CyberFlow Logo CyberFlow BLOG
Dns Pentest

MITM Üzerinden DNS Manipülasyonu: Ağ Güvenliğini Tehdit Eden Yöntemler

✍️ Ahmet BİRKAN 📂 Dns Pentest

MITM saldırıları ve DNS manipülasyonu hakkında her şey! Bu makalede saldırı yöntemleri, araçlar ve korunma stratejilerini öğrenin.

MITM Üzerinden DNS Manipülasyonu: Ağ Güvenliğini Tehdit Eden Yöntemler

Siber güvenlik alanında kritik bir konu olan MITM saldırıları ve DNS manipülasyonu üzerine kapsamlı bir inceleme: Teknik eylemler, kullanılan araçlar ve savunma yöntemleri hakkında bilgi edinin.

Giriş ve Konumlandırma

Ağ güvenliği, günümüzde siber tehditlerin giderek daha karmaşık ve yaygın hale gelmesiyle, her zamankinden daha fazla önem kazanmaktadır. Özellikle Man-in-the-Middle (MITM) saldırıları, siber güvenlik alanında dikkate alınması gereken en kritik tehditlerden biridir. MITM saldırıları, saldırganların hedef kullanıcı ve sunucu arasındaki iletişimi ele geçirerek, veri manipülasyonu veya izleme yapmalarını sağlar. Bu bağlamda, DNS (Domain Name System) manipülasyonu, siber güvenlikte önemli bir risk faktörü olarak öne çıkmaktadır.

MITM Saldırılarının Temelleri

MITM saldırıları, genellikle iki cihaz arasında gizli bir iletişim sağlamak için gerçekleştirilen tekniklerdir. Bu saldırıları yürütmek için saldırgan, kurban ile ağ geçidi arasında bir konum edinerek, iletişimi dinler ve gerekirse değiştirebilir. Dolayısıyla, DNS manipülasyonu, bu saldırıların en yaygın yöntemlerinden biri haline gelmiştir. DNS, internetin "telefon rehberi" olarak düşünülebilir; ip adreslerini alan adlarına çözümleyerek kullanıcıların internet üzerindeki varlıklarına erişmesini sağlar. Saldırganlar, DNS sorgularına sahte yanıtlar göndererek, kullanıcıları yalan veya güvenilmez web sitelerine yönlendirebilir.

Neden Önemli?

DNS manipülasyonu, hem bireysel kullanıcılar hem de kurumsal ağlar için ciddi sonuçlar doğurabilir. Kullanıcılar, sahte bir siteye yönlendirilerek kişisel bilgilerini ifşa etme ya da zararlı yazılımlar yükleme riskine maruz kalabilir. Özellikle finansal bilgiler ve kimlik bilgileri, saldırganlar tarafından kolaylıkla ele geçirilebilir. Kurumsal ağlarda ise, bu tip saldırılar hassas verilerin kaybına, itibar yönetiminde zayıflamalara ve sonuçta maddi kayıplara yol açabilir.

DNS'in doğru çalışmaması, kullanıcıların güvenli bir şekilde internete erişimini engelleyebilir ve dolayısıyla işletmelerin operasyonlarını olumsuz yönde etkileyebilir. Bu yüzden, siber güvenlik uzmanlarının ve pentesterların, DNS manipülasyonu ve özellikle MITM saldırılarına karşı etkili savunma stratejileri geliştirmesi kritik öneme sahiptir.

Teknik Çerçeve

Siber güvenlik bağlamında, DNS manipülasyonu konusunda bilgi sahibi olmak, saldırı tespit yöntemlerini ve savunma stratejilerini geliştirmek açısından önem arz eder. Saldırganların kullanabileceği çeşitli teknikler ve araçlar mevcuttur. Örneğin, ARP zehirlemesi (ARP spoofing) yöntemi ile ağ geçidi ile kurban arasındaki trafiği ele geçirilebilir. Daha sonra saldırgan, Bettercap gibi araçlar kullanarak canlı olarak DNS sorgularını ortamda izleyebilir ve yalan DNS yanıtları ile kurbanı yönlendirebilir.

DNS manipülasyonu, ayrıca HSTS (HTTP Strict Transport Security) gibi güvenlik başlıkları ile de zayıflayabilir. HSTS, tarayıcılara belirli bir web sitesine yalnızca HTTPS üzerinden erişim sağlamalarını emrederek, saldırganların HTTP isteklerini manipüle etmesini engeller. Ancak, saldırganlar HSTS kontrolünü aşmak için farklı teknikler geliştirebilmekte ve bu nedenle güvenlik analistlerinin dikkatli olması gerekmektedir.

