CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Ağ Keşfi: LLMNR, NBT-NS ve mDNS Protokollerinin Derinlemesine Analizi

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Ağ keşfi ve muhtemel saldırılarıyla ilgili LLMNR, NBT-NS ve mDNS protokollerinin önemli teknik detayları.

Ağ Keşfi: LLMNR, NBT-NS ve mDNS Protokollerinin Derinlemesine Analizi

Bu blog yazısında, siber güvenlikte kritik öneme sahip LLMNR, NBT-NS ve mDNS protokollerinin ağ keşfi üzerindeki etkilerini detaylı bir şekilde inceliyoruz. Protokollerin zararlı kullanımlarını ve alınabilecek savunma önlemlerini öğrenin.

Giriş ve Konumlandırma

Ağ keşfi, bir kuruluşun siber güvenlik duruşunu etkileyen kritik bir unsurdur. Özellikle LLMNR (Link-Local Multicast Name Resolution), NBT-NS (NetBIOS Name Service) ve mDNS (Multicast DNS) gibi protokoller, yerel ağdaki cihazların kendilerini bulmasına, isim çözümlemesine ve genel ağ iletişimine önemli katkılarda bulunur. Ancak, bu protokollerin kötüye kullanılması, siber saldırılara açık kapılar bırakabilir, bu nedenle ağ yöneticilerinin ve siber güvenlik profesyonellerinin bu teknolojileri derinlemesine anlaması elzemdir.

LLMNR ve NBT-NS: Temel Bilgiler

LLMNR, özellikle modern Windows sistemlerinde yerel ağdaki cihazların isim çözümlemesine yardımcı olmak için kullanılan bir protokoldür. DNS (Domain Name System) sunucusuna erişim sağlanamadığında devreye giren bu protokol, cihazların hızlı bir şekilde birbirleriyle iletişim kurmasını sağlar. Benzer şekilde, NBT-NS, eski sistemlerle uyumluluk adına kullanılan bir diğer isim çözümleme protokolüdür. Her iki protokol de UDP (User Datagram Protocol) üzerinden çalışır ve belirli portlar kullanır:

LLMNR: UDP 5355
NBT-NS: UDP 137

Bu protokollerin çalışma şekli, yerel bir ağdaki cihazların adlarını IP adreslerine çevirmeye dayalıdır.

mDNS: Daha Fazla Dinamik İletişim

mDNS, isim çözümleme için sıfır yapılandırmalı bir alternatif sunar ve genellikle Apple cihazları gibi belirli platformlarda kullanılır. UDP 5353 üzerinden faaliyet gösteren bu protokol, DNS sunucusu olmadan ana bilgisayar adlarını IP adreslerine çözümlemeyi amaçlar. Özellikle küçük ağlarda bu protokol, kullanıcıların ağ hizmetlerine daha pratik bir şekilde erişmesine olanak tanır. Ancak, mDNS’in kötü niyetli kişiler tarafından istismar edilebilmesi, siber güvenlik açısından dikkat edilmesi gereken bir konudur.

Siber Güvenlik ve Riskler

Bu protokollerin potansiyel tehlikeleri, özellikle sızma testleri ve siber saldırılar bağlamında karşımıza çıkar. Protokoller, yayın (broadcast) tabanlı yapıdan dolayı saldırganların trafikleri yakalamasına ve yanıltıcı yanıtlar vermesine imkan tanır. Örneğin, bir cihazın isim çözümleme isteğine saldırganın sahte bir yanıt vermesi "poisoning" (zehirlenme) olarak adlandırılır. Bu tür saldırılar, kötü amaçlı bir proxy sunucusuna yönlendirme yaparak ağdaki kimlik bilgilerini tehlikeye atabilir.

Poisoning Saldırısı: Bir cihazın yaptığı isim çözümlemesi isteğine saldırganın 'o adres benim' diyerek yanıt vermesi.

