CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

DNS Sorgu Logları ile Anomali Tespiti: Siber Güvenlikte Kritik Adımlar

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

DNS sorgu logları siber güvenlikte değerli bir araçtır. Anomalileri tespit etmek için kullanılan bu logların analizi, saldırılara karşı en iyi savunmayı sağlar.

DNS Sorgu Logları ile Anomali Tespiti: Siber Güvenlikte Kritik Adımlar

DNS sorgu logları, siber güvenlikte kritik bir rol oynar. Bu yazımızda, DNS loglarının içeriği ve anomali tespit yöntemlerine dair önemli bilgiler paylaşacağız. Güvenliğinizi artırmak için bu bilgileri kaçırmayın.

Giriş ve Konumlandırma

İnternetin Navigasyonu: DNS

Domain Name System (DNS), internetin temel yapı taşlarından biridir. İnternetteki her cihaz, tanımlayıcı olan IP adresi yerine, akılda kalıcı alan adları ile iletişim kurar. Bu dönüşüm, DNS sayesinde gerçekleşir; karmaşık ve sayısal olan IP adresleri, kullanıcıların daha kolay hatırlayabileceği alan adlarına çevrilir. Herhangi bir web sitesine erişmek istediğimizde, arka planda mutlaka bir DNS sorgusu yapılır. Bu nedenle DNS logları, siber güvenlik alanında büyük öneme sahiptir; çünkü bir cihazın internetteki 'ayak izlerini' takip edebilmemizi sağlar.

Logun İçeriği: Kim, Neyi Sordu?

DNS logları, farklı verilerin analiz edilmesine olanak tanır. Kaliteli bir DNS logu, hangi iç IP'nin (Client), ne zaman, hangi alan adını (Query) sorduğunu ve hangi tür yanıt (Response) aldığını içermelidir. Bu bilgiler, ağ güvenliği analistlerine kritik bir bakış açısı sunar. Özellikle loglardaki "Kayıt Türü" verisi (A, AAAA, MX, TXT gibi) analistin dikkat etmesi gereken ilk detaylardır. Her bir kayıt türü, trafikteki potansiyel tehditleri ve olağandışı davranışları açıkça görünür hale getirebilir.

| İç IP Adresi | Sorgulanan Alan Adı | Yanıt Türü | Kayıt Türü | Zaman        |
|--------------|---------------------|-------------|------------|--------------|
| 192.168.1.10 | google.com          | 172.217.5.78| A          | 2023-10-01 10:00 |

Bu örnek, bir cihazın belirli bir alan adını sorguladığına dair temel bilgileri göstermektedir. Bu tür loglar, zaman içerisinde analiz edildiğinde anomali tespitinde büyük rol oynar.

Kayıt Türleri ve Riskler

DNS sorgularındaki kayıt türleri, trafiğin amacını anlamada belirleyici bir faktördür. Normal bir kullanıcının nadiren yararlandığı bazı kayıt türleri, saldırganların ağ üzerindeki davranışlarını veya potansiyel saldırılarını ortaya çıkarabilir. Örneğin, bir cihazın saniyeler içerisinde var olmayan binlerce alan adını sorguladığı durumlar, genellikle bir saldırganın ağda taramalar yaptığını veya kötü niyetli bir yazılımın komuta kontrol merkezine ulaşmaya çalıştığını gösterir.

Bu durum, loglarda sıklıkla görülen hata kodlarını da beraberinde getirir; bunlardan biri de NXDOMAIN'dir. Bu hata, sorgulanan alan adının DNS veritabanında bulunamadığını ifade eder. Eğer DNS loglarında sürekli olarak NXDOMAIN hataları görülüyorsa, bu durum bir alarm zilleri olarak değerlendirilmelidir.

Hata Kodları: NXDOMAIN Alarmı

NXDOMAIN hatası, ağ analistlerinin önemli bir gözlem noktasıdır. Eğer loglarda bu tür hatalar belirgin bir biçimde artıyorsa, durum analistler için potansiyel bir tehdit algısını yaratabilir. Saldırganlar, DNS üzerinden tarama yaparken ya da yanlış bir adres yazıldığında yüksek miktarda NXDOMAIN hatası oluştururlar. Bu gibi durumlar, ağda anormal bir etkinlik olduğunu işaret eder ve daha derin bir analiz gerektirir.

