CyberFlow Logo CyberFlow BLOG
Dns Pentest

DNS Nedir ve Nasıl Çalışır? Temel Bilgiler ve Güvenlik İpuçları

✍️ Ahmet BİRKAN 📂 Dns Pentest

DNS, internetin temel yapı taşlarından biridir. Bu yazıda DNS'in nasıl çalıştığını ve güvenlik açığı risklerini keşfedeceksiniz.

DNS Nedir ve Nasıl Çalışır? Temel Bilgiler ve Güvenlik İpuçları

DNS, alan adlarını IP adreslerine çevirerek internetteki iletişimi sağlar. Bu yazıda, DNS'in çalışma prensipleri ve güvenlik riskleri hakkında bilgi edineceksiniz.

Giriş ve Konumlandırma

DNS (Domain Name System), internetin temel yapı taşlarından biridir ve kullanıcıların dostane domain adlarını (örn. www.example.com) kullanarak internete erişimini sağlar. Temel olarak, DNS internet üzerindeki alan adlarını IP adreslerine çevirme işlevini üstlenir. İnsanların hatırlaması kolay olan bu alan adları, makineler arasında iletişimi sağlayan sayısal IP adresleri ile eşleştirilir. Kısacası, DNS olmadan internet üzerindeki servislerin ve kaynakların kolayca erişilebilir olması mümkün olmazdı.

DNS'in Önemi

Günümüzde pek çok hizmet ve uygulama, DNS altyapısına dayanarak çalışmaktadır. Hızlı ve doğru bir DNS çözümlenmesi, kullanıcı deneyimini direk etkiler. DNS çözümlemesi, internet trafiğinin yönlendirilmesi ve web sayfalarına erişimin sağlanmasında kritik bir rol oynar. Internet üzerindeki mükemmel işlevselliğin arkasında yatan DNS yapısı, siber saldırıların hedefi olabilecek birçok potansiyel zayıflığı da barındırır. Özellikle siber güvenlik bağlamında, DNS'in doğru anlaşılması, olasılıkları yönetmek ve olası saldırılara karşı savunma geliştirmek adına önem taşır.

Sistemin Çalışma Mantığı

DNS, hiyerarşik bir yapıdan oluşur. Tüm DNS sunucuları, birbirleriyle iletişim halinde çalışabilir ancak bu yapı içerisinde belirli görevlerin ve yetki alanlarının belirlenmesi gerekir. DNS sorguları, ya kullanılan UDP protokolü ile ya da daha güvenilir transfer için TCP protokolü ile gerçekleştirilir. Her iki protokolün farklı birimler üzerinde farklı avantajlar sunduğuna dikkat etmek gerekir.

Örnek bir DNS sorgusu ile açıklayacak olursak:

nslookup www.example.com

Bu komut, "www.example.com" alan adının arka planında yer alan IP adresini çıkaracaktır. Sorgunun yanıtı, DNS sunucusu tarafından gerçekleştirilen çözümleme işlemi ile döner.

Siber Güvenlik ve DNS

Siber güvenlik açısından, DNS'in zayıf yönleri ve potansiyel saldırı türleri (örneğin; DNS Spoofing veya DNS Tunnel) üzerinde durulmalıdır. Saldırganlar, DNS'in sağladığı altyapıyı manipüle ederek; kötü amaçlı yazılımlar, veri sızıntıları veya diğer kötü niyetli saldırılar düzenleyebilir. Bu tür saldırılarda genellikle DNS kayıtlarının yanlış yapılandırılması bir risk faktörü olarak karşımıza çıkar.

DNS çözümlenmesi sırasında meydana gelen hatalar ve zayıflıklar, saldırganların hedef sistem üzerinde yan hareketler yapmasına yardımcı olabilir. Örneğin, tersine mühendislik teknikleri kullanılarak bir IP adresinin hangi alan adına ait olduğu belirlenebilir. Bu tür bilgiler, sızma testleri ve güvenlik değerlendirmeleri sırasında dikkate alınmalıdır.

