CyberFlow Logo CyberFlow BLOG
Dns Pentest

Önbellek Zehirlenmesi: DNS Güvenliğiniz İçin Bilmeniz Gerekenler

✍️ Ahmet BİRKAN 📂 Dns Pentest

DNS önbellek zehirlenmesi, siber saldırganların yöntemlerini anlamanız için kritik bir konudur. Bu yazıda, bu tehdidi detaylıca ele alıyoruz.

Önbellek Zehirlenmesi: DNS Güvenliğiniz İçin Bilmeniz Gerekenler

DNS önbellek zehirlenmesi, saldırganların sahte yanıtlar ile DNS sunucularını hedef alarak kullanıcıları yanıltma amacı taşır. Yazımızda, bu tehditin dinamiklerine ve savunma yöntemlerine dair detaylı bir inceleme yapıyoruz.

Giriş ve Konumlandırma

Önbellek zehirlenmesi, DNS (Ağaç Düğüm Sistemi) çözümleyicilerinin yanıtları kaydettiği geçici bellek alanlarının (cache) saldırganlar tarafından istismar edildiği bir güvenlik açığıdır. Bu şekilde, yetkili DNS sunucusundan gelen yanıttan önce sahte bir kayıt, önbelleğe yerleştirilerek kullanıcıların yanlış hedeflere yönlendirilmesine neden olur. Özellikle günümüzde aktif olarak kullanılan çeşitli protokoller ve uygulamalar, bu tür bir saldırıyı gerçekleştirmeyi kolaylaştıran durumlar yaratabiliyor.

Önemi

Önbellek zehirlenmesi, siber güvenlik alanında büyük bir tehdit potansiyeline sahip. Saldırganlar, bu tür teknikleri kullanarak kurbanların trafiğini kontrol edebilir ve hassas bilgilerini ele geçirebilirler. Örneğin, bir banka web sitesinin taklit edilmesi ile kullanıcılar, gerçek site yerine saldırganın oluşturduğu sahte bir sayfaya yönlendirilebilir. Bu tür sosyal mühendislik saldırıları, kullanıcıların kişisel bilgilerini (şifreler, kredi kartı bilgileri vb.) toplamayı amaçlamaktadır. DNS güvenliği, bu tür saldırılara karşı birinci savunma hattıdır ve kötü niyetli girişimlerin önlenmesinde kritik bir rol oynamaktadır.

Siber Güvenlik Bağlamında

Siber güvenlik, genel anlamda bir sistemin, uygulamanın veya ağın kötü niyetli saldırılara karşı korunmasını hedefler. Pentest (penetrasyon testi) yapılan bir ağda, önbellek zehirlenmesi gibi zafiyetlerin tespit edilmesi, güvenlik testinin önemli bir parçasıdır. Saldırganların DNS sunucularını hedef alması, sistem yöneticilerinin siber güvenlik politikalarını gözden geçirmelerine ve güçlendirmelerine neden olur.

Bu tür bir zafiyetin varlığında, Genellikle sistem yöneticisi öncelikle sunucunun DNS kayıtlarını kontrol ederek, herhangi bir anomali olup olmadığını araştırır. Eğer bir açıklık bulursa, gerekli olan önlemleri alarak bu tür saldırıların önüne geçmeye çalışır. DNS çözümleyicileri, kullanıcı sorgularını işleyerek doğru bilgiyi sağlamakla yükümlüdür, dolayısıyla önbellek zehirlenmesi, bu sürecin güvenilirliğine büyük zarar verebilir.

Teknik İçeriğe Hazırlık

Teknik açıdan değerlendirildiğinde, önbellek zehirlenmesi iki önemli bileşenle doğrudan ilişkilidir: Transaction ID ve port numarası. DNS protokolü, gelen yanıtların doğruluğunu sağlamak için 16 bitlik bir Transaction ID kullanır. Saldırıları gerçekleştiren kişilerin bu ID'yi tahmin etmeleri gerekmektedir. Ancak, modern sistemlerde, sadece bu ID'nin tahmin edilmesi yetmemekte, aynı zamanda sorgu gönderilen portun rastgele seçilmesi gibi önlemler de alınmaktadır. Bu durum, tahmin edilmesi gereken olasılık alanını genişleterek saldırganın işini zorlaştırmaktadır.

