Blog

Hackerlar için kolay hedef: DNS

DNS, yani domain name system adı verilen yapı aslında internet kavramının temelini oluşturuyor. Hepimiz gün içinde milyonlarca defa bu sistemi kullanıyoruz. Sonuç olarak, güvenlik yaklaşımlarımızın kapsamı içerisinde yer alması gereken bu sistem genellikle göz ardı edilebiliniyor.

Bu sistem kullanılarak gerçekleştirilen bir çok saldırı var şüphesiz, ancak sıklıkla başımıza gelebilecek olanlarına, hatta Türkiye de geçtiğimiz günlerde gerçekleştirilen saldırı da dahil olmak üzere bir kaç tanesine bakmak istedim.

Aslında aklımıza gelenleri sıralamak gerekirse herhalde bunlardan en önemlisi DNS amplification attack dediğimiz, sorguların çoğaltılması saldırısı olabilir. Ancak çok daha basit olarak gerçekleştirilebilecek ve onlar kadar etkili saldırılar da mevcut. Mesela çok detay belirtme gereği duymuyorum ama yanlış yazım için özel hazırlanmış domain adları çok başarılı bir saldırı yöntemi, örneğin gopgle.com şu anda açık değil ama basit ve etkili bir saldırı için kullanılabilir. Firma, web sitesiymiş gibi bir oltalama sitesi yapılabilir, kötü içerikli kampanya sitesi yapılabilir vs…

Bu sadece basit olanlara bir örnek, esas daha ciddi olanlara detaylıca bakmak gerek;

1. DdoS
Son dönemde herkesin dilinde artık bu saldırı şekli, eskiden özellikle bunu anlatırken, “çeşitli zararlı yazılımlar ile ele geçirilerek zombie haline getirilen makinalar, farkında olmadan bilinçsizce zararlı yazılımın yöneticisi tarafından belirlenen bir hedefe doğru paketler göndererek, hedefin istekleri karşılayamamasına neden oluyorlar” şeklinde tanımlardım. Ancak bugün durum daha vahim, çeşitli “hacktivist” gruplarının gönüllü üyeleri, sistemlerini bir botnet in üyesi haline getiriyorlar ve bunu son derece bilinçli bir şekilde gerçekleştiriyorlar. Sonrasında önceden belirlenmiş hedefe doğru saldırı başlatıyorlar.

DNS eğer böyle bir saldırının hedefi olursa işler oldukça karışık bir hale gelebiliyor.Birçok kurum web siteleri için, Web Application Firewall, yedek sunucu, uygulama yedekliliği, yük dengeleyici cihazlar konumlandırarak, Internet e açık olan uygulamasının güvende olduğunu düşünüyor. Ancak bu web uygulamasını istemcilere sunarken, nerede barındığının sorulduğu en önemli bileşen DNS, bu sisteme dikkat edilmediğinde ve bu sistem işlevsiz kaldığında, sunucular kendilerine istek gelsin diye boş boş bekliyorlar.

Oysaki yapılması gereken sadece anycast kullanmak. Burada bunu sağlayabilen bir servis sağlayıcı ile dağıttık ve anycast mimarisine sahip bir çözüm konumlandırması yapıldığında, mirorlanmış sunucular arasında sistem paylaşımı gerçekleşiyor ve sorunsuz olarak bu saldırıdan kaynaklı gelen yük paylaşılıyor.

2. DNS Amplification Saldırısı
DNS de iki tip sorgu vardır, “recursive” istemcinin sunucuya yaptığı sorgu, sunucu cevabı bulmak için canını dişine takar, bir yanıt bulunca bunu istemciye bildirir. “Itaretive” sorgu, sunucunun root dns sunucularına yönelttiği sorudur, yanıt değil ancak bir yönlendirme beklenir, yani abc.com un adesi nedir diye sorulduğunda recursive olarak 1.2.3.4 yanıtı dönülüyorsa Itaretive olarak sorulduğunda “ben bilemiyorum şu dns sunucusuna sor” yanıtı gelir.