Teknik İçeriğe Geçiş

DNS konusunu daha iyi anlamak için temel bileşenleri ve çalışma mekanizmalarını incelemek gerekecektir. Alan adı çözümlemesi, sunucu hiyerarşisi, kayıt türleri ve DNS açıkları gibi başlıkları incelemek, okuyucunun bu karmaşık sistem hakkında daha derin bir kavrayışa sahip olmasını sağlayacaktır. Ayrıca, DNS güvenliği için kullanılan teknikler ve standartlar (örneğin DNSSEC), güvenlik önlemlerinin nasıl uygulanacağını anlamak için kritik öneme sahiptir.

Sonuç olarak, DNS yalnızca bir isim çözümlemesi süreci değildir; aynı zamanda internetin temel güvenlik yapı taşlarından biridir. Bu nedenle, siber güvenlik uzmanları ve sistem yöneticileri için DNS'i anlamak ve yönetmek, hem ağlarını korumak hem de potansiyel tehditlere karşı hazırlıklı olmak adına büyük önem taşır.

Teknik Analiz ve Uygulama

Protokolün Temeli: İsim Çözümleme

DNS (Domain Name System), kullanıcı dostu alan adlarının (FQDN) makinelerin iletişim kurmasını sağlayan IP adreslerine dönüştürülmesi sürecidir. Bu dönüşüm, internet üzerindeki her türlü iletişimin temelini oluşturur. Örneğin, bir kullanıcı tarayıcıya "www.example.com" yazdığında, DNS devreye girerek bu alan adını bir IP adresine (örneğin 192.0.2.1) çözümler. DNS, genellikle pentest'in "Reconnaissance" aşamasının başlangıcıdır; saldırganlar, hedef sistemlerin IP adreslerini belirlemek için DNS sorgularını kullanır.

Sunucu Hiyerarşisi

DNS mimarisi, hiyerarşik bir yapıya dayanır. En üst düzeyde "root servers" bulunur; bu sunucular, üst düzey alan adlarını (TLD) barındıran sunuculara yönlendirme yapar. Aşağıdaki diagram, sunucu hiyerarşisinin temel yapı taşlarını gösterir:

Root Servers
   └── TLD Nameservers (ör. .com, .org)
       └── Authoritative Servers (ör. example.com)

Standart Port ve Taşıma

DNS, genellikle 53 numaralı port üzerinden çalışır. Protokol düzeyinde, DNS sorguları genellikle UDP (User Datagram Protocol) kullanarak hız kazanır. Ancak, daha büyük veri transferrleri (AXFR) ve güvenli sorgular için TCP (Transmission Control Protocol) tercih edilir.

Kayıt Keşfi: A Kaydı

DNS'teki en yaygın kayıt türü A (Address) kaydıdır. Bu kayıt, bir ana bilgisayar adını doğrudan 32 bitlik IPv4 adresine yönlendirir. A kaydının sorgulanması için terminalde aşağıdaki komut kullanılabilir:

nslookup www.example.com

Bu komut, belirtilen domain adının mevcut A kaydını döndürür.

Gelişmiş Kayıt Türleri

DNS veritabanında yalnızca A kayıtları değil, aynı zamanda MX (Mail Exchanger), CNAME (Canonical Name), AAAA gibi birçok farklı "Resource Record" (RR) türü bulunur. Her bir kayıt türü farklı işlevler ve uygulamalar sunar. Örneğin, MX kaydı bir domainin e-posta sunucularını tanımlar ve bu sayede e-posta güvenliği stratejileri belirlenir.

Bilgi Madeni: TXT Kayıtları

TXT kayıtları, genellikle insan tarafından okunabilir metinleri içerir. Günümüzde özellikle SPF (Sender Policy Framework) ve DKIM (DomainKeys Identified Mail) gibi güvenlik doğrulamaları için kullanılmaktadır. Aşağıdaki komut, bir domainin TXT kayıtlarını sorgulamak için kullanılabilir:

dig TXT example.com

Bu komut, ilgili domainin sahip olduğu TXT kayıtlarını listeler.

