Domain Name Server (DNS) çoğu kez aklımızda tutamayacağımız karmaşıklıkta olan IP adreslerini daha akılda kalıcı alan adlarına dönüştüren bir servistir. Örneğin 74.125.224.83 IP adresi google.com adresine aittir. Her gün defalarca kez ziyaret ettiğimiz bu sayfanın IP adresini aklımıza tutmak yerine alan adıyla (google.com) giriş yaparız.
DNS yaptığı bu isim çözme işlemlerinden dolayı internetin omurgasıdır. Bu sebeple sıklıkla Dos ve DDoS gibi saldırılarına maruz kalınmaktadır. Saldırı çeşidi çok fazladır ve bu saldırılar hedefteki kuruma her milyonlarda dolar zarar verebilmektedir.
DNS saldırı türleri nelerdir?
- Domain Hijacking
- DNS Flood Attack
- Distributed Reflection Denial of Services (DRDoS)
- Cache Poisoning
- TCP SYN Floods
- DNS Tunneling
- Random Subdomain Attack(Slow Drip)
DNSSec; istemci ile DNS sunucusu arasında gelen ve giden verinin şifreli olarak iletilmesini sağlar. Bu sayede doğru web sayfasına giderek, araya girebilecek üçüncü kişilere karşı güvenli bir iletişim katmanı oluşturulur.
DNSSEC kullanıcının bağlanmak istediği web sayfasına veya servislere karşılık gelen IP adresine ait bilgiyi doğrulamaktadır. Bu sayede güvenli bir iletişim sağlanmaktadır.
DNSSEC yapısı, KSK “Key Signing Key” ve ZSK “Zone Signing Key” isimleri verilen iki çift anahtardan oluşmaktadır. Yeterli miktarda veri toplanabilirse kriptografik anahtarlar çözülebilir. Bu duruma karşı DNS anahtarları belirli aralıklarla yeniden imzalanmaktadır. DNSSEC brute force gibi saldırılara karşı güvenliği sağlamak için DNS kayıtlarını ZSK anahtar çiftini, imzaları doğrularken ise KSK anahtar çiftini kullanır.
DNS Hijacking Nedir?
DNS korsanlığı manasına gelen DNS hijacking veya DNS yönlendirmesi, Alan Adı Sunucu (DNS) sorgu sonuçlarını değiştirme pratiğidir. Bu işlem Malware adı verilen kötü amaçlı yazılımlar kullanılarak bir sunucunun TCP/IP ayarları değiştirilip korsanlığı yapan kişinin kontrolü altındaki sahte bir DNS sunucusuna yönlendirilerek veya güvenilir bir DNS sunucunun davranışları internet standartlarına uygun olmayacak şekilde değiştirilerek yapılır.
Bu değişiklikler phishing adı verilen e-dolandırıcılık gibi kötü amaçlar için yapılabileceği gibi İnternet Servis Sağlayıcı’lar (ISP) tarafından kullanıcıları kendi reklam sayfalarına yönlendirme, istatistik toplama ve belirli alan adlarına engel koyup o alan adını sansürleme gibi amaçlar için de yapılabilir.
Sahte DNS sunucusu arama motorları, bankalar gibi çok kullanılan internet site adlarını kötü amaçlı içeriğe sahip farklı IP adreslerine çevirir. Çoğu kullanıcı kendi ISP’lerinin otomatik olarak atadığı DNS sunucularını kullanır. Zombi bilgisayar adı verilen kötü amaçlı makineler DNS değiştiren trojanlar kullanarak bir kullanıcının bilgisayarında ISP tarafından otomatik olarak atanan DNS sunucu isimlerini gizli bir şekilde değiştirir ve yönlendirmeleri sahte DNS sunucularına yapar. Kullanıcı bir internet sitesini ziyaret etmek istediğinde farklı bir siteye yönlendirilir. Bu saldırıya pharming denir. Eğer yönlendirilen site kötü amaçlı ve kredi kartı gibi hassas bilgileri toplama amaçlı bir site ise bu saldırıya phishing denir.
DNS Hijacking Saldırı Türleri Nelerdir?
Local DNS hijack: Saldırganlar bir kullanıcının bilgisayarına Trojan gibi kötü amaçlı yazılım yükler ve kullanıcıyı kötü amaçlı sayfalara yönlendirmek için yerel DNS ayarlarını değiştirir.
Router DNS hijack: Birçok güvenlik ürünün içerisinde varsayılan kullanıcı adı ve parola zafiyeti vardır. Saldırganlar bu yöntemle yönlendiriciyi devralabilir ve bu yönlendiriciye bağlı tüm kullanıcıları etkileyerek DNS ayarlarını değiştirebilir.
Man in the middle DNS attacks: Saldırganlar bir kullanıcı ile DNS sunucusu arasındaki iletişimi keser ve kötü amaçlı sayfaları işaret eden farklı IP adreslerine yönlendirilmelerini sağlar.
Rogue DNS Server: Saldırganlar DNS sunucularını ele geçirebilir ve DNS isteklerini kötü amaçlı sayfalara yönlendirmek için DNS kayıtlarını değiştirebilir.
DNS Hijacking Korunma Yolları
- Ağdaki gereksiz DNS çözümleyicileri kapatılmalıdır. Yasal çözücüler, kuruluş dışında erişimi olmayan güvenlik duvarının arkasına yerleştirilmelidir.
- İsim sunucularına erişim kısıtlanmalıdır. Bu kısıtlama hem fiziksel erişim hemde ağ erişimi anlamında olmalıdır.
- Önbellek zehirlenmesine karşı önlem alınmalıdır.
- Bilinen güvenlik açıklarının yamaları hemen yapılmalı ertelenmemelidir.
- Son kullanıcıların yönetici parolaları sık sık değiştirilmelidir.
- Son kullanıcıların VPN kullanımına dikkat edilmelidir.
- DNS kayıt şirketine erişirken iki faktörlü kimlik doğrulaması kullanılması.
- DNS ayarlarına erişmesine izin verile bir whitelist IP listesi hazırlanabilir.
- DNS kayıtlarının sadece belirli kişilerden onay almadan değişik yapılamayacak şekilde ayarlanmalıdır.
Yazar: Cyber Intelligence Analyst Gurbet Başakçi