Okuyucuya Hazırlık

Bu yazıda, MITM üzerinden DNS manipülasyonuna dair temel kavramlar, saldırı teknikleri ve korunma yöntemleri detaylı bir şekilde ele alınacaktır. Her bir başlık altında kullanılan araçlar, yöntemler ve olası savunma stratejileri üzerinde durulacak. Okuyucular, bu içerik ile birlikte siber güvenlik konusundaki teknik bilgilerini derinleştirecek ve gerçek dünya uygulamaları hakkında daha fazla bilgi sahibi olacaklardır.

Konuya dair temel anlayışın oluşturulması, siber güvenlik profesyonellerinin, organizasyonların karşılaşabileceği bu tür tehditlere karşı hazırlıklı olmalarını sağlayacaktır. O halde, siber güvenlikte kritik öneme sahip olan bu konuda detaylı bir incelemeye geçelim.

Teknik Analiz ve Uygulama

Saldırı Zemini: Trafiği Ele Geçirme

MITM (Man-in-the-Middle) saldırısı, ağ trafiğini izleyip değiştirmek için yapılan bir tür siber saldırıdır. DNS manipülasyonu bu bağlamda önemli bir yere sahiptir çünkü saldırgan, kurbanın DNS sorgularını ele geçirerek onu sahte sitelere yönlendirebilir. Saldırının ilk adımı, ağ üzerindeki trafiği ele geçirmektir. Yerel ağlarda bu genellikle ARP (Address Resolution Protocol) zehirlemesi ile gerçekleştirilir. ARP tablosunu manipüle ederek, saldırgan kendisini ağ geçidi (gateway) gibi gösterir ve bu sayede trafiği kontrol altında tutar.

# ARP zehirlemesi için kullanılan basit bir örnek komut
sudo arpspoof -i <interface> -t <target_ip> -r <gateway_ip>

Bu komut, belirtilen arayüzdeki hedef IP'ye ve ağ geçidine yönelik ARP spoofing işlemi yapar.

MITM Araç Seti

MITM saldırıları için çeşitli araçlar mevcut olup, bu araçlar trafiği izlemek ve değiştirmek için büyük kolaylık sağlar. En kapsamlı ve modern araçlardan biri Bettercap’tır. Eyi arayüzü, MITM operasyonlarını kolayca yürütmenizi sağlar. Diğer popüler araçlar arasında Ettercap ve Mitmdump bulunur. Ettercap, grafik arayüz desteği ile birlikte gelirken, Mitmdump daha fazla otomasyon ve komut satırı kontrolleri sağlar.

Bettercap Kurulumu ve Kullanımı

Bettercap’i kurmak oldukça basittir. Aşağıdaki komutları kullanarak yükleyebilirsiniz:

# Bettercap'i yüklemek için
sudo apt-get install bettercap

Kurulumdan sonra, hedefin DNS sorgularını izlemek için aşağıdaki komut setini uygulayabilirsiniz:

sudo bettercap -I <interface> --proxy --dns

Bu komut, ağ trafiğinin yönlendirilmesini ve DNS sorgularının izlenmesini sağlar.

Teknik Eylem: Sniffing

Sniffing, ağ üzerindeki veri paketlerini yakalamak ve analiz etmek için kullanılan bir tekniktir. Saldırgan, hedefin DNS isteğini koklayarak bu isteği yakalayabilir. Bettercap bu süreçte etkili bir araçtır ve DNS sorgularını izlemek için özel modüllere sahiptir.

set dns.spoof.domains target.com
set dns.spoof.address 10.0.0.5 # Şahsi IP adresiniz
dns.spoof on

Bu komutlar ile, belirtilen domain için sahte DNS yanıtları sunabilirsiniz.

Canlı Manipülasyon: dns.spoof

Saldırgan, DNS isteklerini manipüle ederek kurbanı sahte bir web sitesine yönlendirebilir. Bu aşamada, sahte yanıtların doğru bir şekilde iletilmesi kritik öneme sahiptir. Bettercap, DNS spoofing işlemlerini gerçekleştirmek için gereken tüm araçları içerir.

HTTP ve DNS İşbirliği

DNS manipülasyonu çoğunlukla HTTP protokolü ile birlikte çalışır. Saldırgan, kurbanın trafiğini izlerken HTTP isteklerini de yönlendirir. Bu, kurbanın sahte bir web sayfasını ziyaret etmesi durumunda potansiyel bir tehdit oluşturur.

