CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

DNS Protokolü Analizi: Güvenlik Tehditleri ve Çözümler

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

Bu makale, DNS protokolünün analizi, kötüye kullanımı ve güvenlik tehdidi senaryoları üzerine kapsamlı bir rehber sunuyor.

DNS Protokolü Analizi: Güvenlik Tehditleri ve Çözümler

DNS protokolü analizi, siber güvenlik bağlamında büyük bir öneme sahiptir. Bu blog, DNS'in kötüye kullanım senaryolarını ve korunma yollarını detaylandırıyor.

Giriş ve Konumlandırma

DNS Protokolü ve Önemi

DNS (Domain Name System), internetin temel yapı taşlarından biri olup, alan adlarını IP adreslerine dönüştürerek kullanıcıların web sitelerine erişimini sağlar. 53 numaralı port üzerinden çalışan bu protokol, kullanıcıların istedikleri bilgilere ulaşmalarını sağlamakla kalmaz; aynı zamanda siber güvenlik açısından kritik bir hedef haline de gelmiştir. DNS, sistemlerin hiyerarşik bir yapı ile çalışmasını sağlar: istemciden başlayarak, kök sunucusu üzerinden yetkili DNS sunucularına kadar uzanan bir sorgu zinciri oluşturur.

Bu hiyerarşi, sistemler arası iletişimin sorunsuz bir şekilde gerçekleşmesini mümkün kılar. Ancak, bu durum aynı zamanda siber saldırganların DNS'in zayıf noktalarından yararlanmasına da olanak tanır. Örneğin, zararlı yazılımlar, kötü niyetli iletişimlerini gizlemek için DNS sorgularını kullanarak güvenlik çözümlerini aşmayı başarabilir. Bu nedenle, DNS protokolünün güvenlik tehditleri ve çözüm yolları üzerine derinlemesine bir analiz yapılması gerekmektedir.

Siber Güvenlik ve DNS Protokolü

Siber güvenlik bağlamında, DNS protokolü yalnızca veri iletimi için bir araç değil, aynı zamanda saldırıların gerçekleştirilmesi için de bir platformdur. Birçok saldırı türü, DNS'i hedef alarak sistemleri manipüle etmeyi amaçlar. Örneğin, DNS spoofing ile kullanıcıların sahte sitelere yönlendirilmesi, DNS amplification saldırıları ile hedef sistemlere aşırı yüklenme yapılması gibi senaryolar, güvenlik profesyonellerinin dikkate alması gereken önemli tehditlerdir.

DNS'in ele geçirilmesi, ayrıca Domain Generation Algorithm (DGA) gibi tekniklerle de mümkündür. DGA, zararlı yazılımların veya botnet'lerin, tespit edilmeden iletişim kurmak için binlerce rastgele alan adı üretmesi sürecidir. Bu tür aktivitelerin tespiti, siber güvenlik analistleri için büyük bir zorluk oluşturur. DNS sorgularının titiz bir şekilde analize tabi tutulması, kötü niyetli faaliyetlerin erken aşamalarda tespit edilmesine olanak tanır.

Teknik Hazırlık ve Analiz Süreci

DNS analizi, hem savunma hem de saldırı etkenlerinin belirlenmesi açısından kritik bir süreçtir. Bir güvenlik analisti, DNS yapılandırmaları ve kayıt türleri hakkında derin bilgiye sahip olmalıdır. Örneğin, A ve AAAA kayıtları, bir alan adına bağlı IP adreslerini tutarken, TXT kayıtları genellikle veri sızdırma amacıyla hedef alınır. Dolayısıyla, bu kayıt türlerinin düzgün bir şekilde analiz edilmesi, potansiyel tehditlerin tespit edilmesinde önem taşır.

Tshark gibi araçlar, DNS sorgularının analizi için sıklıkla kullanılır. İçinde "malicious" kelimesi geçen DNS sorgularını filtrelemek için kullanılacak komut:

tshark -Y "dns.qry.name contains malicious"

Bu komut, şüpheli DNS aktivitelerinin tespit edilmesinin yanı sıra analiz sürecinin başlangıcını da teşkil eder. Yüksek oranlarda NXDOMAIN (Domain Bulunamadı) hatası alınması, bir DGA üreten zararlı yazılımın varlığına işaret edebilir. Böyle bir durumda, ağdaki DNS aktiviteleri detaylı bir incelemeye tabi tutulmalıdır.

DNS protokolü, internetin işleyişinde kritik bir rol oynamakla birlikte, siber güvenlik tehditlerine de kapı aralar. Bu bağlamda, güvenlik uzmanlarının DNS'i ayrıntılı bir şekilde analiz etmesi, potansiyel riskleri minimize etmesi açısından elzemdir. Devam eden bölümlerde, DNS kayıtları, saldırı türleri ve analiz yöntemlerine dair derinlemesine incelemeler yaparak siber güvenlik konusundaki bilgi ve farkındalığımızı artıracağız.

