbellek zehirlenmesi ve DNS sunucusunda sunucu zehirlenmesi için bir araç kullanılmaktadır. Sonuç olarak saldırganın kendi yerel sunucusunda barındırılan kötü amaçlı bir siteye yönlendirilirsiniz. Bilgisayar korsanları bazen gerçek web sitesinin trafiğini size iletir ve arka planda bilgilerinizi çalar.

DNS Ele Geçirme (DNS Hijacking):

DNS yeniden yönlendirmesi olarak da bilinmektedir. Bu durum kullanıcıların sorgusunun, girmek istediği site yerine, uygun olmayan bir şekilde kötü amaçlı bir siteye yeniden yönlendirilmesi sağlanan bir kimlik sahtekarlığı saldırısı türüdür. Siber suçlular bunu başarmak için yönlendiricileri ele geçirmeyi kullanır. DNS iletişimini engellemek ya da hedefin uç noktalarına kötü amaçlı yazılım dağıtmak da bunlardan biridir.

Önbellek Zehirlenmesi (Cache Poisoning):

DNS önbellek zehirlenmesi kodu genellikle spam e-postalar yoluyla gönderilen URL’lerde bulunmaktadır. Bu e-postalar, kullanıcıları, sağlanan URL’ye tıklamaları için korkutmaya çalışır ve bu şekilde bilgisayarlarına bulaşır. Hem e-postalarda hem de güvenilir olmayan web sitelerinde bulunan banner reklamlar ve resimler de kullanıcıları bu koda yönlendirilmektedir. Saldırgan bu işlemi gerçekleştirirken, kullanıcının girmek istediği siteye ya da amaçladığı aramaya benzemek üzere tasarlanmış kötü amaçlı bir web sitesine yönlendirmek için değiştirilmiş DNS kayıtlarını kullanmaktadır. Kurbanlardan sahte sayfaya hızlı bir şekilde giriş yapmaları istenmektedir. Bu teknik genellikle giriş bilgilerini çalmak için kullanılmaktadır. Ek olarak, web sitesi, failin şirket ağına uzun vadeli erişim izni alabilmek için kullanıcının uç noktasına kötü amaçlı yazılım yüklemeye çalışır.

 

Örnek bir DNS zehirlenmesi saldırısı

Örnekler

Son yıllarda pandemi insanları evden çalışmak zorunda bırakmıştır. Bu sebeple çalışanlar kurumsal sistemlere genel Wi-Fi ve ev üzerinden erişmeye çalışmıştır. Bu da DNS sorgularının artmasını sağlamıştır. Bununla birlikte DNS’i hedefleyen siber saldırıların sayısını yüksek derecede arttırmıştır.

Bunların birçoğu “tünel açma” yöntemini kullanır. Birazı da Temmuz 2020’de keşfedilmesinden önce 17 yıl yürürlükte olan Windows DNS’deki SIGRed güvenlik açığı gibi yeni keşfedilen güvenlik açıklarından faydalanmıştır.

 

Geçtiğimiz sene yeni keşfedilen SAD DNS saldırısı ile kullanılmaya başlanan DNS önbellek zehirlenmesi saldırıları, DANE ve DNSSEC gibi modern savunma tedbirleri tarafından önemli bir oranda durdurulmuştur. Fakat bu DNS güvenlik metotlarının herkes tarafından kullanılmaması bu tür saldırıların devam etmesini olanak sağlamıştır.

 

Son yıllarda yapılan diğer önemli DNS zehirlenmesi saldırıları arasında AWS ve Malaysia Airlines’a yapılan saldırıları söyleyebiliriz:

2018’de Amazon Web Services’e (AWS) yapılan bir DNS spoofing saldırısı, 17 milyon dolar değerinde Ethereum çalınmasına yol açmıştır. Hırsızlar, MyEtherWallet hesaplarına giriş yapmaya çalışanlardan gelen trafiği, giriş bilgilerini çalmak için sahte bir web sitesine yönlendirmiş ve bu bilgileri, kullanıcıların hesaplarına erişmek ve paralarını çalmak için kullanmıştır.

2015 yılında, Lizard Squad olarak bilinen bir korsan grubu, Malaysia Airlines’a DNS zehirlenmesi saldırısı düzenlemiştir. Ziyaretçilerin oturum açmasını sağlayan sahte bir web sitesine yönlendiren saldırı, havayolu şirketinde zarara yol açmıştır.