Veri Sızdırma: DNS Tunneling

DNS Tunneling, zararlı yazılımların veya saldırganların bilgileri sızdırmak için kullandıkları bir tekniktir. Bu yöntemde, sızdırılacak veri küçük parçalara ayrılarak alt alan adı (subdomain) olarak DNS sorgusunun içerisine gömülür. Örneğin, "gizli-veri-parcasi-1.saldırgan.com" gibi bir yapı, loglarda görülebilir ve bu durum dikkatli bir analiz gerektirir.

Ağ güvenliği analistlerinin, loglarında bu tür anomali veya garip davranışları tespit edebilmeleri için DNS loglarını düzenli ve detaylı bir şekilde incelemeleri gerekmektedir.

Algoritmik Tehdit: DGA

Domain Generation Algorithm (DGA), zararlı yazılımların engellenmemek için her gün yeni ve rastgele alan adları üretmesine olanak tanır. DNS loglarında örneğin "adjkas8912.top" veya "qwe90123.xyz" gibi garip isimlerin tek bir cihazdan çıkması, bu saldırının kesin bir kanıtıdır. Bu tür domain'lerin geçirilmesi, siber güvenlik alanında proaktif önlemler almayı ve bu tehditleri önceden tespit etmeyi gerektirir.

Sonuç olarak, DNS logları, kurumların hangi dış kaynaklarla iletişim kurduğunu anlamak için en hızlı ve etkili kaynaktır. Bu sebepten ötürü, siber güvenlik uzmanları için kritik bir analiz aracı oluşturur ve güvenlik ihlallerinin erken aşamalarda tespit edilmesine olanak tanır. Anomali tespit sürecine dair daha derinlemesine bilgi ve yöntemlerin ele alınması, bu blogun ilerleyen bölümlerinde sağlanacaktır.

Teknik Analiz ve Uygulama

İnternetin Navigasyonu: DNS

Domain Name System (DNS), kullanıcıların anladığı şekilde alan adlarını (örneğin, "google.com") IP adreslerine çeviren kritik bir sistemdir. İnternetteki her cihaz, bir web sayfasına erişmeden önce mutlaka bir DNS sorgusu gerçekleştirir. Bu nedenle, DNS logları, bir cihazın internetteki etkinliklerini izlemek için en önemli kaynaklardan biri olarak değerlendirilir. DNS sorgu logları, hangi iç IP'nin ne zaman hangi alan adını sorguladığı ve hangi tür yanıt aldığı gibi bilgileri içerir. Bu veriler, siber güvenlik analistleri için anomali tespiti sürecinde hayati öneme sahiptir.

Logun İçeriği: Kim, Neyi Sordu?

DNS logu, birkaç önemli bileşenden oluşur. Bu bileşenler:

  1. Sorgulanan Alan Adı (Query): Kullanıcının erişmek istediği alan adı.
  2. İç IP Adresi (Client): Sorguyu gönderen cihazın IP adresi.
  3. Yanıt Türü (Response): DNS sunucusunun verdiği yanıt. Örneğin, sorgulanan alan adı mevcutsa bir IP adresi döner; eğer mevcut değilse NXDOMAIN hatası alınır.
  4. Kayıt Türü (Record Type): Sorgunun A, AAAA, MX veya TXT gibi hangi tür kayıtları içerdiğini belirtir.

Örneğin, bir DNS sorgusu şu şekilde olabilir:

10.0.0.1 2023-09-15 10:00:00 google.com A

Bu log girişinde, 10.0.0.1 IP adresine sahip bir cihaz, 15 Eylül 2023'te saat 10:00'da "google.com" alan adını sorgulamış ve yanıt olarak A kaydı almıştır.