Bunun bir saldırı olabilmesi içinde aslında trafiğin içine bakılması gerekiyor, mesela normal bir istemci sorgu başlattığında sorgu paketi 1 birimse, rec. sorguya dünüştüğünde bu paket boyutu 4 birime çıkıyor.

Hackerlar internette yer alan bir çok dns sunucusunun dışarıdan gelen recursive sorgu isteklerini kabul ettiğini, yöneticilerin buna dikkat etmediğini farketti… Sonrasında, bu sunuculara yönelik sahte sorgular yaratıp sunucuların hedef dns sunucusuna rec. sorgularla, paket boyutlarının büyümesi ile bağlantıya yönelik dos ve servise yönelik saldırılar gerçekleştirildi. Oysaki yapılması gereken sadece sunucu üzerinde dışarıdan recursive sorguya sistemi kapatmak.

3. Registrar Hijacking
Domain adları alınırken bir registrer firma kullanılır, bu firmalar sizin domain adınızı kayıt eder ve belirlediğiniz IP ler için domain’in ilk kayıtlarını oluştururlar. Saldırganlar bu firmalara veya sizin bu firmaların web kontrol panellerindeki kullanıcı adlarınıza yönelik parola tahmini yaparak veya destek personelini kandırmaya yönelik saldırılar gerçekleştirerek, kendi belirledikleri IP lere domain in yönlenmesini sağlayabilirler.

Daha önceden ülkemizde bir çok kere karşımıza çıkan superonline hack, nic.tr hack gibi olaylar hep bu şekilde gerçekleştirildi.

Burada domain’i nereden register ettiğinizin önemi büyük, yurt dışında bu iş için birçok alternatif mevcut… Orada ek güvenlik önlemleri sunan, örneğin sizin belirlediğiniz soruları sorarak işlem yapan bir kayıt firması bulunabilir. Ancak .tr domain’lerinde böyle bir durum yok. Tamamen nic.tr nin kullandığı güvenlik önlemlerine güvenmek durumundayız ki geçtiğimiz hafta gerçekleşen saldırı işlemi buradaki bir zafiyet nedeniyle gerçekleşti.

4. Cache Poisoning
Çoğunlukla ISP ler başta olmak üzere DNS mimarisinin içerisinde yer alan bileşenler için, özellikle istemcilere zaman tasarrufu sağlamak adına cahce kullanılır. Ancak bu cache ler gçoğunlukla içerik olarak denetlenmez ve istemciye verilecek ilk yanıt, eğer var ise bu cache içinden döndürülür.

Kaminsky Bug olarak da bilinen bu sistem zaafiyetleri sayesinde zaten hali hazırda güvensiz olan mimari değiştirilebilir ve başka bir yönlendirme adresi, gerçeğinin yerine buraya konabilir. Böyle bir durumda eğer saldırgan sitesi orjinalinin aynısı şeklinde yapılıp bir oltalama sitesi haline getirilirse, o zaman bunu gerçeğinden ayırmak veya emin olmak neredeyse imkansızdır.

Sonuç olarak,
İşin sonucunda görüldüğü üzere DNS güvensiz bir yapıdır. Ancak, bu bizim tamamen teslim olmamızı gerektirmez. Bu noktada ortaya çıkan birçok güvenlik önerisi içinden en uygun olanı DNSSEC olarak belirlenmiş ve geçtiğimiz sene uygulamaya konmuştur. DNSSec sayesinde ISP ler kendilerine gelen DNS sonuçlarının kesinliğinden emin olabilirler. Bu sonuçlar sertifika mimarisine göre imzalanmıştır ve zamanla daha da yaygınlaşacaktır. DNS sisteminizin güvenliği için bir ISP seçerken genellikle DNSSEC desteğini sorgulayabilirsiniz, böylelikle sistemin sonuçları iletirken doğruluk kontrolü yaptığından emin olursunuz.

Tarih: 13.05.2012 10:59 Yazar: Can Değer

Yazar'a Soru Sorun!

eBülten Üyeliği

Tüm yeniliklerimizden haberdar olmak için eBültenimize kayıt olun!