Tersine Mühendislik: PTR Kaydı

PTR kaydı, bir IP adresinin hangi alan adına ait olduğunu bulmak için kullanılır. Bu işlem, ağ içindeki lateral hareketlerde hedef belirlemek açısından kritik öneme sahiptir. Örneğin, 8.8.8.8 IP adresinin PTR kaydını sorgulamak için aşağıdaki komut kullanılabilir:

dig -x 8.8.8.8

Sorgu Mekanizmaları

DNS sorguları iki temel türde gerçekleşir: Recursive (Tamamlayıcı) ve Iterative (Yineleyici) sorgular. Recursive sorgularda, DNS sunucusu cevabı bulana kadar tüm süreci üstlenir ve en son cevabı istemciye döndürür. Iterative sorgularda ise sunucu, "ben bilmiyorum ama şuna sor" yaklaşımıyla istemciyi bir diğer sunucuya yönlendirir. Bu farklılıklar, DNS Cache Poisoning saldırıları için kritik öneme sahiptir.

Veri Ömrü: TTL

Her bir DNS kaydının ne kadar süreyle önbellekte kalacağını belirten "Time to Live" (TTL) değeri, sorguların ne kadar süreyle geçerli olduğunu belirler. Düşük TTL değerleri hızlı güncellemeleri sağlarken, yüksek değerler performans artışı sağlar. Bu parametre, bir DNS kaydının yönetiminde dikkatlice belirlenmelidir.

Zone Yönetimi: SOA Kaydı

SOA (Start of Authority) kaydı, bir DNS bölgesinin idari bilgilerini içerir. Bu kayıt; DNS bölgesinin seri numarası, yenilenme aralığı ve yöneticinin e-posta adresi gibi bilgileri barındırır. Bir SOA kaydını sorgulamak için şu komutu kullanabilirsiniz:

dig SOA example.com

DNS Tabanlı Güvenlik Riskleri

DNS protokolünün çalışma mantığındaki eksiklikler, saldırganlar için geniş bir fırsat yelpazesi sunar. DNS Amplification ve DNS Tunneling gibi saldırılar, DNS verilerinin manipüle edilmesiyle gerçekleştirilir. Bu nedenle, DNS güvenliği alanında sürekli güncellenen önlemlerin alınması gerekmektedir.

Bütünlük ve Doğrulama: DNSSEC

DNSSEC (Domain Name System Security Extensions), DNS verilerinin manipüle edilmediğini ve kaynağının doğru olduğunu kriptografik imzalarla garanti eden bir güvenlik eklentisidir. DNSSEC, DNS protokolüne güven ve kimlik doğrulama ekleyerek saldırılara karşı savunma mekanizmaları geliştirir.

Sonuç olarak, DNS yönetimi ve güvenliği, sistem yöneticileri ve siber güvenlik uzmanları için kritik bir alan olup, ilgili protokoller, kayıt türleri ve uygulamalar hakkında derinlemesine bilgi sahibi olunması gerekmektedir. DNS'i anlama ve yönetme yeteneği, günümüzde siber tehditlerin etkilerini minimize etmek için hayati bir strateji haline gelmiştir.

Risk, Yorumlama ve Savunma

DNS (Domain Name System) sistemi, ağ üzerindeki alan adları ile IP adresleri arasındaki geçişi sağlayan kritik bir bileşendir. Ancak bu sistemin yapısı ve işleyişi, beraberinde çeşitli güvenlik risklerini de getirmektedir. Bu bölümde, DNS ile ilgili olası riskleri, yorumlama yöntemlerini, karşılaşılabilecek zafiyetleri ve etkili savunma mekanizmalarını ele alacağız.

DNS Güvenlik Riskleri

DNS sisteminin güvenlik açıkları genellikle aşağıdaki alanlarda kendini gösterir:

  1. Yanlış Yapılandırmalar: DNS kayıtları, genellikle insan hatalarından kaynaklı yanlış yapılandırmalara açıktır. Örneğin, bir A kaydı yanlış yapılandırıldığında veya eksik olduğunda, istemciler hedef web sitesine ulaşamayabilir veya yanlış adrese yönlendirme yapılabilir. Bu durum, siber saldırılar için bir fırsat yaratabilir.