 

DNS Önbellek Zehirlenmesi Neden Tehlikeli

Bu saldırılara maruz kalındığında bilgisayarlara çeşitli virüsler ve kötü yazılımlar girer. Bankalarda hesabı olan ve banka işlemlerini internet üzerinden yapmak isteyen kullanıcılar, dolandırılma tehdidiyle karşı karşıya kalır. Kullanıcı banka sitesine giriş yaptığını düşünerek önceden hazırlanan ve girmek istediği sitenin benzeri olan saldırganın hazırladığı sahte banka hesabına giriş yapar. Burada veri girişi yaptığı sırada, banka şifreleri çalınır. Bu sayede saldırgan, kurbanın banka hesabındaki parayı saniyeler içinde çalar. Bunların yanı sıra DNS zehirlenmesi ile internet ortamındaki kişisel veri güvenliğiniz ortadan kalkar. Bütün veri ve bilgileriniz, çevreye açık hale gelir. E-posta hesaplarınız çalınır, ayrıca yönlendirilen siteler, cihaza çeşitli virüs ve kötü yazılım yüklenmektedir. Saldırganların sosyal güvenlik numaraları ve ödeme bilgileri gibi önemli bilgilere erişimi sağlanır. Bu sayede, cihazların güvenliğini sağlayan gerekli yamaların ve güncellemelerin yapılmasını engellemek maksadıyla güvenlik sağlayıcılarından gelen trafiği yeniden düzenler. Bu yöntem Cihazları gittikçe çok daha savunmasız hale getirir. Truva atları ve virüsler gibi birçok sayıda saldırıya olanak sağlamaktadır.

DNS Önbellek Zehirlenmesinden Korunma Yolları

DNS zehirlenmesi saldırılarını tespit etmek ve çözmek zor olabileceği için bu saldırıların tehlike düzeyi yüksektir. Bu servis sağlayıcılarına ya da web sitesine sahip olan kişiler, tehditleri aza indirgemek için çeşitli protokoller ve araçlar kullanarak kullanıcıları korumak adına çaba göstermelidir. Bu saldırılardan korunmak için yapılması gereken bazı yöntemler şunlardır:

  1. DNSSEC’i tanıtmak. 
  2. Bir diğer önemli adım ise DNS yanıtlarında ve isteklerinde bulunan verileri şifrelemektir.
  3. Kuruluşlar, DNS sunucularını, diğer DNS sunucularıyla olan ilişkilere güvenmeyecek biçimde yapılandırabilirler.
  4. Sistem güncellemeleri önemli olduğu için DNS’in son sürümünü kullanmak önemlidir.
  5. Güçlü algılama protokolleri kullanılmalıdır. Yüksek korumalı algılama protokolleri, düzenli izleme kullanır. Bunlardan gelecek uyarılara dikkat edilmelidir.
  6. Potansiyel risklerin fark edilmesi için siber güvenlik eğitimleri alınmalıdır.

 

DNSSEC

DNSSEC, ek doğrulama yöntemleri kullanma protokollü, kullanıcıların güvenliği sağlamak için tasarlanmış bir uygulamadır. Mevcut internet protokollerinde standart olmayan DNS verilerini doğrulamayı mümkün kılar. Çünkü bunun için ortak anahtar şifrelemesine güvenir. DNSSEC çözümleyicilerin DNS aramalarını gerçek olarak kabul etmez. Bunu sağlamak için ihtiyaç duyduğu girişlere bir kriptografik imza ekler. Ayrıca spesifik olarak, bir isteğe yanıt veren herhangi bir DNS’in kök alan adını doğrulamak için ve bunu yapmaya yetkili olduğundan emin olmak için sertifika tabanlı kimlik doğrulamasını kullanır. Ayrıca, yanıtın içeriğine güvenilip güvenilmeyeceğini ve bu içeriklerin aktarım sırasında değiştirilip değiştirilmediğini değerlendirir. Standart DNS şifrelenmemektedir. Değişikliklerin ve çözümlenen aramaların meşru sunuculardan ve kullanıcılardan gelmesini sağlamak için programlanmamıştır. DNSSEC, güncellemeleri doğrulayan ve DNS sahteciliğinin engellenmesini sağlayan işleme bir imza bileşeni ekler. DNS sızdırma, herhangi bir genel Wi-Fi üzerinden kullanıcı veri gizliliğini ihlal etmekle tehdit ettiğinden, DNSSEC son zamanlarda daha popüler hale geldi. Belirli bir etki alanı için DNSSEC’yi etkinleştirmenin iki ana adımı vardır. Her şeyden önce, DNS bölgenize DNSSEC ile ilgili kayıtları eklemeniz gerekir. Ardından, ilgili DNS kayıtlarını yayınlamanız gerekir ve değişikliğin yürürlüğe girmesi 24 saat kadar sürer. DNSSEC, DNS sahtekarlığına karşı korunmaya yardımcı olabilirken bazı dezavantajları da vardır. 