Bu bağlamda, ve özellikle sızma testleri sırasında, farklı açık kaynak araçları da kullanılmaktadır. Örneğin, Responder, LLMNR ve NBT-NS isteklerini dinleyerek sahte yanıtlar veren en popüler Python tabanlı araçlardandır. Benzer bir şekilde, Inveigh adlı araç, bu tür saldırılara karşı sızma testlerinde kullanılır.

Bağlam ve Savunma Taktikleri

Siber güvenlik durumu ve risklerin değerlendirilmesi, her önemli ağ bileşeni için geçerlidir. LLMNR, NBT-NS ve mDNS protokollerinin kullanımı, düzgün bir denetim ve denge sağlanmadığı takdirde ciddi güvenlik sorunlarına yol açabilir. Güvenlik önlemleri arasında, GPO (Grup İlkesi) ayarlarıyla LLMNR’nin kapatılması veya DHCP ayarları aracılığıyla NBT-NS özelliğinin devre dışı bırakılması yer alır.

Bu protokollerin yönetimi ve güvenliği, her bir siber saldırıya karşı sürekli bir savunma stratejisi gerektirir. Anormal ağ trafiğini tespit etmek için sistem yöneticilerinin, ağın görünürlüğünü artırmak ve potansiyel tehditleri zamanında tespit etmek üzere doğru araç ve tekniklerle donatılması önemlidir. Özellikle Wireshark gibi analiz araçlarıyla, Multicast ve Broadcast paketleri izlenerek zehirlenme saldırıları tespit edilebilir.

Sonuç olarak, ağ keşfi ve protokollerinin derinlemesine analizi, siber güvenliğin temel taşlarından biridir. Bu protokollerin işleyişi, tehlikeleri ve güvenlik önlemleri hakkında bilgi sahibi olmak, kurumların siber tehditlere karşı daha dayanıklı hale gelmelerini sağlayacaktır.

Teknik Analiz ve Uygulama

LLMNR ve NBT-NS Nedir?

Link-Local Multicast Name Resolution (LLMNR) ve NetBIOS Name Service (NBT-NS), yerel ağlarda cihazların birbirlerini bulmasını sağlayan protokollerdir. LLMNR, özellikle modern Windows sistemleri tarafından kullanılan bir protokol olup UDP üzerinden 5355 numaralı portta çalışırken, NBT-NS daha eski sistemlerle uyumluluk sağlamak amacıyla UDP üzerinden 137 numaralı portta yayın yapmaktadır.

LLMNR, DNS sunucusuna ulaşılamadığında veya isim çözülemediğinde devreye girer. LLMNR, yerel ağda bulunan cihazların isim çözümlemesine yardımcı olur; fakat bu süreçte güvenlik riskleri doğurabilir. Özellikle kötü niyetli kişiler, bu protokolleri kullanarak trafik akışını manipüle edebilir.

Protokol Portları

LLMNR ve NBT-NS, belirli portlar üzerinden işlem yapar. Bunlar:

  • LLMNR: UDP 5355
  • NBT-NS: UDP 137
  • mDNS: UDP 5353

Bu portların iyi bilinmesi, ağ üzerindeki güvenlik açıklarını ve muhtemel saldırıları tespit etmek açısından önem taşır. Ağa bağlı cihazlar bu portları kullanarak isim çözümleme isteğinde bulunabilir.

Protokol Riski

Bu protokoller, yayın (broadcast) temelli bir yapı kullanmalarından dolayı saldırganlar için avantajlar sunar. Özellikle, saldırganlar sahte yanıtlarda bulunarak cihazların iletişimini kendi üzerlerine çekebilir. Bu tür saldırılara "Poisoning" yani zehirlenme saldırısı denir. Bu saldırının temel mantığı, bir cihazın isim çözümleme isteğine müdahale ederek, yalan yanıtlar vererek kimlik bilgilerini çalmaktır.

Zehirlenme saldırıları, kullanıcıların Net-NTLM hash bilgilerini istemeden saldırganın sistemine göndermesine neden olabilir. Bu, saldırganın oturum açma işlemlerini kolaylaştırarak kullanıcı bilgilerine erişmesine yol açar.