Kod örneği ile daha anlaşılır hale getirmek gerekirse, bir DNS sunucusunun ayarlarını sorgulamak için kullanılabilecek bir Nmap komutunu aşağıda bulabilirsiniz:

nmap -sU -p 53 --script dns-recursion [Hedef_IP]

Bu komut, belirtilen hedefin DNS sunucu yapılandırmasının güvenliğini test etmek için kullanılır. Burada, DNS sunucusunun yanıt verme şekil ve durumu mercek altına alınmaktadır. Gelecek bölümlerde daha spesifik saldırı türleri ve savunma yöntemleri üzerinde durulacak, böylece okuyuculara kapsamlı bir bakış açısı sunulacaktır.

Bu makale, önbellek zehirlenmesinin temel bileşenleri ve etkileri hakkında bir anlayış kazandırarak okuyucuları, DNS güvenliğiyle ilgili daha derin bir bilgi edinmeye yönlendirmeyi hedeflemektedir.

Teknik Analiz ve Uygulama

DNS Önbellek Mantığı

DNS (Domain Name System) önbellek zehirlenmesi, bir DNS çözümleyicisinin (recursive resolver) sahte veya yanlış yanıtlar vererek kullanıcılarını kötü niyetli sitelere yönlendirmesi şeklinde tanımlanabilir. DNS çözümleyiciler, aldıkları sorguların yanıtlarını daha hızlı sunabilmek amacıyla belirli bir süre bu yanıtları hafızalarında tutarlar. Bu süreç süresince, saldırganların asıl DNS sunucusundan gelen yanıt beklenmeden çözümleyiciye sahte yanıtlar iletmeleri mümkündür.

Bu tür saldırılar, genellikle sorgu gönderim sürecini zarar vererek gerçekleştirir. Saldırgan, bir DNS sorgusu yaparak yanıtı almak için beklemeden kendi sahte yanıtını çözümleyiciye iletir. Saldırının başarıya ulaşabilmesi için saldırganın, sorgu cevabına ait olan Transaction ID (TXID) değerini tahmin etmesi gerekir. Bu nedenle, her iki taraf için, sorgu ve yanıt arasındaki bağlantıyı doğrulamak önemli bir süreçtir.

Kimlik Doğrulama: Transaction ID

DNS yanıtlarının doğruluğunu sağlamak için, DNS protokolü üzerinden сөйлendiğinde 16 bitlik bir Transaction ID değeri kullanılır. Bu ID, sorgunun ve yanıtın eşleştirilmesine olanak tanır. Ancak, bu ID'nin tahmin edilmesi, bir siber saldırgan için oldukça önemlidir. Yaklaşık olarak 65.536 tane olasılık sunan bu değer, saldırganın mevcut durumu kullanarak yanıtın doğru olup olmadığını bilmesine olanak tanır.

Saldırgan, çözümleyiciye sahte yanıtı ulaştırmak için kullanılan çeşitli yöntemleri hızlıca denemeye çalışır. Bu esnada sorgulanan port numarasının da tahmin edilmesi gerektiği unutulmamalıdır.

Saldırı Penceresi: Race Condition

Bu saldırı, belirli bir süre içerisinde yanıt almak için geçmesi gereken sürede ortaya çıkan bir yarış durumu (race condition) üzerinden gerçekleştirilir. Saldırganın amacı, yetkili sunucudan gelen gerçek yanıt daha önce ulaşmadan kendi sahte yanıtını çözümleyiciye ulaştırmaktır.

Kaminsky Saldırısı (Subdomain DNS Hijacking)

Kaminsky saldırısı, önbellek zehirlemesi açısında özellikle dikkat çekicidir. Bu saldırıda, saldırgan, var olmayan subdomain isimlerini sorgulayarak sürekli olarak sunucuyu yanıt vermeye zorlar. Örneğin, 1.hedef.com, 2.hedef.com gibi sürekli yeni sorgularla saldırı gerçekleştirilir. Bu sayede, yetkili sunucudan alınan yanıt aralığı daralır ve saldırganın sahte yanıtı geçerli bir yanıtmış gibi görünerek önbelleğe geçmesi olasılığı artar.

Modern Savunma: Port Randomization

Geçmişteki DNS sistemleri, saldırganların işini kolaylaştıran öngörülebilir Transaction ID ile birlikte sabit bir UDP portu kullanırdı. Ancak, modern DNS sistemleri, daha zor tahmin edilebilir hale gelmek için port numarasını rastgele seçme yeteneği sunar. Bu yöntem, saldırganın olasılık alanını kırk katına kadar artırabilir. Gerek Transaction ID’nin tahmin edilebilirliği, gerekse de rastgele port kullanımı, birlikte ele alındığında çözümleyiciye doğru yanıtın ulaşmasını daha güvenilir hale getirir.