Kayıt Türleri ve Riskler

DNS sorgularında kullanılan çeşitli kayıt türleri, trafiğin amacını belirlemekte kritik bir rol oynar. Örneğin:

  • A/AAAA: IP adresine karşılık gelen alan adları. En yaygın kullanım şeklidir.
  • MX: E-posta sunucusuna yönlendirme yapar. Sıklıkla spam botları tarafından kötüye kullanılabilir.
  • TXT: Metin verisi taşır ve genellikle DNS tunneling veya veri sızdırma amacıyla kullanılır.

Eğer bir cihaz, saniyeler içinde birçok var olmayan alan adını sorguluyorsa, bu durum siber tehditlerin bir göstergesi olabilir. Hızlı bir sorgu arasındaki anormallikler, incelemek için kritik fırsatlar sunar.

Hata Kodları: NXDOMAIN Alarmı

NXDOMAIN (Non-Existent Domain) hatası, sorgulanan alan adının bulunamadığını gösterir. Eğer DNS loglarında belirli bir IP adresinden çok sayıda NXDOMAIN hatası gözlemleniyorsa, bu durum ya bir saldırganın hedef alınmış bir cihazı taradığını ya da zararlı yazılımların komut kontrol merkezine ulaşmak için rastgele isimler sorguladığını gösterebilir. Bu tür aktiviteler, ciddi bir olayın habercisi olabilir.

Veri Sızdırma: DNS Tunneling

DNS tunneling, zararlı verilerin gizli bir şekilde sızdırılmasını sağlayan bir tekniktir. Bu yöntemde, gizlenmek istenen veri küçük parçalara bölünerek alt alan adı (subdomain) içerisinde DNS sorgusu olarak gönderilir. Örnek bir DNS tunneling sorgusu aşağıdaki gibi olabilir:

gizli-veri-parcasi-1.saldırgan.com

Bu sorguda, "gizli-veri-parcasi-1" kısmı veri parçasını taşırken, "saldırgan.com" ise zararlı bir alan adıdır. Loglarda böyle bir anomalinin tespit edilmesi, veri sızdırma girişimlerini erkenden önlemek için önemli bir adımdır.

Algoritmik Tehdit: DGA

Domain Generation Algorithm (DGA), zararlı yazılımların, engellenmemek için her gün rastgele alan adları üretmesini sağlayan bir tekniktir. DNS loglarında "adjkas8912.top" veya "qwe90123.xyz" gibi garip ve özensiz alan adlarının sorgulanması, bu tür bir saldırının varlığına işaret edebilir. Normal kullanıcıların erişim yapmayacağı bu tür alan adları, derhal araştırma ve analiz için öncelikli olmalıdır.

Özet: Analistin DNS Kontrol Listesi

DNS logları, bir organizasyonun kimlerle iletişim kurduğunu anlamak adına en hızlı ve etkili kaynaklardan biridir. Anomali tespiti için analiz yaparken dikkat edilmesi gereken başlıca noktalar:

  • Sorgulanan alan adı ve kayıt türü
  • Sıkça tekrarlanan NXDOMAIN hataları
  • Yüksek sorgu hızı (10 kat daha fazla sorgu)
  • Şüpheli TLD'lere (örneğin, .top, .xyz, .tk) yönelik trafik

Bu logların derinlemesine analizi, siber güvenlik tehditlerinin önlenmesi ve etkin müdahale yöntemlerinin uygulanması açısından kritik bir rol oynar. DNS sorgu logları, bir organizasyonun siber güvenlik savunmasının temel taşlarından biri haline gelmiştir.

Risk, Yorumlama ve Savunma

Risk Analizi ve Yorumlama

DNS sorgu loglarının analizi, bir siber güvenlik uzmanının elindeki en kritik araçlardan biridir. Bu loglar, ağ trafiği hakkında önemli bilgiler sunarak, potansiyel tehditleri ve anomali durumlarını saptamada büyük rol oynar. Örneğin, bir cihazın anormal bir şekilde yüksek sayıda DNS sorgusu yapması, zararlı yazılım aktivitelerinin veya saldırıların habercisi olabilir. Bunun yanında, loglarda görülen bireysel kayıt türleri de inceleme yapılması gereken alanlar arasında yer alır.