# HTTP proxy'yi etkinleştirme
http.proxy on
set http.proxy.sslstrip true

Bu komutlar, HTTP proxy’yi etkinleştirir ve HTTPS isteklerini HTTP’ye düşürerek (downgrade) veri yakalamayı sağlar.

Güvenlik Bariyeri: HSTS

HSTS (HTTP Strict Transport Security), tarayıcının sadece HTTPS üzerinden iletişim kurmasını sağlayan bir güvenlik başlığıdır. Bu mekanizma başarılı bir DNS spoofing girişiminin önüne geçebilir. HSTS, kurbanın HTTPS kullanarak güvenli bir şekilde siteye bağlanmasını sağlar; dolayısıyla, saldırgan sahte siteye yönlendirmeyi başararak bile bu güvenlik önlemini aşmakta zorluk yaşayacaktır.

HTTPS Atlatma: SSL Strip

SSL Strip, HTTPS isteklerini HTTP’ye düşürerek şifreli verinin ele geçirilmesini kolaylaştıran bir tekniktir. Bu tür bir saldırı, HTTP isteği üzerinden sahte bir web sayfasına yönlendirme yapıldığında kullanılabilir.

Analiz ve Tespit: Wireshark

Wireshark, ağ dinleme ve analiz amacıyla kullanılan güçlü bir araçtır. MITM saldırıları sırasında, ağda anomalliklerin tespit edilmesi mümkündür. Örneğin, iki benzer IP yanıtının arka arkaya gelmesi bir saldırının belirtisi olabilir.

Ağ Geçidi: Gateway

Ağ geçidi, bir yerel ağın dış dünyaya açılan kapısıdır. MITM saldırıları genellikle bu cihaz taklit edilerek gerçekleştirilir. Saldırgan, ağ geçidi gibi davranarak tüm trafiği izleme ve manipüle etme yeteneğine sahip olabilir.

Paket Enjeksiyonu: Scapy

Paket enjeksiyonu, sahte DNS paketlerinin ağa enjekte edilmesine izin veren bir tekniktir. Python tabanlı Scapy, bu tür işlemler için oldukça esnek bir araçtır.

from scapy.all import *

# Sahte bir DNS yanıtı oluşturma
dns_response = IP(dst="target_ip")/UDP(dport=53)/DNS(qr=1, aa=1, rd=1, qd=DNSQR(qname="target.com", qtype="A"))/DNSRR(rrname="target.com", rdata="fake_ip", ttl=10)
send(dns_response)

Bu basit Python kodu, DNS yanıtını sahte bir IP ile güncelleyerek kurbanın DNS yanıtlarını manipüle eder.

Kurumsal Savunma (Hardening)

MITM üzerinden DNS manipülasyonunu önlemek için, ağ seviyesinde uygulanması gereken profesyonel önlemler almak gerekmektedir. Bu önlemler arasında HSTS, DNS over HTTPS (DoH) ve Dynamic ARP Inspection (DAI) gibi mekanizmalar bulunur.

Nihai Strateji: Defense in Depth

Siber güvenlikte, "katmanlı savunma" ilkesine dayanarak, sadece DNS değil, ağın her katmanını (fiziksel, veri, ağ, uygulama) ayrı ayrı koruma altına alma yaklaşımı benimsenmelidir. Bu strateji, bir saldırının başarısını artıracak önleyici tedbirler alınmasını sağlar.

Risk, Yorumlama ve Savunma

Risklerin Değerlendirilmesi

DNS manipülasyonuna zemin hazırlayan Man-in-the-Middle (MITM) saldırıları, günümüz dijital iletişiminde ciddi tehditler arasında yer almaktadır. Bu tür saldırılar, siber güvenlik açısından büyük riskler doğurabilir. Özellikle, ağ trafiğinin ele geçirilmesi ve yanlış yönlendirilmesi gibi durumlar, kullanıcıların bilinçsizce sahte web sitelerine yönlendirilmesine sebep olabilir. Öncelikle, bu tür saldırıların nasıl gerçekleştiğini incelemek açısından, riskler ve bunların olası etkileri dikkatle değerlendirilmelidir.

Saldırı Zemininde Beliren Riskler

Bir MITM saldırısının gerçekleştirilmesi, genellikle kurban ile ağ geçidi (gateway) arasına girilerek, yani ARP tablolarının zehirlenmesiyle veya trafik dinleyicilerin (sniffer) etkinleştirilmesiyle başlar. Bu durumda, saldırgan, temel ağ bileşenlerini manipüle ederek kullanıcıların DNS sorgularına sahte yanıtlar iletebilir. Bu durum, kullanıcıların gerçek web sitelerinin yanı sıra sahte sitelere yönlendirilmesine yol açarak kişisel bilgilerinin çalınmasına neden olabilir.