Veri Ömrü: TTL

DNS kayıtlarının ne kadar süreyle önbellekte tutulacağını belirleyen Time to Live (TTL) parametresi, yine saldırganların bu sürede harekete geçmesine olanak tanır. Eğer saldırgan, TTL süresi dolmadan sahte yanıtı iletebilirse, çözümleyici yanıtı önbelleğe alarak tüm kullanıcıların o yanıtı almasına sebep olabilir. Bu nedenle, TTL sürelerinin dikkatle ayarlanması ve ihtiyaç halinde güncellenmesi gerekmektedir.

İstismar Senaryosu: Sahte Banka

Önbellek zehirlenmesi başarılı olduğunda, örneğin bir kullanıcı “banka.com” adresini sorguladığında, kullanıcı aslında saldırgan tarafından hazırlanmış bir phishing (oltalama) sitesiyle karşılaşabilir. Bu noktada, web trafiği üzerinden kullanıcının kişisel bilgilerini ele geçirme girişimleri yapılabilir.

Laboratuvar Araçları

Kendi laboratuvar ortamınızda DNS zehirleme simülasyonları yapmanızı sağlayacak birçok araç mevcuttur. Bu araçlar arasında Ettercap, Bettercap, Scapy, ve Metasploit bulunur. Bu araçlar, DNS paketlerini oluşturmanızı ve TXID denemeleri gerçekleştirmenizi sağlar. Özellikle, Scapy kütüphanesi ile kendi DNS paketlerinizi oluşturabilir ve sahte yanıtları rahatlıkla test edebilirsiniz.

Kritik Çözüm: Dijital İmza

DNSSEC (DNS Security Extensions), DNS kayıtlarını kriptografik olarak imzalayarak, çözümleyiciye gelen yanıtın gerçekten yetkili sunucudan geldiğini doğrulama kapasitesini artırır. Bu teknoloji, önbellek zehirlenmesi riskini minimize etmek için en kesin çözümlerdendir. Ancak, DNSSEC’in uygulaması ve yönetimi, kurulum sonrası dikkatli bir bakım gerektirmektedir.

Nmap ile Zafiyet Kontrolü

DNS sunucularının siber güvenlik düzeyini değerlendirmek için Nmap aracı sıklıkla kullanılır. Port seçimindeki rastgelelik ile Transaction ID’nin öngörülebilirliğini analiz etmek için aşağıdaki komut kullanılabilir:

nmap -sU -p 53 --script dns-recursion <hedef_ip>

Bu komut, belirli bir hedef IP adresindeki DNS sunucusunun olası zafiyetlerini test edecektir.

Hardening (Sıkılaştırma) Adımları

Bir sistem yöneticisi, DNS sunucularının güvenliğini artırmak için çeşitli sıkılaştırma (hardening) adımlarını uygulamalıdır. Bunlar arasında DNS sunucusunu sadece yetkili IP’lere yanıt verecek şekilde kısıtlamak, güncellemeleri düzenli olarak yapmak, ve DNS yazılımlarını güvenli hale getirmek bulunmaktadır.

Nihai Profesyonel Standart

Siber güvenlikte, temel ilke verinin kaynağının doğruluğundan emin olmaktır. Bu nedenle, DNS sistemlerinin güvenliğini sağlamak için yukarıda belirtilen stratejilerin uygulanması kritik öneme sahiptir. Eğitim ve sürekli güncellemelerin yanı sıra, güvenlik standartlarının benimsenmesi, siber güvenliğin güçlendirilmesinde önemli bir rol oynar.

Risk, Yorumlama ve Savunma

Siber güvenlikte önbellek zehirlenmesi, DNS sisteminin zayıf noktalarından biri olarak karşımıza çıkar. Bu saldırı türü, DNS çözümleyicileri üzerinden gerçekleştirilir ve aşağıdaki bileşenlerin karmaşık bir etkileşimi sonucu meydana gelir:

  1. Yanlış Yapılandırma ve Zafiyetler: DNS sunucularının yanlış yapılandırması, önbellek zehirlenmesi için ciddi bir risk oluşturur. Örneğin, bir DNS sunucusu açık bir rekursif (recursive) tarayıcı olarak çalışıyorsa, kötü niyetli saldırganlar bu durumu bir avantaj olarak kullanabilirler. Bu tür durumlarda, her tasarım hatası veya yanlış yapılandırma, siber saldırganların hedef alabileceği zayıflıkları açığa çıkarır. Dolayısıyla, bir DNS sunucusunun yanlış yapılandırılması, yetkisiz erişime ve DNS yanıtlarının manipüle edilmesine yol açabilir.

