CyberFlow Logo CyberFlow BLOG
Dns Pentest

DNS Spoofing ve DNS Hijacking: Temel Teknikler ve Korunma Yöntemleri

✍️ Ahmet BİRKAN 📂 Dns Pentest

DNS Spoofing ve DNS Hijacking analizi, ağ güvenliğini sağlamada kritik öneme sahiptir. Bu blogda bu saldırı tekniklerini detaylı bir şekilde ele alıyoruz.

DNS Spoofing ve DNS Hijacking: Temel Teknikler ve Korunma Yöntemleri

Bu yazıda DNS Spoofing ve DNS Hijacking tekniklerini analiz ediyoruz. Etkili savunma stratejileri ve kullanılan araçlar hakkında bilgi sahibi olun. Siber güvenliği artırmak için önemli ipuçlarını öğrenin.

Giriş ve Konumlandırma

DNS Spoofing ve DNS Hijacking: Temel Teknikler ve Korunma Yöntemleri

Giriş

Günümüzde internetin yaygınlaşması ve dijitalleşmenin artmasıyla birlikte siber güvenlik tehditleri de önemli bir boyut kazanmıştır. Bu tehditlerden iki tanesi olan DNS Spoofing ve DNS Hijacking, siber saldırganlar tarafından sıklıkla kullanılan yöntemlerdir. Bu tekniklerin derinlemesine anlaşılması, hem bireysel kullanıcıların hem de kurumların siber güvenlik seviyelerini artırmak için kritik öneme sahiptir.

DNS (Domain Name System), internetin telefon rehberi gibi çalışarak kullanıcıların alan adlarını IP adreslerine dönüştürmesine yardımcı olur. Ancak, bu sistemin zayıf noktaları bulunmakta ve siber saldırganlar bu zayıflıkları hedef alarak DNS sorgularını manipüle edebilmektedir. DNS Spoofing, bir saldırganın hedef cihazın DNS sorgusuna yanlış bir yanıt göndererek kurbanın istenmeyen bir IP adresine yönlendirilmesi işlemidir. Diğer yandan, DNS Hijacking, saldırganların belirli DNS sunucularının ayarlarını değiştirmesiyle, kullanıcıların belirttiği adreslerin yanlış yönlendirilmesini sağlar.

Bu yöntemlerin her biri, siber güvenlik açısından ciddi riskler barındırır. Siber korsanlar, bu teknikleri kullanarak hassas bilgilere erişebilir, kullanıcıların kimlik bilgilerini çalabilir veya kötü niyetli içeriklere yönlendirebilir. Bu tür saldırılar, hem bireysel kullanıcılar hem de kurumsal yapı için büyük tehditler oluşturur. Kapsamlı bir güvenlik önlemi almak, bu tür manipülasyonları önlemek ve profesyonel bir siber güvenlik duruşu geliştirmek hayati önem taşımaktadır.

Teknolojik ve Stratejik Bağlam

DNS Spoofing ve DNS Hijacking, siber güvenlik alanında önemli bir yere sahip olan penetrasyon testleri (pentest) açısından da kritik rol oynamaktadır. Bir sızma testi sırasında, kurumların ağ güvenliğindeki zayıflıkların tespit edilmesi, bu tür saldırı tekniklerinin anlaşılmasıyla daha etkin hale gelmektedir. Örneğin, bir kuruma ait DNS sunucusunun düzgün bir şekilde yapılandırılmadığı tespit edilirse, bu durum saldırganlar için bir açık kapı anlamına gelir.

Saldırılar genelde sistemin yerel bileşenleri tarafından gerçekleştirilebilir. Örneğin, bir saldırgan, yerel ağda ARP Spoofing tekniği kullanarak cihazların trafikten habersiz bir şekilde geçiş yapmalarını sağlar. Bu tür tekniklerin uygulanması, siber güvenlik uzmanlarının, olası giriş yollarını ve savunma stratejilerini belirlemeleri açısından önem taşımaktadır.

Ayrıca, DNS sisteminin şifrelenmesiyle, kullanıcıların DNS sorgularının güvenliğini artırmak mümkündür. DNS over HTTPS (DoH) gibi modern güvenlik protokolleri, ağdan bağımsız bir şekilde DNS sorgularının güvenliğini sağlar ve yerel ağdaki DNS Spoofing veya dinleme (sniffing) saldırılarını büyük ölçüde imkansız hale getirir. Bu konular, hem teknik yeterliliği artırmak hem de güncel savunma stratejilerini anlamak için kritik öneme sahiptir.

