Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
DNS spoofing diğer adıyla DNS önbellek zehirlenmesi, Alan Adı Sistemi (İngilizce: Domain Name System) verisini bozarak, DNS çözümleme önbelleğine bozuk verinin yerleştirildiği bir bilgisayar güvenliği saldırısıdır. Ad sunucusunun yanlış sonuç dönmesini sağlar, örneğin IP adresi. Böylece saldırgan, trafiği kendi bilgisayarına (ya da başka bir bilgisayara) yönlendirebilir.
Alan Adı Sistemine Genel Bakış
Bir Alan Adı Sistemi sunucusu, insan tarafından okunabilen bir alan adını (ornek.com gibi) düğümler arasındaki iletişimi yönlendirmek için kullanılan sayısal bir IP adresine çevirir. Normalde, sunucu istenilen çeviriyi bilmiyorsa başka bir sunucuya sorar ve süreç özyinelemeli olarak devam eder. Sunucu, performansı artırmak için çevirileri belirli bir zaman süresince hatırlar (önbellekte tutar). Bu, sunucunun aynı çeviri için başka bir istek aldığında, önbellekten silinene kadar, bu isteği başka bir sunucuya sormadan cevaplayabileceği anlamına gelir.
Bir DNS sunucusu yanlış bir çeviri aldığında ve bunu performans optimizasyonu için önbelleğe aldığında, zehirlenmiş olarak kabul edilir ve yanlış verileri istemcilere sunar. Bir DNS sunucusu zehirlenmişse, trafiği başka bir bilgisayara (genellikle saldırganın) yönlendiren yanlış bir IP adresi verebilir.
Önbellek zehirlenmesi saldırıları
Normalde, ağa bağlı bir bilgisayar, İnternet servis sağlayıcısı (ISS) veya kullanıcının bilgisayarı tarafından sağlanan bir DNS sunucusunu kullanır. Bir kuruluşun ağında kullanılan DNS sunucuları, daha önce elde edilen sorgu sonuçlarını önbelleğe alarak çözünürlük yanıt performansını artırır. Tek bir DNS sunucusuna yapılan zehirlenme saldırıları, kullanıcıları tehlikeye girmiş sunucu ile direkt olarak veya mümkünse tehlikeye girmiş sunucunun alt sunucuları ile dolaylı olarak etkileyebilir.
Önbellek zehirlenmesi saldırısı gerçekleştirmek için saldırgan, DNS yazılımındaki kusurlardan yararlanır. Sunucu, yetkili bir kaynaktan geldiğinden emin olmak için DNS yanıtlarını doğrulamalıdır (örneğin, DNSSEC kullanarak); aksi halde, sunucu yanlış girdileri önbelleğe alabilir ve aynı isteği yapan diğer kullanıcılara sunabilir.
Bu saldırı, kullanıcıları bir web sitesinden, saldırganın seçtiği başka bir web sitesine yönlendirmek için kullanılabilir. Örneğin, saldırgan, DNS sunucusundaki hedef web sitesinin IP adresini, kontrolü altındaki bir sunucunun IP adresi ile değiştirir. Saldırgan daha sonra kendi sunucusundaki dosyaları, hedef sunucudakilerle eşlecek şekilde oluşturur. Bu dosyalar genellikle bilgisayar solucanları veya bilgisayar virüsleri gibi zararlı içerikler içerir. Böylece, bilgisayarı zehirli DNS sunucusuna bağlanan bir kullanıcı, orijinal olmayan bir sunucudan gelen içeriği kabul etmeye kandırılır ve kötü niyetli içeriği bilmeden indirir. Bu teknik ayrıca, banka ve kredi kartı bilgileri gibi kişisel bilgileri toplamak için, orijinal bir web sitesinin sahte bir sürümünün oluşturulduğu kimlik avı saldırılarında da kullanılabilir.
Varyantlar
Aşağıdaki varyantlarda, ns.target.example sunucusuna giden istekler zehirlenme saldırısına uğrayıp, saldırganın w.x.y.z IP adresine yönlendirilir. Bu saldırılarda target.example için ad sunucusu ns.target.example diyebiliriz.
Saldırıları gerçekleştirmek için saldırganın, hedef DNS sunucusunu, saldıran tarafın ad sunucularından biri tarafından denetlenen bir alan için istekte bulunmaya zorlaması gerekir.
Hedef alanının ad sunucusunu yönlendirin
DNS önbellek zehirlenmesinin ilk varyantı, saldırganın alanının ad sunucusunu hedef alanının ad sunucusuna yeniden yönlendirmeyi ve ardından bu ad sunucusuna saldırgan tarafından belirtilen bir IP adresini atamayı içerir.