  2. Sızan Veri ve Topoloji: Saldırganların DNS üzerinden gerçekleştirdiği zehirleme olaylarında, genellikle kullanıcı verileri hedef alınır. Saldırı başarılı olduğunda, kullanıcılar sahte web sitelerine yönlendirilir, burada kimlik bilgileri, finansal bilgiler veya kişisel veriler çalınabilir. Sunucunun konumlandırılması, güvenlik önlemleri ve uygulanan protokoller, bu tarz saldırılara karşı savunmada kritik rol oynar. Saldırganlar, genellikle kullanıcıların güvenliğini tehdit eden sahte DNS kayıtları ekleyerek, onları zararlı sitelere yönlendirme gayretindedir.

  3. Saldırı Senaryoları: Önbellek zehirlenmesi senaryosunu tartışırken, sahte bir banka sitesi oluşturmak gibi eylemler göz önüne alınmalıdır. Saldırgan, DNS sorguları aracılığıyla hedef bir bankanın alan adı için sahte bir yanıt sunarak, hedef tüketicileri sahte bir web sitesine yönlendirebilir. Bu durum, hem kullanıcıların güvenliğini tehlikeye atmakta hem de finansal bilgi hırsızlığına kapı aralamaktadır.

Modern Savunma Yöntemleri

Önbellek zehirlenmesine karşı koymak için farklı savunma teknikleri geliştirilmiştir. Bu yöntemler arasında:

  • Transaction ID ve Port Rastgelelemesi: Modern DNS sistemleri, her sorgu için hem Transaction ID'yi hem de kaynak portunu rastgele seçerek saldırganın tahmin etme olasılığını zorlaştırmaktadır. UDP protokollerinin doğası gereği, bağlantısız ve doğrulaması zor bir yapıya sahiptir. Bu yüzden, sorgulama esnasında iki farklı katman (Transaction ID ve Port) kullanılması, olasılığı milyarlarca kat artırmaktadır.

  • DNSSEC (Domain Name System Security Extensions): DNS kayıtlarının dijital olarak imzalanması, çözümleyicileri gelen yanıtların gerçekten yetkili sunucudan gelip gelmediğini doğrulama imkanı sunar. Bu, yetkisiz DNS yanıtlarının geçerliliğini ortadan kaldırır ve DNS hava saldırılarına karşı önemli bir koruma mekanizması oluşturur.

  • Doğru Konfigürasyon ve Güncellemeler: DNS sunucularının güçlü rastgeleliğe sahip olabilmesi için güncellenmesi gereklidir. Öngörülebilir TXID’nin önlenmesi, sistemlerin en güncel yazılımlar ile korunması anlamına gelir. Ayrıca, açık rekursif sorgulama yeteneği olan sunucuların sadece yetkili IP’lere yanıt verecek şekilde yapılandırılması büyük önem taşımaktadır.

Hardening (Sıkılaştırma) Adımları

DNS sunucularının güvenliğini artırmak için aşağıdaki önlemler alınabilir:

  • Ağ Düzeyinde Koruma: Ağ tabanlı anti-spoofing ve IPS (Intrusion Prevention System) kurallarının uygulanması.

  • Güçlü Yapılandırma Standartları: Tüm DNS sunucularının en iyi uygulamalara göre yapılandırılması, yani açık rekursif sunucu yapılandırmalarının engellenmesi.

  • Zayıflık Testleri: Nmap veya benzeri araçları kullanarak DNS sunucularındaki zayıflıkları belirlemek ve bunları analiz etmek suretiyle, potansiyel saldırı vektörlerinin önceden tespit edilmesi.

Sonuç

DNS önbellek zehirlenmesi, siber saldırganların kullanıcıların verilerini çalmak için kullandığı etkili bir yöntemdir. Yanlış yapılandırma ve zafiyetler, saldırılara kapı açmakta, dolayısıyla siber güvenlik pratiklerinin uygulanması hayati bir önem taşımaktadır. Güçlü yapılandırmalar, güncel yazılımlar ve uygun savunma teknikleri kullanarak, bu tür saldırılara karşı proaktif önlemler almak mümkündür.