Saldırı Araçları

Ağ keşfi ve zehirlenme saldırıları için birkaç önemli araç bulunmaktadır:

  • Responder: LLMNR, NBT-NS ve mDNS isteklerini dinleyerek sahte yanıtlar veren bir Python aracıdır.
  • Inveigh: Responder'ın PowerShell/C# tabanlı versiyonudur ve sızma testlerinde sıkça kullanılmaktadır.
  • Wireshark: Ağdaki multicast ve broadcast paketlerini analiz etmenizi sağlayarak zehirlenme saldırılarını tespit etmenize yardımcı olur.

Özellikle Responder aracının kullanımı sırasında, aşağıdaki komutla LLMNR ve NBT-NS istemcilerinden yanıt almak mümkündür:

Responder -I [AĞ_INTERFACE]

Bu komut, belirtilen ağ arayüzünde dinleme yapar ve protokollerden gelen istekleri yakalar.

Net-NTLM Hash Ele Geçirme

Zehirlenme saldırısı sonrası, bir cihaz kendisi dışında kalan yanıtları kabul ettiğinde, bu durum ciddiyeti artırır. Temel amaç, kullanıcının istemcisinin sahte bir sunucu ile bağlantı kurması ve Net-NTLM hash bilgisini istemeden bu sunucuya yollamasını sağlamaktır. Aşağıdaki örnek, bir Net-NTLM hashinin ele geçirilmesi sürecini göstermektedir:

Inveigh -demo

Bu komut, ağda aktif olan tüm cihazların isim çözümleme isteklerini dinlerken, sahte yanıtlar vererek kullanıcıdan gelen hash değerlerini yakalar.

mDNS (Multicast DNS)

mDNS, DNS sunucusu bulunmayan küçük ağlarda ana bilgisayar adlarını IP adreslerine çözümlemek için sıfır yapılandırmalı bir protokoldür. Genellikle Apple cihazları ve Chromecast gibi ağ servislerinin bulunmasında kullanılır. LLMNR ve NBT-NS gibi, mDNS de ağ keşfi açısından önemli bir role sahiptir ancak özel önlemler alınmadıkça güvenlik açıklarına açıktır.

Savunma ve Sıkılaştırma

Bu protokollerin kötüye kullanımını engellemek için bir dizi önlem alınabilir. Örneğin:

  • GPO: LLMNR Kapatma: Grup ilkesi üzerinden “Turn off Multicast Name Resolution” ayarı aktif edilerek LLMNR devre dışı bırakılabilir.
  • DHCP: NBT-NS Devre Dışı Bırakma: Ağ ayarlarından NetBIOS over TCP/IP özelliğini kapatarak broadcast trafiğini durdurmak mümkündür.
  • SMB Signing: Hash çalınsa bile, saldırganın bu hash'i başka bir sistemde kullanmasını engelleyebilir.

Bu önlemler, protokollerin kötüye kullanımını azaltmak ve ağ güvenliğini artırmak için kritik öneme sahiptir.

Risk, Yorumlama ve Savunma

Ağ Keşfinde Riskler

Ağ keşif protokolleri, özellikle LLMNR, NBT-NS ve mDNS gibi protokoller, yerel ağların keşfi ve isim çözümlemesi için önemli bir rol üstlenmektedir. Ancak bu protokollerin sağladığı kolaylıklar, aynı zamanda ciddi güvenlik risklerini de barındırmaktadır. Potansiyel saldırganlar bu protokolleri kullanarak ağ üzerinde izinsiz bilgi toplayabilir veya sahte kimlik bilgileri ile kullanıcıları kandırabilir. Bu bölüm, bu protokollerin risklerini ve savunma yöntemlerini ele alacaktır.

