DNS sahtekarlığı, DNS sahteciliği olarak da bilinir, İnternet trafiğini meşru sunuculardan ve sahte olanlara yönlendirmek için alan adı sis...
DNS sahtekarlığı, DNS sahteciliği olarak da bilinir, İnternet trafiğini meşru sunuculardan ve sahte olanlara yönlendirmek için alan adı sistemindeki (DNS) güvenlik açıklarını kullanan bir saldırı türüdür.
DNS zehirlenmesinin çok tehlikeli olmasının nedenlerinden biri, DNS sunucusundan DNS sunucusuna yayılabileceğidir. 2010 yılında bir DNS zehirlenmesi olayı, Çin Büyük Güvenlik Duvarı'nın Çin'in ulusal sınırlarından geçici olarak kurtulmasıyla sonuçlandı ve sorun çözülene kadar ABD'de İnternet'i sansürledi.
DNS Nasıl Çalışır?
Bilgisayarınız “google.com” gibi bir alan adıyla iletişim kurduğunda, önce DNS sunucusuna başvurmalıdır. DNS sunucusu, bilgisayarınızın google.com'a erişebildiği bir veya daha fazla IP adresiyle yanıt verir. Bilgisayarınız doğrudan o sayısal IP adresine bağlanır. DNS, “google.com” gibi insan tarafından okunabilir adreslerini “173.194.67.102” gibi bilgisayar tarafından okunabilir IP adreslerine dönüştürür.
DNS Önbelleğe Alma
İnternetin tek bir DNS sunucusu olmaması, bunun çok verimsiz olacağıdır. İnternet servis sağlayıcınız, diğer DNS sunucularından gelen bilgileri önbelleğe alan kendi DNS sunucularını çalıştırır. Ev yönlendiriciniz, ISS'nizin DNS sunucularından gelen bilgileri önbelleğe alan bir DNS sunucusu olarak çalışır. Bilgisayarınızın yerel bir DNS önbelleği vardır, bu yüzden bir DNS aramasını tekrar tekrar yapmak yerine, gerçekleştirdiği DNS aramalarına hızlıca başvurabilir.
DNS Önbelleği Zehirlenmesi
Yanlış bir giriş içeriyorsa, bir DNS önbelleği zehirlenebilir. Örneğin, bir saldırgan bir DNS sunucusunun kontrolünü ele geçirir ve bazı bilgileri değiştirirse - örneğin, google.com'un aslında saldırganın sahip olduğu bir IP adresine işaret ettiğini söyleyebiliriz. Bu DNS sunucusu kullanıcılarına bakmasını söyleyecektir. Google.com için yanlış adreste. Saldırganın adresi bir çeşit kötü amaçlı phishing web sitesi içerebilir
Bunun gibi DNS zehirlenmesi de yayılabilir. Örneğin, çeşitli İnternet servis sağlayıcıları DNS bilgilerinin güvenliği ihlal edilen sunucudan alıyorsa, zehirli DNS girişi İnternet servis sağlayıcılarına yayılacak ve orada önbelleğe alınacaktır. Daha sonra, DNS girişini ararken, yanlış yanıtı aldıklarında ve depoladıklarında, bilgisayarlarda ana yönlendiricilere ve DNS önbelleklerine yayılacaktır.
Çin'in Büyük Güvenlik Duvarı ABD'ye Yayıldı
Bu sadece teorik bir problem değil - gerçek dünyada büyük ölçekte gerçekleşti. Çin'in Büyük Güvenlik Duvarı'nın çalışmasının yollarından biri de DNS seviyesinde engelleniyor. Örneğin, twitter.com gibi Çin'de engellenen bir web sitesinin DNS kayıtlarının Çin'de DNS sunucularında yanlış bir adrese yönlendirilmiş olabilir. Bu, Twitter'ın normal yollarla erişilememesine neden olur. Bunu, Çin'in kendi DNS sunucu önbelleklerini bilerek zehirlediğini düşünün.
2010 yılında, Çin dışındaki bir İnternet servis sağlayıcısı, DNS sunucularını Çin'deki DNS sunucularından bilgi almak için yanlışlıkla yapılandırdı. Yanlış DNS kayıtlarını Çin'den getirdi ve kendi DNS sunucularında önbelleğe aldı. Diğer İnternet servis sağlayıcıları, bu İnternet servis sağlayıcısından DNS bilgilerini getirdiler ve DNS sunucularında kullandılar. Zehirli DNS girişleri, ABD'deki bazı kişilerin Amerikan İnternet servis sağlayıcılarında Twitter, Facebook ve YouTube'a erişimlerinin engellenmesine kadar yayılmaya devam etti. Çin Büyük Güvenlik Duvarı, ulusal sınırlarının dışında “sızdırıldı” ve dünyanın başka yerlerinden insanların bu sitelere erişmesini engelledi. Bu aslında büyük ölçekli bir DNS zehirlenmesi saldırısı olarak işlev gördü.
Çözüm
DNS önbellek zehirlenmesinin gerçek nedeni böyle bir sorundur çünkü aldığınız DNS yanıtlarının gerçekten meşru olup olmadığını veya manipüle edilip edilmediğini belirlemenin gerçek bir yolu yoktur.
DNS önbellek zehirlenmesine uzun vadeli çözüm DNSSEC'dir. DNSSEC, kuruluşların DNS kayıtlarını genel anahtar şifrelemesi kullanarak imzalamalarına izin vererek, bilgisayarınızın bir DNS kaydının güvenilip güvenilmeyeceğini veya zehirlenip kırılmadığını ve yanlış bir yere yönlendirdiğini bilmesini sağlar.
COMMENTS