Hazırlık ve Eğitim

Bu blog serisi boyunca, DNS Spoofing ve DNS Hijacking tekniği ile ilgili temel kavramlardan başlayarak, çeşitli tekniklere, savunma stratejilerine ve etkin durum tespiti metotlarına kadar geniş bir perspektif sunmayı hedeflemekteyiz. Kullanıcıları bu konularda bilinçlendirmek, siber güvenlik ortamında daha sağlam kalmalarına yardımcı olacak ve bu tür saldırılara karşı daha dirençli hale getirecektir.

Özellikle, DNS manipülasyonlarının nasıl yapıldığını anlamak, bu tür saldırıların nasıl önlenebileceği konusunu da beraberinde getirmektedir. Teknik içeriğimizin detaylarına ve koruma yöntemlerine geçmeden önce, DNS sistemi ve saldırı tekniklerinin derinlemesine incelenmesi büyük önem taşımaktadır. Bu anlamda, okuyucuların temel bilgi sahibi olmaları, siber güvenlik alanında daha kapsamlı stratejiler geliştirebilmeleri için kritik bir zemin oluşturacaktır.

Teknik Analiz ve Uygulama

DNS Spoofing: MITM Dinamiği

DNS Spoofing, Man-in-the-Middle (MITM) saldırıları kapsamında önemli bir yere sahiptir. Bu tür saldırılarda, kurbanın DNS sorgularına sahte yanıtlar gönderilerek trafiğin yönlendirilmesi sağlanır. Genellikle, yerel ağdaki ARP Spoofing ile birleştirilerek gerçekleştirilen bu teknik, saldırganın ağ üzerindeki cihazlardan gelen istekleri manipüle etmesine olanak tanır.

Saldırı Vektörleri

Saldırganların kullanabileceği temel vektörler arasında ARP Spoofing, DNS Hijacking ve Malware Hijacking yer almaktadır.

  1. ARP Spoofing: Bu yöntemle, saldırgan yerel ağa sahte ARP yanıtları göndererek kurbanın cihazlarının trafiğini kendi cihazına yönlendirir.
  2. DNS Hijacking: Saldırgan, hedefin DNS sunucularını değiştirerek bilgisayarları yanlış IP adreslerine yönlendirebilir.
  3. Malware Hijacking: Zararlı yazılımlar, genellikle bilgisayarlara sızarak sistemin DNS ayarlarını değiştiren araçlardır.

Bu saldırılara karşı geliştirilmiş tekniklerin başında, DNS sorgularının doğru bir şekilde yönetilmesi ve güvenliği artırmak için çeşitli bileşenlerin kullanılması gelir.

Yerel Yönlendirme: Hosts Dosyası

Çok sayıda işletim sistemi, DNS sorgusunu gerçekleştirmeden önce yerel bir "hosts" dosyası kontrol eder. Bu dosyada belirli bir alan adı ve IP adresi çifti bulunuyorsa, sistem bu satıra göre yönlendirme yapar. Bu özellik, saldırganlar tarafından suistimal edilebilir.

Örneğin, hosts dosyasına eklenen sahte bir girdi ile aşağıdaki gibi bir yönlendirme gerçekleştirilebilir:

127.0.0.1    example.com

Bu satır, example.com adresine yapılan tüm talepleri, yerel makinedeki IP'ye yönlendirecektir.

Bettercap ile Otomatik Spoofing

Modern sızma testi araçları, DNS Spoofing operasyonlarının gerçekleştirilmesi için kullanıcı dostu ve otomatik modüller sunmaktadır. Örneğin, Bettercap aracı, güncel protokollerle uyumlu bir şekilde etkili bir şekilde DNS Spoofing gerçekleştirebilir.

Bettercap üzerinde DNS spoofing modülünü aktif etmek için:

set dns.spoof.all true
dns.spoof on

Bu komutlar, DNS sorgularının tümünü sahte yanıtlarla değiştirecek şekilde yapılandırır.

DNS Hijacking Teknikleri

DNS Hijacking, kullanıcıların DNS ayarlarını manipüle ederek yapılmakta olup, çeşitli biçimlerde uygulanabilir. Bu teknikler arasında:

  • Local Hijacking: Kullanıcı cihazındaki hosts dosyasını değiştirerek yönlendirme yapma.
  • Router Hijacking: Modem/router ayarlarını ele geçirip, DNS sunucu adreslerini saldırganın IP'siyle değiştirme.
  • Registrar Hijacking: Alan adı kayıt kuruluşundaki hesabı çalarak DNS kayıtlarını değiştirme.