Protokollerin Güvenlik Açıkları

LLMNR ve NBT-NS, isim çözümleme işlemleri için geliştirilmiş geri dönüş protokolleridir ve genellikle yerel ağlarda DNS sunucusu bulunmadığında devreye girer. Ancak bu protokoller, saldırganların ağı keşfetmesine olanak tanıyan açık kaynaklar sağlar. Özellikle Poisoning (zehirleme) saldırıları ile, saldırgan cihazların isim çözümleme isteklerine sahte yanıtlar vererek, ağdaki trafiği kendine çekebilir.

Aşağıdaki kod örneği, LLMNR ve NBT-NS protokollerinin kullanımını ve olası bir zehirlenme saldırısının etkisini göstermektedir:

Responder -I eth0

Yukarıdaki komut, Responder aracını kullanarak belirli bir ağ arayüzünde (eth0) LLMNR ve NBT-NS isteklerini dinler. Bu tür bir araç kullanımı, ağa izinsiz erişim sağlamaya çalışmak için yaygın bir yöntemdir ve ağ güvenliği için büyük bir tehdit oluşturmaktadır.

Sızan Veriler ve Etkileri

Bu protokoller kullanılarak gerçekleştirilen bir saldırı sonucunda, muhtemel sızan veriler arasında kullanıcı kimlik bilgileri, ağ topolojisi ve çalışan servisler bulunmaktadır. Örneğin, bir cihazın yaptığı isim çözümleme isteğine saldırganın sahte bir cevap vermesi ile birlikte, kullanıcı parolaları (Net-NTLM hash olarak) ele geçirilebilir.

Net-NTLM hash'lerinin ele geçirilmesi, saldırganların bu bilgileri kullanarak kimlik doğrulamalarını taklit etmelerine olanak tanır, bu da cihazların güvenliğini tehlikeye sokar. Onur dolu bir biçimde ağ üzerinde gizli kalma gerekliliği, bu tür sızıntılara karşı yenilikçi yaklaşımlar geliştirilmesini zorunlu kılar.

Savunma ve Önlemler

Saldırıları önlemek için uygulanabilecek savunma yöntemleri şunlardır:

  1. Protokol Kapatma:

    • Grup İlkesi ile LLMNR Kapatma: LLMNR'yi kapatmak için Grup İlkesi üzerinden “Turn off Multicast Name Resolution” ayarını aktif hale getirebilirsiniz.
    • DHCP ile NBT-NS Devre Dışı: NBT-NS'i devre dışı bırakmak, gereksiz olan yayılım trafiğini durdurarak potansiyel saldırılara karşı bir bariyer oluşturur.

  2. SMB Signing:

    • Saldırganın çaldığı Net-NTLM hash'lerini başka bir sistemde kullanmasını engellemek için SMB Signing özelliğini etkinleştirmelisiniz. Bu, kendi içinde bir güvenlik katmanı oluşturur.

  3. Ağ İzleme:

    • Wireshark gibi araçlar kullanarak ağ trafiğini analiz edip anormal durumları tespit edebilirsiniz. Özellikle, Multicast ve Broadcast paketlerine dikkat edilmeli ve izinsiz aktiviteler hemen raporlanmalıdır.

  4. Eğitim:

    • Çalışanları bu protokoller hakkında eğitmek ve siber güvenlik bilincini artırmak, insan faktöründen kaynaklanan zafiyetlerin önlenmesine yardımcı olacaktır.

Sonuç

Ağ keşif protokolleri, kullanışlı olmalarına rağmen ciddi güvenlik risklerini de beraberinde getirmektedir. LLMNR, NBT-NS ve mDNS protokollerinin kötüye kullanımı, veri sızıntılarına ve yetkisiz erişime yol açabilir. Bu nedenle, yukarıda belirtilen savunma yöntemlerinin uygulanması, ağ güvenliğini sağlamada kritik bir rol oynamaktadır. Özellikle proaktif yaklaşımlar ve sürekli izlemenin önemi, modern siber tehditlere karşı etkili bir savunma stratejisi geliştirmek için kaçınılmazdır.