# Scapy ile sahte DN yanıtı oluşturma örneği
from scapy.all import *

# DNS yanıtı oluşturma
fake_response = DNSQR(
    qname='target.com',  # Saldırganın yönlendireceği domain
    qtype='A'
)
packet = IP(dst='kurban_ip') / UDP(sport=53, dport=RandShort()) / DNS(
    id=RandShort(),
    qr=1,
    qd=fake_response,
    an=DNSRR(rrname='target.com', rdata='sahte_ip', ttl=10)  # Sahte IP
)
send(packet)

Yukarıdaki kodda, Scapy kütüphanesi kullanılarak sahte bir DNS yanıtı oluşturan bir örnek bulunmaktadır. Bu tür basit bir manipulasyon, mevcut bir güvenlik açığı varsa ciddi sonuçlar doğurabilir. Özellikle, kurumsal iletişimde kullanılan kritik sistemlerde veri güvenliği tehlikeye girebilir.

Yanlış Yapılandırmalar ve Zayıflıklar

MITM saldırılarının etkisini artıran en önemli unsurlardan biri, ağ yapılandırmalarındaki zayıflıklardır. Özellikle HSTS (HTTP Strict Transport Security) gibi güvenlik önlemlerinin devre dışı bırakıldığı durumlarda, HTTP üzerinden iletişim kuran kullanıcılar büyük risk altındadır. Bu tür durumlar, kullanıcıların HTTPS ve HTTP protokollerinin karıştığı sahte oturumlar açmasına olanak tanır. Bu da siber saldırganların kurbanların şifreli iletişimini çözmesine imkan sağlar.

Sızan Veri, Topoloji ve Servis Tespiti

Bir MITM saldırısı gerçekleştiğinde, genellikle kurban ağındaki verilerin sızması gözlemlenir. Bu tür durumlarda, kullanıcıların kimlik bilgileri, ödeme bilgileri, veya gizli veriler saldırganın eline geçebilir. Ayrıca, saldırganlar ağ üzerinde hangi hizmetlerin mevcut olduğunu belirleyerek, zayıf noktaları hedef alabilirler. Bu da bilinçli ve etkili bir güvenlik politikası oluşturmanın ne kadar önemli olduğunu ortaya koyar.

Savunma Stratejileri

Profesyonel Önlemler

Ağ güvenliğini sağlamak adına uygulanacak profesyonel güvenlik önlemleri şu şekilde sıralanabilir:

  1. Static ARP Kullanımı: Ağ geçidi IP-MAC eşleşmesini elle mühürlemek, ARP spoofing ile gerçekleşecek girişimleri engeller.

  2. DAI (Dynamic ARP Inspection): Ağınızdaki sahte ARP paketlerini engellemeye yardımcı olur.

  3. DNS over HTTPS (DoH): DNS sorgularının şifrelenmesiyle, yerel ağda okunmasını ve değiştirilmesini büyük ölçüde engeller.

  4. HSTS Uygulaması: Web sunucularının tüm HTTP trafiğini HTTPS’e yönlendirmesi, kullanıcıları sahte web sitelerinden korur.

  5. Güvenlik Duvarı ve Yerleşik Tehdit Yönetimi: Aktif olarak izleme ve tehdit tespit sistemleri kullanarak potansiyel saldırıları hızlıca belirlemek.

Nihai Strateji: Defense in Depth

Siber güvenlikte "Defense in Depth" yaklaşımı, ağın her bir katmanını (fiziksel, veri, ağ, uygulama) ayrı ayrı koruma altına almayı hedefler. Bu yöntem, tek bir güvenlik önlemiyle hedef alınan zayıf noktaları azaltarak, çok katmanlı bir koruma sağlar.

Sonuç

MITM üzerinden gerçekleştirilen DNS manipülasyonları, ağ güvenliğini tehdit eden ciddi riskler taşımaktadır. Bu tür saldırılar, genellikle kullanıcıların kimlik bilgilerini çalmak ve sahte web sitelerine yönlendirmek amacıyla kullanılmaktadır. Ağ yöneticileri, zayıf yapılandırmalar ve potansiyel saldırı vektörleri üzerinde sürekli olarak incelemeler yapmalı ve yukarıda belirtilen profesyonel önlemleri uygulamalıdır. Sonuç olarak, kapsamlı bir savunma stratejisi oluşturulması, ağların sürdürülebilir güvenliğini sağlamak adına kesinlikle elzemdir.