Teknik Analiz ve Uygulama

DNS Portu ve Protokolü

Domain Name System (DNS), internet üzerindeki isim çözümlemesi için standart olarak UDP ve TCP portu 53'ü kullanır. Genel olarak, DNS sorguları UDP üzerinden gerçekleştirilirken, daha fazla veri gereksinimi duyulduğunda TCP kullanılır. UDP, istek ve yanıtların hızlı bir şekilde iletilmesini sağlarken, TCP ise bağlantı odaklı bir iletişim sağladığı için güvenilirlik avantajına sahiptir. DNS iletişimi sırasında, istemciden (resolver) yetkili sunucuya doğru bir dizi sorgu gerçekleştirilir. Bu süreçte ağ güvenliği açısından oluşabilecek zayıf noktaları tanımlamak kritik öneme sahiptir.

DNS Kayıt Türleri

DNS sisteminde çeşitli kayıt türleri bulunmaktadır ve her biri belirli bir amaca hizmet eder:

  • A Kaydı: Alan adlarının IPv4 adreslerini tutar. Örneğin:

    example.com. IN A 93.184.216.34

  • AAAA Kaydı: Alan adlarının IPv6 adreslerini tutar. Örneğin:

    example.com. IN AAAA 2600:3200::1

  • TXT Kaydı: Metin tabanlı veri tutar. Özellikle zararlı yazılım tespitinde kullanılan veri sızıntıları için sık hedef alınır. Örneğin:

    example.com. IN TXT "v=spf1 include:_spf.example.com ~all"

Bu kayıt türlerini incelemek, ağ yöneticilerinin DNS üzerinden gelen çeşitli saldırı türlerini anlamalarına ve savunmalarını şekillendirmelerine yardımcı olur.

DNS Tunneling

DNS tunneling, zararlı verilerin veya C2 (Command and Control) komutlarının DNS sorguları aracılığıyla gizlenmesi ve güvenlik cihazlarının bunu atlatmaya çalışması anlamına gelir. Bu yöntem, kötü niyetli aktörlerin ağ üzerinde veri sızdırması için sıklıkla kullanılır. Örneğin, bir zararlı yazılım geliştiricisi, bir DNS sorgusu içerisinde gizli bir mesaj iletebilir. DNS tunneling'i tespit etmek için DNS trafiği üzerinde dikkatli analiz yapmak gerekmektedir.

Hiyerarşik Sorgu

DNS’in hiyerarşik yapısı, istemciden yetkili sunucuya doğru bir sorgu akışını ifade eder. İstemci, öncelikle yerel DNS sunucusuna başvurur. Yerel sunucu bu talebi karşılayamazsa, kök DNS sunucusuyla iletişim kurar ve bu süreç, nihai olarak yetkili DNS sunucusuyla sonuçlanır. Bu yapıyı anlamak, DNS bazında gerçekleşebilecek potansiyel güvenlik açıklarını belirlemede önemlidir.

DGA Algoritması

Zararlı yazılımlar için kullandıkları C2 sunucularına yönelik her gün binlerce rastgele alan adı üreten teknik, Domain Generation Algorithm (DGA) olarak adlandırılır. DGA, analiz edilmesi gereken kritik bir göstergedir. Bir ağda DGA kullanıldığında, aşırı sayıda DNS sorgusu yapılması durumunda dikkat artırılmalıdır.

DNS Saldırı Türleri

DNS protokolü hedef alan birkaç tür saldırı bulunmaktadır. Bunlar arasında:

  • DNS Spoofing: Sahte IP yanıtları ile kullanıcıyı zararlı bir siteye yönlendirme.
  • Fast-Flux: Tespit edilmemek için alan adının IP adresini sürekli ve hızlı bir şekilde değiştirme.
  • DNS Amplification: Küçük DNS sorguları ile hedefe devasa boyutlarda yanıt göndererek DDoS (Dağıtık Hizmet Reddi) yapma.

Bu tür saldırıları analiz etmek, ağ yöneticilerinin gerekli önlemleri alması açısından kritik bir öneme sahiptir.

Tshark ile DNS Analizi

Tshark, ağ trafiğini analiz etmek için kullanabileceğimiz güçlü bir araçtır. DNS sorgularını incelemek için spesifik bir filtreleme uygulamak mümkündür. Örneğin, içinde "malicious" kelimesi geçen DNS sorgularını filtrelemek amacıyla şu komutu kullanabiliriz:

tshark -Y "dns.qry.name contains malicious"

Bu komut, potansiyel zarar verme olasılığı yüksek DNS sorgularını tespit etmeyi sağlar.

NXDOMAIN Anomalisi

Ağınızdaki bir makinenin kısa bir süre içinde binlerce NXDOMAIN (Domain Bulunamadı) hatası alması, o cihazda bir DGA üreten zararlı yazılım bulunduğunu gösteren güçlü bir göstergedir. NXDOMAIN hatalarını izlemek ve analiz etmek, şüpheli aktiviteleri tespit etmek için etkili bir yöntemdir.

DNS Analiz Süreci

Şüpheli DNS aktivitelerini araştırmak ve analiz yapmak, SOC (Security Operations Center) ortamlarında kritik bir görevdir. Bir analizci, DNS tünelleme aktivitelerini TXT kayıtlarından veya diğer anormal sorgulardan tespit edebilir. Analiz süreci, anomalilerin izlenmesi, DNS trafiğinin devamlı izlenmesi ve bağlantı analizi yapmayı içerir.