Bu yöntemlerin her biri, kullanıcının güvenliğini ciddi şekilde tehdit eden etkilere yol açabilir.

Tespit Gücü: Checksum

DNS Spoofing sırasında paketlerin bütünlüğünü doğrulamak için kullanılan matematiksel değer “checksum” olarak adlandırılmaktadır. Eğer paket içeriği değişirse, checksum değeri de değişecektir. Bu yüzden, paketlerin bozuk olduğunu tespit etmek önemli bir stratejidir.

Aşağıda Scapy ile sahte bir DNS yanıt paketi oluşturma örneği gösterilmektedir:

from scapy.all import *

# Sahte DNS yanıtı oluşturma
dns_response = DNS(rrname='example.com', rrtype='A', rdata='192.0.2.1', qr=1, aa=1, ra=1)

# Paketi oluştur
packet = IP(dst='192.0.2.100') / UDP(sport=53, dport=12345) / dns_response

# Gönder
send(packet)

Yukarıdaki kod, example.com alan adını sahte bir IP adresine yönlendiren bir DNS yanıt paketi oluşturur.

Scapy ile Manuel Paket Üretimi

Scapy, ağ paketlerini oluşturma ve analiz etme alanında oldukça esnek bir araçtır. DNS yanıt paketleri üretmek için kullanılabilir. Örnek olarak, DNS sorgularına sahte yanıtlar oluşturmak için Scapy kullanılabilir.

from scapy.all import *

def create_dns_spoof_response(target_ip, target_domain, fake_ip):
    dns_response = DNS(rrname=target_domain, rrtype='A', rdata=fake_ip, qr=1, aa=1, ra=1)
    packet = IP(dst=target_ip) / UDP(dport=53) / dns_response
    return packet

Bu gibi fonksiyonlar ile doğru parametreler verildiğinde, sahte DNS yanıtları oluşturmak ve hedefe göndermek mümkün hale gelir.

Spoofing vs Hijacking: Karşılaştırma

DNS Spoofing ve DNS Hijacking arasındaki temel fark, etki süreleridir. Spoofing genellikle geçici bir etkiye sahiptir, yani saldırgan ağdan ayrıldığında etkisini kaybeder. Ancak Hijacking, yapılan değişikliklerin geri alınmasına kadar devam eder. Bu yüzden, her iki yöntemin de ayrı ayrı analiz edilmesi gerekmektedir.

Şifreli Çözüm: DoH

DNS over HTTPS (DoH), DNS sorgularını HTTPS protokolü üzerinden şifreleyerek gönderir. Bu sayede, yerel ağdaki saldırılara karşı önemli bir zırh oluşturur. DoH teknolojisi kullanıldığında, saldırganların DNS sorguları üzerinde kontrol sağlaması neredeyse imkansız hale gelir.

DNS Hijacking Kontrolü: Nmap

Nmap, ağ üzerindeki DNS kayıtlarının durumunu kontrol etmek için kullanılabilir. Özellikle dns-brute betiği, bir domainin mevcut DNS kayıtlarının doğru şekilde yönlendirilip yönlendirilmediğini kontrol edebilir. Nmap ile bu kontrolü gerçekleştirmek için:

nmap -p 53 --script dns-brute target.com

Yukarıdaki komut ile belirtilen domain üzerinde kaba kuvvet DNS taraması yapılarak olası bir hijacking durumu tespit edilebilir.

Savunma ve Hardening

DNS saldırılarına karşı en etkili yöntemlerden biri çok katmanlı savunma stratejisini benimsemektir. Bu önlemler arasında kullanıcıların hangi DNS sunucularına güveneceğini belirleyen güncel kurumsal politikalar, DNSSEC kullanımı ve dinamik ARP kontrolleri bulunmaktadır.

Nihai Güvenlik Standardı

Son olarak, DNS over TLS (DoT) gibi güncel güvenlik standartları da kullanılmalıdır. Bu standartlar, DNS sorgularının güvenli bir şekilde iletilmesini sağlayarak, kimlik avı ve diğer saldırı türlerine karşı daha yüksek bir güvenlik seviyesi sunar.

DNS güvenliğini artırmak üzere kullanıcı eğitimleri ve bilinçlendirme çalışmaları da kritik bir rol oynamaktadır.

