CyberFlow Logo CyberFlow BLOG
Dns Pentest

DNS Brute Force Saldırıları: Siber Güvenlikte Kaba Kuvvet Stratejileri

✍️ Ahmet BİRKAN 📂 Dns Pentest

DNS Brute Force saldırılarıyla siber güvenlikteki savunma stratejilerini keşfedin. Bu blogda kaba kuvvet mantığı ve teknikleri hakkında bilgi edinin.

DNS Brute Force Saldırıları: Siber Güvenlikte Kaba Kuvvet Stratejileri

DNS Brute Force saldırıları, hedef DNS sunucusuna yapılan kaba kuvvet sorguları ile özel bilgiler elde etme yöntemidir. Bu yazıda, bu saldırılara dair stratejiler ve başarılı olabilmek için gereken teknikleri öğreneceksiniz.

Giriş ve Konumlandırma

DNS Brute Force Saldırıları: Siber Güvenlikte Kaba Kuvvet Stratejileri

Siber güvenlik alanında, saldırganların hedef sistemlere erişim sağlamak için temel teknikleri kullanma yöntemleri giderek daha karmaşık hale gelmektedir. Bu bağlamda, DNS (Domain Name System) brute force saldırıları önemli bir yere oturmaktadır. DNS Brute Force, bir domain altında bulunan olası subdomain adlarının otomatik olarak hedef DNS sunucusuna sorgulanması sürecidir. Amaç, sorgular aracılığıyla sunucunun mevcut subdomainlerle yanıt verip vermediğini belirlemektir.

DNS brute force saldırıları, siber güvenlik uzmanları ve penetrasyon test uzmanları için çeşitli nedenlerden ötürü kritik önem taşır. Bunlar arasında bir organizasyonun internet üzerindeki zayıf noktalarını tespit etmek ve mevcut subdomain adlarını belirleyerek olası saldırı yüzeylerini haritalandırmak sayılabilir. Bu tür saldırılar genellikle kelime listeleri kullanılarak gerçekleştirilir ve bu listeler, hedef organizasyonun isimlendirme standartlarına (naming convention) uygun olarak düzenlenmelidir. Örneğin, bir organizasyonun geliştirme süreçlerine dayalı olarak oluşturulmuş isimler (dev, test, staging), subdomain tespitinde önemli rol oynamaktadır.

Brute force saldırılarının başarısı, kullanılan kelime listesinin kalitesine direkt olarak bağlıdır. Düşük kaliteli ya da hedefe uygun olmayan bir kelime listesi, subdomain'lerin tespitini imkânsız hale getirebilir. Ayıca, sorgulama esnasında alınan yanıt kodları, neden başarısız olunduğunu anlamak için kritik bilgiler sunar. Örneğin, DNS sunucusu istenen subdomain’in bulunamadığını belirtmek için "NXDOMAIN" hata kodunu döndürdüğünde, saldırgan bir sonraki kelimeye geçiş yapabilir.

Saldırı Yapısının Teknik Detayları

DNS brute force süreçlerinde sıklıkla kullanılan araçlar arasında Gobuster bulunmaktadır. Gobuster, Go dilinde yazılmış ve hız odaklı tasarlanmış bir araçtır. DNS brute force saldırıları için endüstri standardı haline gelmiştir. Kullanımı oldukça basittir ve birkaç komut ile birlikte hedef domain'e yönelik etkili taramalar yapılabilir. Aşağıda, Gobuster ile bir DNS taraması gerçekleştirmek için basit bir komut gösterilmektedir:

gobuster dns -d target.com -w list.txt

Bu komut, "target.com" domaini altında "list.txt" kelime listesinde yer alan tüm olası subdomainleri sorgulayacaktır. Tarama işlemi esnasında, hedef sunucunun yanıt davranışlarını gözlemlemek, alınan sonucunun doğruluğunu artıracaktır.