DNS sunucusunun isteği: subdomain.attacker.example için adres kayıtları ne?
subdomain.attacker.example. IN A
Saldırganın cevabı:
Answer: (no response) Authority section: attacker.example. 3600 IN NS ns.target.example. Additional section: ns.target.example. IN A w.x.y.z
Güvenlik açığı bulunan bir sunucu, ek A kaydını (IP adresi) ns.target.example için önbellekte saklar ve saldırganın target.example alan adı için gelen tüm sorguları çözmesine izin verir.
NS kaydını başka bir hedef alanına yönlendirin
DNS önbellek zehirlenmesinin ikinci varyantı, asıl istek ile bağlantısı bulunmayan başka bir alanın ad sunucusunu, saldırgan tarafından belirtilen bir IP adresine yönlendirmeyi içerir.
DNS sunucusunun isteği: attacker.example için adres kayıtları ne?
subdomain.attacker.example. IN A
Saldırganın cevabı:
Answer: (no response) Authority section: target.example. 3600 IN NS ns.attacker.example. Additional section: ns.attacker.example. IN A w.x.y.z
Güvenlik açığı bulunan bir sunucu, target.example'ın NS-Kaydı(Ad sunucusu girişi) ile ilgili olmayan otorite bilgilerini önbelleğe alır. Böylece saldırganın target.example alanı için tüm sorguları çözmesine olanak tanır.
Önleme ve azaltma
DNS sunucularına yönelik birçok önbellek zehirlenmesi saldırısı, diğer DNS sunucuları tarafından kendilerine iletilen bilgilere daha az güvenerek ve sorgu ile doğrudan ilgili olmayan DNS kayıtlarını göz ardı ederek önlenebilir. Örneğin, BIND 9.5.0-P1 ve daha üst sürümleri bu kontrolleri gerçekleştirir. Kriptografik olarak güvenli rastgele sayıları ve DNS isteklerinin geldiği kaynak bağlantı noktasının rastgele olmasını sağlayan, bir 16-bit şifreleme özünü ve kaynak bağlantı noktası, başarılı DNS zehirlenme saldırılarının olasılığını büyük ölçüde azaltabilir.
Bununla birlikte, yönlendiriciler, güvenlik duvarları, proxy'ler, ağ adresi çevirisi (NAT) gerçekleştiren diğer ağ geçidi cihazları veya daha özel olarak bağlantı noktası adresi çevirisi (PAT), bağlantı durumunu izlemek için kaynak bağlantı noktalarını yeniden yazabilirler. Kaynak bağlantı noktaları değiştirilirken PAT cihazları, ad sunucuları ve saplama çözümleyicileri tarafından uygulanan kaynak bağlantı noktası rastgeleliğini kaldırabilir.
Güvenli DNS (DNSSEC), verilerin doğruluğunu belirlemek için güvenilir bir açık anahtar sertifikasısıyla imzalanan şifreli dijital imzaları kullanır. DNSSEC, önbellek zehirlenmesi saldırılarına karşı koyabilir ve 2010 yılında İnternet kök bölgesi sunucularına uygulandı, ancak 2008'den beri İnternet çapında yaygınlaşamamıştır.
Bu tür bir saldırı, bağlantı kurulduktan sonra uçtan uca doğrulama gerçekleştirilerek taşıma katmanında veya uygulama katmanında hafifletilebilir. Bunun yaygın bir örneği, Taşıma Katmanı Güvenliği ve dijital imzaların kullanılmasıdır. Örneğin, HTTPS (güvenli HTTP sürümü) kullanarak, kullanıcılar sunucunun dijital sertifikasının geçerli olup olmadığını ve bir web sitesinin beklenen sahibine ait olup olmadığını kontrol edebilirler. Benzer şekilde, güvenli kabuk uzaktan oturum açma programı, oturuma devam etmeden önce bitiş noktalarındaki (biliniyorsa) dijital sertifikaları kontrol eder veya güncellemeleri otomatik olarak indiren uygulamalar imzalama sertifikasının bir kopyasını güncelleme ile bilgisayara gömebilir ve yazılım güncellemesinde gelen imzayı gömülü sertifikaya göre doğrulayabilir.
Ayrıca bakınız
- DNS korsanlığı
- DNS rebinding
- Mausezahn
- Pharming
- Root name server
- Dan Kaminsky
Kaynakça
- ^ Wu, Hao; Dang, Xianglei; Wang, Lidong; He, Longtao (2016). "Information fusion‐based method for distributed domain name system cache poisoning attack detection and identification". IET Information Security (İngilizce). 10 (1): 37-44. doi:10.1049/iet-ifs.2014.0386. ISSN 1751-8717.