    # Yanlış yapılandırma örneği
dig A hatali.adres.com

  2. DNS Cache Poisoning: Saldırganlar, DNS önbelleklerini manipüle ederek istemcilerin yanlış adreslere yönlendirilmesine neden olabilir. Bu tür saldırı, DNS sorgularının yanıt sürelerini ve güvenilirliğini tehdit eder.

  3. DNS Amplification: Saldırganlar, küçük sorgular kullanarak yanıt olarak büyük veri paketleri alabilir. Bu durum, hedef sistemin DDoS (Dağıtık Hizmet Engelleme) saldırılarının parçası haline gelmesine neden olabilir.

  4. DNS Tunneling: Saldırganlar, veriyi DNS sorguları ile gizleyerek güvenlik duvarlarını aşabilir. Bu tür bir yöntem, hassas bilgilerin sızdırılmasına yol açabilir.

  5. Subdomain Takeover: Kullanılmayan CNAME kayıtlarının devralınması ile sahte içerik yaymak mümkün hale gelir. Bu durum, marka imajına zarar verebilir ve kullanıcı güvenini sarsabilir.

Risklerin Yorumlanması

DNS sistemindeki bu riskler, organizasyonların siber güvenlik stratejileri açısından önemli bir yer tutar. Bir yanlış yapılandırma veya zafiyet mevcut olduğunda, sonuçları ciddi olabilir. Örneğin, DNS kayıtlarının yanlış yönlendirilmesi, kullanıcıların sahte bir web sitesine giriş yapmalarına neden olabilir. Bu tür durumlar, kişisel verilerin çalınmasına veya kötü niyetli yazılımların yüklenmesine yol açabilir.

Profesyonel Önlemler ve Güvenlik Hardening

DNS güvenliğini artırmak için aşağıdaki adımları dikkate almak gereklidir:

  1. Güçlü Yapılandırmalar: DNS kayıtlarınızın doğru yapılandırıldığından emin olun. Her kayıttan önce dikkatlice kontrol edin ve gereksiz kayıtları kaldırın.

  2. DNSSEC Kullanımı: DNSSEC (DNS Security Extensions), DNS verilerinin bütünlüğünü ve kaynağını doğrulamak için kriptografik imzalar kullanır. Bu sayede, verilerin manipülasyonunu önlemeye yardımcı olur.

    # DNSSEC sorgusu örneği
dig +dnssec www.hedef.com

  3. İzleme ve Loglama: DNS sorgularını düzenli olarak izlemek, potansiyel saldırıları önceden tespit etmenize yardımcı olabilir. Log sistemleri kurarken, doğru yapılandırma ve süreklilik önemlidir.

  4. Düşük TTL Değerleri: Kayıtların TTL (Time to Live) değerlerini dikkatli bir şekilde ayarlamak, DNS kayıtlarındaki değişikliklerin hızla yansıtılmasını sağlar. Ancak çok düşük değerlerin, performans sorunlarına yol açabileceğini unutmayın.

  5. Güvenlik Duvarı ve Filtreleme: DNS trafiğinizi izleyen güvenlik duvarları ve filtreleme mekanizmaları kullanmak, kötü niyetli DNS taleplerini engelleyerek ağınızı koruyabilir.

Sonuç

DNS, internetin temel taşlarından biri olmasının yanı sıra, birçok siber saldırının hedefi haline gelmektedir. Yanlış yapılandırmalar, zafiyetler ve kötü niyetli saldırılar, organizasyonlar için ciddi tehditler oluşturur. Ancak etkili yapılandırmalar, DNSSEC kullanımı ve düzenli izleme ile bu riskler minimize edilebilir. Siber güvenlik alanında proaktif bir yaklaşım benimsemek, uzun vadede veri güvenliğinizi artıracaktır.