Ancak siber güvenlik uzmanları, bu tür saldırıların olası zararlarını da göz önünde bulundurmalıdır. Hızlı bir şekilde yüksek sayıda sorgu göndermek, hedef DNS sunucusunun geçici olarak hizmet dışı kalmasına veya saldırganın IP adresinin engellenmesine yol açabilir. Bu nedenle saldırı hızını, özellikle DNS sunucusunun rate limiting özelliklerini aşmamak adına dikkatlice ayarlamak gereklidir.

Kaba kuvvet saldırılarının etkili bir şekilde gerçekleştirilmesi için, karmaşıklık ve tahmin edilebilirlik düzeyinin düşürülmesi önemlidir. Burada ortaya çıkan "entropy" kavramı, rastgele isimlerin ve varyasyonların oluşturulmasında önemli bir parametre olarak işler. Kullanıcı tarafından oluşturulan isimlerin ne kadar karmaşık olabileceği, hedefin savunması açısından kritik bir etken oluşturur.

Sonuç olarak, DNS brute force saldırıları, hem siber güvenlik savunma stratejilerini anlamanın hem de saldırı yöntemlerini belirlemenin önemli bir parçasıdır. Bu konu, alanında uzman kişilerin dikkatle ele alması gereken teknik bir konudur. Okuyucular bu yazının devamında, DNS brute force saldırılarını daha detaylı bir şekilde inceleyecek, belirli stratejileri ve araçları kullanarak siber güvenlikte nasıl etkili olacaklarını görecekler.

Teknik Analiz ve Uygulama

Kaba Kuvvet Mantığı

DNS Brute Force saldırıları temelde, bir alan adının altında muhtemel subdomain isimlerini keşfetme yöntemi olarak tanımlanabilir. Bu tür saldırılarda, bir hedef DNS sunucusuna otomatik bir şekilde sorgular gönderilerek, hangi subdomainlerin aktif olduğu belirlenmeye çalışılır. Saldırının temel mantığı, sunucunun belirli bir subdomain için cevap verip vermediğine dayanır. Eğer sunucu, subdomain adına ait bir IP adresi döndürüyorsa, bu subdomain mevcut demektir.

Brute force saldırılarında başarılı olabilmek için, kullanılan kelime listesinin kalitesi ve hedefin isimlendirme standartlarına (naming convention) uygunluğu oldukça önemlidir. Örneğin, bir firmada yaygın olarak kullanılan alt alan adları "dev", "vpn", "test" gibi isimlerden oluşabilir. Bu durum, oluşturulan kelime listesinin bu tür kelimeleri içermesini gerektirir.

# Örnek DNS sorgusu
# [wordlist] + target.com
dig subdomain.target.com

Wordlist Stratejisi

Kaba kuvvet saldırısı esnasında kullanılan kelime listeleri, saldırının başarısını doğrudan etkileyen bir unsurdur. Bu listeler genellikle üç ana grupta sınıflandırılabilir:

  1. Common Subdomains: Tüm organizasyonlarda bulunan standart isimler (örn. www, mail, ftp).
  2. Environment Based: Geliştirme süreçlerine özel isimler (örn. dev, test, prod).
  3. Technical Terms: Kullanılan teknolojilere işaret eden isimler (örn. kibana, docker, jenkins).

Bir subdomain saldırısında iyi bir kelime listesi oluşturmak için mevcut isimlerin yanı sıra bu listeleri uygun başlıklarla genişletmek faydalı olacaktır.

Yanıt Kodu Analizi: NXDOMAIN

Bir DNS sorgusu, aranan subdomain mevcut değilse "NXDOMAIN" hata kodunu döndürür. Brute force aracı bu kodu gördüğünde, bir sonraki kelimeye geçmektedir. Bu nedenle, bu yanıt kodunun analizi, hangi kelime gruplarının hedef DNS sunucusunda mevcut olduğunu anlamaya yönelik önemli bir adım oluşturur.

# NXDOMAIN kontrolü için örnek sorgu
dig subdomain.target.com | grep NXDOMAIN

Gobuster ile DNS Taraması

Gobuster, DNS brute force saldırılarına yönelik en popüler araçlardan biridir ve Go dili ile yazıldığı için yüksek verimlilik sunar. Aşağıda, Gobuster kullanarak DNS taraması yapmanın nasıl olduğunu gösteren bir örnek verilmiştir:

# Gobuster ile DNS keşfi
gobuster dns -d target.com -w list.txt

Bu komut, list.txt dosyasındaki her bir kelimeyle target.com üzerinde bir DNS sorgusu gerçekleştirir.