SOC L2 Pratiği

Bir Blue Team analisti, operasyonel DNS analizi yaparken yukarıda bahsedilen adımları izlemek durumundadır. DNS yapılandırmasının gözden geçirilmesi, kötü niyetli aktivitelerin tespit edilmesi ve savunma mekanizmalarının güçlendirilmesi amacıyla sürekli bir gözlem gereklidir. Bu tür bir analiz, ağ güvenliğini artırmak ve olası tehditleri önceden tespit etmek için esastır.

Risk, Yorumlama ve Savunma

DNS (Domain Name System) protokolü, internetin temel yapı taşlarından biridir ve yaygın olarak UDP ve TCP üzerindeki 53 numaralı portu kullanarak hizmet verir. Ancak, bu protokol belirli güvenlik tehditlerine maruz kalır; bu nedenle DNS analizinde elde edilen bulguların derinlemesine yorumlanması büyük önem taşır.

Yanlış Yapılandırma ve Zafiyet Etkileri

Yanlış yapılandırmalar, DNS protokolünün potansiyel bir tehdit kaynağı olmasına neden olabilir. Örneğin, açık DNS sunucuları, kötü niyetli kullanıcılar tarafından istismar edilebilir. Böyle bir yapılandırma, DDoS (Distributed Denial of Service) saldırılarının gerçekleştirilmesine yol açabilir. Ayrıca, DNS spoofing saldırıları, kullanıcıları sahte IP yanıtlarıyla zararlı sitelere yönlendirme riski taşır.

Sızan Veri ve Topoloji

DNS analizi sırasında elde edilen bulgular, ağ topolojisi hakkında önemli bilgiler sunabilir. Örneğin, şüpheli alan adlarına (domain) yapılan sorgular, bir siber saldırının izlerini taşıyabilir. Aşağıdaki örnek komut, Tshark aracı kullanılarak "malicious" kelimesini içeren DNS sorgularını filtrelemek için kullanılabilir:

tshark -Y "dns.qry.name contains malicious"

Bu tür sorguların analizi, sızan veri veya komut kontrol ile iletişim kuran (C2) zararlı yazılımlar hakkında önemli ipuçları verebilir.

DNS Tunneling ve Anomaliler

DNS tunneling, kötü niyetli verilerin DNS sorguları içine gizlenerek güvenlik cihazlarını atlatmasıdır. Bu saldırı türü, genellikle DGA (Domain Generation Algorithm) kullanan zararlı yazılımların habercisi olabilir. DGA, zararlı yazılımların engellenmemek için rastgele alan adları üretmesini sağlar ve ağ üzerindeki yoğun NXDOMAIN hataları bu tür bir aktivitenin güçlü göstergelerindendir.

Ağdaki bir makinenin çok kısa bir süre içinde binlerce NXDOMAIN hatası alması, cihaza yerleşmiş bir DGA üreten zararlı yazılım belirtisidir.

Bu tür anomalilerin tespiti, ağ yöneticilerinin hızlı bir şekilde karşı önlemler almasını sağlayabilir.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik zafiyetlerini minimize etmek için aşağıdaki önlemler uygulanmalıdır:

  1. DNS Sunucu Yapılandırması: DNS sunucuları düzgün bir şekilde yapılandırılmalı; açık DNS sunucularının kullanımı en aza indirgenmelidir.

  2. Trafik İzleme: Ağ üzerinden geçen DNS trafiği düzenli olarak izlenmeli ve şüpheli aktiviteler tespit edilmelidir. Bu, özellikle yüksek NXDOMAIN hata oranlarını ve anormal sorgu kalıplarını kapsar.

  3. Güçlendirilmiş Güvenlik Duvarları: DNS trafiğinin izlenmesi ve zararlı istihbaratların engellenmesi için güvenlik duvarı kuralları gözden geçirilmeli ve gerektiğinde güncellenmelidir.

  4. DNSSEC Kullanımı: DNSSEC (DNS Security Extensions) kullanarak DNS verilerinin bütünlüğü ve kimlik doğrulaması sağlanmalıdır. Bu, sahte yanıtların önüne geçilmesine yardımcı olur.

  5. Logging ve Analiz: DNS sunucularının günlükleri, düzenli aralıklarla analiz edilmelidir. Bu, geçmişteki olayların daha iyi anlaşılmasına ve gelecekteki saldırıların önlenmesine yardımcı olur.

Sonuç

DNS protokolünün analizi, güvenlik tehditlerini anlamak ve bunların etkilerini değerlendirmek için kritik öneme sahiptir. Yanlış yapılandırmalar ve zafiyetler, ağ yapısını tehdit eden unsurlar olarak karşımıza çıkabilir. DGA ve DNS tunneling gibi karmaşık tehditlere karşı alınacak önlemler, ağ güvenliğinin sağlanmasında önemli rol oynamaktadır. Etkili savunma stratejileriyle, bu tehditlerin önüne geçmek ve ağın güvenliğini artırmak mümkündür.