Dezavantajları

  • Veri gizliliği eksikliği  – DNSSEC kimlik doğrulaması yapar, ancak DNS yanıtlarını kodlamaz. Sonuç olarak, failler hala trafiği dinleyebilir ve verileri daha karmaşık saldırılar için kullanmaktadır.
  • Karmaşık dağıtım  – DNSSEC genellikle yanlış yapılandırılır, bu da sunucuların güvenlik avantajlarını kaybetmesine ve hatta bir web sitesine erişimi tamamen reddetmesine neden olabilir.
  • Bölge numaralandırma  – DNSSEC, imza doğrulamasını etkinleştirmek için ek kaynak kayıtları kullanır. Böyle bir kayıt olan NSEC, bir DNS bölgesinin olmadığını doğrulayabilir. Ayrıca, mevcut tüm DNS kayıtlarını toplamak için bir DNS bölgesinde dolaşmak için de kullanılabilir; bu, bölge numaralandırma adı verilen bir güvenlik açığıdır. NSEC3 ve NSEC5 olarak adlandırılan NSEC’in daha yeni sürümleri, ana bilgisayar adlarının karma kayıtlarını yayınlayarak bunları şifreler ve bölge numaralandırmasını önler.

Powershell Kullanarak DNSSEC Sorgu Yapma

DNS sunucumuzda DNSSEC yapılandırmadan önce DNSSEC sorgularına nasıl cevap aldığımıza bakmalıyız.

Powershell de normal DNS sorgusu için aşağıdaki komutu kullanabiliriz.

Resolve-DnsName -Name site1.fabrikam.com

Powershell de DNSSEC sorgusu için aşağıdaki komutu kullanabiliriz.

Resolve-DnsName -DnssecOk -Name site1.fabrikam.com

Powershell DNSSEC Sorgusu

Görüldüğü üzere yalnızca IP bilgisi geldi.

Şimdi Active Directory ortamımızda istemci bilgisayarlarımızın DNS sorgularını DNSSEC şeklinde nasıl göndereceklerine bakalım. Bunun için 2 işlem yapmamız gerekmektedir.

1-DNS Sunucusunu Hazırlama

Domain Controller sunucusu üzerindeki iç DNS sunucusu normalde resimdeki gibidir.

Windows DNS Konsol

Sol tarafta Zone lar, sağ tarafta ise ilgili zone altında açılmış kayıtlar görünmektedir.

Bu senaryo için aynı zamanda Active directory domain adı olan fabrikam.com zone u için DNSSEC enable yapacağız. Öncesinde farklı zone ları deneyebiliriz.

DNS konsolunda fabrikam.com zone u üzerinde sağ tıklayarak DNSSEC > Sign the Zone ile fabrikam.com zone unu imzalıyoruz.

DNS Konsol

Karşımıza gelen ekranda Next kısmına tıklıyoruz.

DNSSEC Sihirbazı

 “Use Default settings to sign the zone” u seçip ilerliyoruz.

DNSSEC Sihirbazı

Varsayılan parametreler ile ilerlediğimiz durumdaki parametreleri aşağıdaki gibi görebiliriz.

DNSSEC Sihirbazı

Next ile ilerleyelim.

DNSSEC Sihirbazı

fabrikam.com zone başarıyla imzalandı. Artık DNS konsolda aşağıdaki gibi görünecek.