Wildcard DNS Engeli

Bazı DNS sunucuları, wildcard DNS yapılandırması ile her sorguya yanıt verecek şekilde ayarlanmıştır. Örneğin, *.target.com gibi bir yapılandırma, saldırganın her subdomainin “varmış” gibi görünmesine yol açabilir. Böyle durumlarda, elde edilen sonuçlar yanıltıcı olabilir. Wildcard engelini aşmanın yolları arasında, IP filtering veya HTTP validation yöntemleri bulunur.

İleri Seviye: Permütasyon

Kaba kuvvet sürecinde, mevcut isimlerden yeni isimler üretmek de oldukça etkilidir. Bu yönteme "permutasyon" denir. Örneğin, bir subdomain'ı temel alarak üzerine veya başına farklı ekler ekleyerek yeni kombinasyonlar oluşturma işlemi yapılabilir.

# Permütasyon örneği
# dev.target.com, api-test.target.com gibi

MassDNS ile Devasa Taramalar

Milyonlarca kelimeyi saniyeler içinde işleyebilen MassDNS, yüksek performans gerektiren durumlarda idealdir. 

# MassDNS kullanarak sorgulama
massdns -o S -w results.txt -r resolvers.txt list.txt

Bu komut, belirlenen resolvers listesi ile bir DNS taraması gerçekleştirir.

Hız ve Rate Limiting

Aşırı hızlı sorgu göndermek, hedef DNS sunucusunun geçici olarak hizmet dışı kalmasına neden olabilir. Bu nedenle, her sorgu arasında belirli bir bekleme süresi koymak (delay) ve aynı anda çalışan sorguları (threads) kontrol etmek, saldırının gizliliğini artırır. Rate limiting kuralları çerçevesinde işlemler yaparak, hedefin tepkilerini daha fazla gözlemleyebilirsiniz.

Tespit Gücü: Entropi

İsimlerin rastgelelik ve karmaşıklık seviyesine "entropi" denir. Daha karmaşık ve tahmin edilmesi zor isimlerin bulunma olasılığı düşüktür. Bu olasılığı hesaplamak için aşağıdaki formül kullanılabilir:

P = 1 / N

Burada N, wordlist'inin boyutunu ifade eder. Entropi, siber güvenlik senaryolarında sağlıklı bir tahmin mekanizması oluşturmak adına önemlidir.

Nmap NSE: dns-brute

Nmap aracı, sadece port taraması değil, aynı zamanda kendi içindeki "dns-brute" betiği ile DNS keşfi yapabiliyor. Böylece, kullanıcılar hedef sistemin DNS yapılandırmasını hızlı bir şekilde elde edebilir.

# Nmap ile dns-brute yürütme
nmap --script dns-brute target.com

Savunma ve Hardening

Saldırıları tespit etme ve ceza uygulama sistemlerinin kurulması (IDS/IPS), yalnızca mevcut savunmayı değil aynı zamanda gelecekte yaşanabilecek saldırıları da önleyici nitelikte önem kazanmaktadır. Tüm bu keşif sürecinin amacı, hedefin internete açık olan her noktası (IP, servis, domain) belirleyerek, potansiyel riskleri minimize etmektir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Enfeksiyon Yorumlama