Risk, Yorumlama ve Savunma

DNS spoofing ve DNS hijacking, ağ güvenliği açısından kritik tehditlerdir. Bu bölümde, bu tehditlerin potansiyel riskleri, yorumlanmaları ve bunlardan korunma yöntemleri ele alınacaktır.

Risk Değerlendirmesi

DNS spoofing, kurbanın DNS sorgularına sahte yanıtlar dönerek bilgi akışını kontrol etme yöntemidir. Bu durumda, saldırganın elde ettiği bilgiler arasında kullanıcı kimlik bilgileri, kişisel veriler ve finansal bilgiler bulunabilir. Özellikle yerel ağ ortamlarında ARP spoofing ile birleştiğinde, bu saldırılar çok daha etkili hale gelir.

DNS hijacking ise, DNS sunucu ayarlarını değiştirerek kurbanın yönlendirilmesini sağlamayı hedefler. Bu saldırılarda özellikle registrar hijacking ve router hijacking gibi teknikler sıkça kullanılır. Örneğin, bir saldırganın bir modem veya yönlendirici üzerindeki ayarları değiştirmesi, kullanıcıları sahte web sitelerine yönlendirebilir.

Yorumlama

Saldırılardan kaynaklanan risklerin doğru bir şekilde yorumlanması, korunma yöntemlerinin geliştirilmesinde kritik rol oynar. Eğer bir ağda DNS spoofing tespit edilirse, bu genellikle yerel bir ağda gerçekleştirilen bir saldırının göstergesidir. Sahte DNS yanıtları almak, kullanıcıların zararlı sitelere yönlendirilmesine ve dolayısıyla veri kaybına neden olabilir.

Bağlantı yönlendirmeleri değiştiğinde, malware hijacking gibi daha kalıcı tehditler ortaya çıkabilir. Bu tür saldırılar, kullanıcıların cihazlarına zararlı yazılımlar yerleştirerek sistemi tamamen kontrol altına alma potansiyeline sahiptir. Ayrıca, domain shadowing gibi karmaşık teknikler, bir domainin reputasyonunu olumsuz etkileyerek markaların itibarını zedeleyebilir.

Savunma Yöntemleri

DNS spoofing ve hijacking tehditlerine karşı alınabilecek önlemler:

  1. DNSSEC Kullanımı: DNS yanıtlarının doğruluğunu sağlamak için DNSSEC (Domain Name System Security Extensions) kullanılmalıdır. Bu teknoloji, yanıtların değiştirilmediğini kriptografik olarak doğrular.

  2. Static ARP Kullanımı: Yerel ağ üzerindeki ARP spoofing'i durdurmak için statik ARP girişleri kullanılabilir. Bu, sahte dosyaların manipülasyonunu engelleyerek ağ güvenliğini artırır.

  3. Düzenli Ağa Kontrolü: Nmap gibi araçlar kullanılarak ağdaki DNS ayarları düzenli olarak kontrol edilmelidir. Örneğin, şu komutla bir hedefin DNS kayıtlarının kontrolü sağlanabilir:

    nmap -p 53 --script dns-brute target.com

  4. Daha Güvenli DNS Çözümleri: DNS over HTTPS (DoH) ve DNS over TLS (DoT) teknolojileri, DNS sorgularını şifreleyerek güvenliği artırmaktadır. Bu sayede yerel ağda gerçekleşen dinleme ve spoofing saldırıları önlenir.

  5. İyi Yapılandırılmış Güvenlik Duvarları: Ağ içindeki trafiği izleyen ve yönlendiren güvenlik duvarları, olumsuz aktiviteleri tespit edebilir. Güvenlik duvarlarında DNS trafiğini filtrelemek ve güncel tutmak önemlidir.

  6. Eğitim ve Farkındalık: Kullanıcıların bilinçlendirilmesi ve phishing saldırılarına karşı eğitilmesi, siber güvenlikte önemli bir adımdır. Özellikle, kimlik avı saldırılarına karşı dikkatli olunmalıdır.

Sonuç

DNS spoofing ve hijacking tehditleri, günümüzde siber güvenlik açısından önemli riskler taşımaktadır. Bu tür saldırılara karşı etkili savunma yöntemleri geliştirmek, ağ güvenliğini sağlamak adına kritik öneme sahiptir. İyi yapılandırılmış güvenlik önlemleri, bu tür tehditlerin etkisini en aza indirmeye yardımcı olur. Unutulmamalıdır ki, siber güvenlik dinamik bir alan olup, sürekli güncellemeler ve eğitimler gerektirmektedir.