DNSSEC Sihirbazı

Gördüğünüz gibi zone adına kilit ikonu geldi ve DNS kayıtlarının da yanlarına imzalı kayıtları geldi.

Artık DNS Sunucumuz fabrikam.com zone u için DNSSEC sorgularına cevap verebilir durumda. Bu artık sadece DNSSEC sorgularına cevap verecek demek değildir. Normal DNS sorgularına da cevap verecektir DNS sunucumuz.

Powershell ile yaptığımız DNSSEC sorgusunu yeniden yapalım bu sefer nasıl bir cevap gelecek bakalım.

Powershell DNSSEC Sorgusu

Gördüğünüz gibi site1.fabrikam.com için imza bilgileri de DNS sorgumuzun cevabında yer almakta.

Şu andan DNS sunucumuz fabrikam.com için DNSSEC e hazır ancak istemcilerimiz halen normal DNS sorguları gönderecekler. Dolayısıyla DNSSEC tam anlamıyla kullanıyor olmayacağız. Bu nedenle istemcilerimizi de DNS sorgularını DNSSEC olarak göndermeleri konusunda ayarlamalıyız.

2-İstemci Bilgisayarları Hazırlama

İstemci bilgisayarları ayarlamak için GPO nun gücünü kullanacağız. Bunun için ister yeni ister var olan bir GPO da aşağıdaki alana gelelim. Bu senaryoda sadece fabrikam.com domaini için DNS sorgularını DNSSEC olarak yapılmasını sağlayacağız.

DNSSEC GPO Düzenleme

fabrikam.com zone altındaki tüm kayıtların DNSSEC ile çözülmesi için 2 numaralı alanda suffix seçiyoruz.

3 numaralı bölüme zone adını yazıyoruz.

4 numaralı bölümde DNSSEC i bu zone için aktifleştiriyoruz.

5 numaralı buton ile DNSSEC kuralımızı oluşturuyoruz.

Böylece Bu GPO nun uygulandığı bilgisayarlar artık sadece fabrikam.com  domaini için varsayılan DNS sorguları DNSSEC olarak yapılacak.

Örnek pc de wireshark açıp browserdan http://site1.fabrikam.com yazıyoruz ve Wiresharkda aşağıdaki gibi sorgunun DNSSEC olarak gittiğini görebiliriz.

Wireshark Log

DNSSEC GPO ayarladığımız ekranda  “Require DNS clients to check that name and address data has been validated” seçeneğini işaretlerseniz istemci bilgisayar laptop ise ve eve gittiğinde de fabrikam.com için DNSSEC kullanmaya zorlanacaktır. Ancak evdeki modemin dns servisinde DNSSEC olmadığı için evde fabrikam.com  a erişilemeyecektir. Bu nedenle bunu işaretlediğimizde, istemci bilgisayar, varsa DNSSEC yoksa normal DNS sorgusu gerçekleştirecek.

Bu nedenle DNSSEC i devreye alacağınız domain zone u iyi planlamak gerekmektedir.

Bir uyarı olarak, normal DNS cevapları 4 byte iken DNSSEC cevapları 160 byte büyüklüğündedir. Bu sebeple LAN da ki DNSSEC çalışmasında çok sorun olmasa da Site2Site VPN, IPSEC VPN gibi yapılarda DNSSEC i devreye aldığınızda Network Bandwith iniz de artış göreceksiniz.

Yönergeler

Bu saldırılardan korunmak için uygulanabilecek yönergeler ise şunlardır;

  • Tanımadığınız bir bağlantıya asla tıklamayın.
  • Bilgisayarınızı düzenli olarak kötü amaçlı yazılımlara karşı tarayın.
  • Gerekirse DNS önbelleğinizi temizleyin.
  • Bir sanal özel ağ (VPN) kullanın.

KAYNAKÇA

 

 

Kapak Görseli: Photo by pixelcreatures on Pixabay

Makale İçi Görseller: https://www.astronur.com/windows-sistemlerde-dnssec-kullanimi/ adresinden 28.05.2022 tarihinde alınmıştır.

Bu makale https://www.duplichecker.com/  sitesi üzerinden 27.05.2022 tarihinde kontrol edilmiştir. Makale benzerlik değeri ile kabul edilmiştir. Results Completed: 100% Plagiarism: %7 Unique: %93

 


Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.