DNS brute force saldırıları, siber güvenlik dünyasında önemli bir tehdit unsuru olarak öne çıkmaktadır. Bu tür bir saldırıda, hedef alınan bir domain altında mevcut olabilecek subdomain isimleri, bir kelime listesi aracılığıyla hedef DNS sunucusuna otomatik olarak sorgulanmaktadır. Saldırganlar, sunucunun mevcut bir subdomain’e yanıt vermesi durumunda, bu subdomain’in varlığını doğrulamış olurlar. Dolayısıyla, bu tür saldırıların anlamı, yalnızca mevcut olan kaynakların tespiti değil, aynı zamanda potansiyel kapsamlı bir güvenlik açığının varlığıdır.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, DNS sunucularının saldırılara karşı daha savunmasız hale gelmesine yol açar. Özellikle, wildcard DNS yapılandırmaları, her sorguya "varmış" gibi yanıt vermesi nedeniyle saldırganlara yanlış güvenli bir imaj çizersiniz. Yani, bir saldırgan bu yapılandırmadan faydalanarak, bakım yapılmadığı sürece tüm potansiyel subdomainleri keşfedebilir. Böyle durumlarda, bulunan subdomainlerin bakımının yapılmadığı ve olası zafiyetlerin göz ardı edildiği görülebilir. Gözden kaçırılan bu zayıf noktalar, siber suçlular tarafından istismar edilebilir.

Yanlış yapılandırmanın yanı sıra, DNS sunucusunda uygun güvenlik kontrollerinin olmaması, potansiyel bir ağ saldırısını daha da kolaylaştırabilir. Örneğin, sunucu üzerinde yeterli rate limiting ve sorgu kontrol mekanizmalarının olmaması hali, hedefe yönelik aşırı yükleme saldırılarına, yani DoS (Hizmet Reddi) saldırılarına dönüşebilir.

Sızan Veri ve Topoloji Belirleme

DNS brute force saldırıları esnasında sızan veri veya bilgilerin önemi büyüktür. Saldırganlar, buldukları subdomainler üzerinden hizmetlerin (web, FTP, e-posta gibi) varlığını belirleyebilir. Örneğin, bir web uygulaması için çalışan bir subdomain tespit edildiğinde, uygulamanın sürüm bilgileri üzerinden potansiyel güvenlik açıkları aranabilir. Ayrıca, elde edilen bulgular, organizasyonun ağ yapısı hakkında bilgi sağlar ve bu, hedefe yönelik kapsamlı saldırılar planlamak için bir temel oluşturabilir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlikte etkili bir savunma stratejisi belirlemek, DNS brute force saldırılarına karşı koymak için aynı zamanda gerekli bir zorunluluktur. İşte bazı profesyonel önlemler ve hardening önerileri:

  1. DNS Sunucu Yapılandırması: DNS sunucularınızın temel yapılandırmalarını gözden geçirerek, wildcard kayıtların kullanılmadığından emin olun.

  2. Rate Limiting: Tüm DNS sorgularını sınırlamak için rate limiting uygulamaları hayata geçirilmeli. Bu sayede, aşırı yükleme saldırıları önlenebilir.

  3. İzleme ve Günlükleme: DNS günlüklerini sürekli olarak izlemek, anormal trafik desenlerini hızlı bir şekilde tespit etmenizi sağlar. Örneğin, sık sık gelen NXDOMAIN hataları, saldırının habercisi olabilir.

    tail -f /var/log/named/query.log

  4. Entropi Analizi: Saldırganların kullanabileceği kelime listelerinin karmaşıklığını hesaplayarak, DNS isimlerinizin entropisini artırmalısınız. Bu, potansiyel subdomain isimlerinin bulunabilirliğini azaltır.

  5. Honey-Subdomains Kullanımı: Sahte subdomainler oluşturarak, olası bir saldırıda saldırganın dikkatini dağıtmayı ve alarm üretmeyi hedefleyebilirsiniz.

Sonuç Özeti

DNS brute force saldırıları, yüksek müsaadele riskleri ve potansiyel verilerin sızması ile beraber gelir. Yanlış yapılandırmalar ve yetersiz güvenlik önlemleri, bu tür saldırılara karşı zayıf kalmanıza neden olabilir. Profesyonel önlemler almak ve sürekli güncellemeler yapmak, saldırılarla başa çıkma kabiliyetinizi artıracak ve siber güvenlik pozisyonunuzu güçlendirecektir. Unutmayın, her saldırı bir öğrenme fırsatıdır; yalnızca bulgularınızı dikkatle değerlendirdiğinizde daha güvenli bir siber ortam yaratabilirsiniz.