Anomali Tespiti

DNS sorgu loglarında anomali tespiti yapmak için öncelikle normal kullanım davranışlarını bilmek önemlidir. Bir cihazın normal koşullarda günde 10 kez DNS sorgusu yapıyor olduğunu varsayalım. Eğer bu sayı birdenbire 1000'e çıkarsa, bu durum anlamlı bir uyarı işareti olarak değerlendirilebilir. Aşağıda, analiz edilmesi gereken bazı temel unsurlar yer almaktadır:

  • Sorgulanan Alan Adı ve Kayıt Türü: Örneğin, saldırgan.com gibi şüpheli alan adlarına ait sorguların loglarda tespit edilmesi, kötü niyetli aktivitelerin varlığını işaret edebilir.
IP: 192.168.1.10, Sorgu: saldırgan.com, Kayıt Türü: A, Yanıt: NXDOMAIN
  • Kayıt Türleri: A ve AAAA gibi standart sorgulamalar dışında, TXT gibi daha az yaygın olanların tespit edilmesi dikkat edilmesi gereken başka bir noktadır. TXT kayıtları, veri sızdırma amacıyla kullanılabileceği için şüpheli görülmelidir.

Yanlış Yapılandırma ve Zafiyetler

Genellikle, DNS yapılandırmalarının yanlış olmaması gerekmektedir; aksi halde güvenlik açıkları oluşabilir. Örneğin, DNS Tunneling tekniği ile verilerin kötü niyetli bir şekilde sızdırılması, bir DNS logu üzerinden izlenebilir. Şöyle bir log girişi incelendiğinde:

Sorgu: gizli-veri-parcasi-1.saldırgan.com

Bu tür bir sorgu, hem DNS Tunneling'in varlığına işaret edebilir hem de sistemin yanlış yapılandırılması durumunda oluşabilecek zafiyetlere örnek teşkil eder. Eğer bir ağda farklı cihazların bu tür sorguları sıklıkla yapıyorsa, bu durum alarm oluşturmalıdır.

Etki Analizi

Sızan verinin türü ve kaynağı, saldırının boyutunu anlamada yardımcı olur. Örneğin, saldırganın bir e-posta sunucusunu hedef alması durumunda, loglarda şu tür veriler gözlemlenebilir:

IP: 192.168.1.15, Sorgu: kötüsite.com, Kayıt Türü: MX

E-posta sunucuları üzerinden gelen bu tür anormal talepler, daha fazla analiz yapılmasını gerektirir. Özellikle spam botları tarafından kullanılan bu tür alan adı sorguları, zararlı yazılımların varlığına dair ipuçları verir.

Savunma Önlemleri

Alınacak savunma önlemleri, yapılan risk değerlendirmesine göre şekillenmelidir. İşte bazı önemli hardening önerileri:

  1. DNS Filtreleme: Potansiyel olarak zararlı alan adlarını engellemek için DNS filtreleme mekanizmalarının uygulanması önerilir. Bu sayede, bilinen kötü niyetli kaynaklardan gelen talepler anında bloke edilebilir.

  2. Log Yönetimi: DNS loglarının düzenli olarak incelenmesi ve güvenlik analizi için uygun araçların kullanılması. Logların merkezi bir sistemde toplanması, geçmişe dönük sorguların daha kolay analiz edilmesini sağlar.

  3. Güvenlik Eğitimleri: Kullanıcıların DNS sorgulanması ve bu süreçte yaşanabilecek anomali durumlarına ilişkin eğitilmeleri. Bu, kullanıcıların bilinçlenmesine ve herhangi bir şey olduğunda hızlı hareket etmelerine yardımcı olur.

Sonuç

DNS sorgu loglarının analizi, kurumların ağ güvenliğini sağlamak için kritik öneme sahiptir. Anormal aktiviteler, yanlış yapılandırmalar ve potansiyel zafiyetler, doğru yöntemlerle tespit edilip minimize edilmelidir. Alınacak önlemler ve sürekli bir izleme, saldırılara karşı etkin savunma sağlamak için gereklidir. Bu bağlamda, siber güvenlik uzmanlarının DNS loglarını dikkatlice değerlendirmesi ve olası risklere karşı önlemler alması hayati önemdedir.