- ^ Son, Sooel; Shmatikov, Vitaly. "The Hitchhiker's Guide to DNS Cache Poisoning" (PDF). Cornell University. 14 Ağustos 2017 tarihinde kaynağından (PDF). Erişim tarihi: 3 Nisan 2017.
- ^ Storms, Andrew (2006). "Don't Trust Your Vendor's Software Distribution Methodology". Information Systems Security. 14 (6): 38-43. doi:10.1201/1086.1065898X/45782.14.6.20060101/91858.8 – ProQuest Central vasıtasıyla.
- ^ . ISC Bind. 11 Kasım 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Mayıs 2011.
- ^ . ISC Bind. 11 Kasım 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Mayıs 2011.
- ^ Dearing, Christopher (2019). "Personal Information as an Attack Vector: Why Privacy Should Be an Operational Dimension of U.S. National Security †". Journal of National Security Law & Policy. 10: 351-403. 2395864954 – ProQuest vasıtasıyla.
- ^ "Root DNSSEC". ICANN/Verisign. s. 1. 10 Eylül 2017 tarihinde kaynağından . Erişim tarihi: 5 Ocak 2012.
- ^ . IONOS Digitalguide (İngilizce). 20 Ekim 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Nisan 2022.
İlave okumalar
- Singh, Divya; Sharma, Pankaj; Kumar, Ashish (June 2012). "Detection of Spoofing attacks in Wireless network and their Remedies". IJRREST: International Journal of Research Review in Engineering Science and Technology: 1–5.
wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar
DNS spoofing diger adiyla DNS onbellek zehirlenmesi Alan Adi Sistemi Ingilizce Domain Name System verisini bozarak DNS cozumleme onbellegine bozuk verinin yerlestirildigi bir bilgisayar guvenligi saldirisidir Ad sunucusunun yanlis sonuc donmesini saglar ornegin IP adresi Boylece saldirgan trafigi kendi bilgisayarina ya da baska bir bilgisayara yonlendirebilir Alan Adi Sistemine Genel BakisBir Alan Adi Sistemi sunucusu insan tarafindan okunabilen bir alan adini ornek com gibi dugumler arasindaki iletisimi yonlendirmek icin kullanilan sayisal bir IP adresine cevirir Normalde sunucu istenilen ceviriyi bilmiyorsa baska bir sunucuya sorar ve surec ozyinelemeli olarak devam eder Sunucu performansi artirmak icin cevirileri belirli bir zaman suresince hatirlar onbellekte tutar Bu sunucunun ayni ceviri icin baska bir istek aldiginda onbellekten silinene kadar bu istegi baska bir sunucuya sormadan cevaplayabilecegi anlamina gelir Bir DNS sunucusu yanlis bir ceviri aldiginda ve bunu performans optimizasyonu icin onbellege aldiginda zehirlenmis olarak kabul edilir ve yanlis verileri istemcilere sunar Bir DNS sunucusu zehirlenmisse trafigi baska bir bilgisayara genellikle saldirganin yonlendiren yanlis bir IP adresi verebilir Onbellek zehirlenmesi saldirilariNormalde aga bagli bir bilgisayar Internet servis saglayicisi ISS veya kullanicinin bilgisayari tarafindan saglanan bir DNS sunucusunu kullanir Bir kurulusun aginda kullanilan DNS sunuculari daha once elde edilen sorgu sonuclarini onbellege alarak cozunurluk yanit performansini artirir Tek bir DNS sunucusuna yapilan zehirlenme saldirilari kullanicilari tehlikeye girmis sunucu ile direkt olarak veya mumkunse tehlikeye girmis sunucunun alt sunuculari ile dolayli olarak etkileyebilir Onbellek zehirlenmesi saldirisi gerceklestirmek icin saldirgan DNS yazilimindaki kusurlardan yararlanir Sunucu yetkili bir kaynaktan geldiginden emin olmak icin DNS yanitlarini dogrulamalidir ornegin DNSSEC kullanarak aksi halde sunucu yanlis girdileri onbellege alabilir ve ayni istegi yapan diger kullanicilara sunabilir Bu saldiri kullanicilari bir web sitesinden saldirganin sectigi baska bir web sitesine yonlendirmek icin kullanilabilir Ornegin saldirgan DNS sunucusundaki hedef web sitesinin IP adresini kontrolu altindaki bir sunucunun IP adresi ile degistirir Saldirgan daha sonra kendi sunucusundaki dosyalari hedef sunucudakilerle eslecek sekilde olusturur Bu dosyalar genellikle bilgisayar solucanlari veya bilgisayar virusleri gibi zararli icerikler icerir Boylece bilgisayari zehirli DNS sunucusuna baglanan bir kullanici orijinal olmayan bir sunucudan gelen icerigi kabul etmeye kandirilir ve kotu niyetli icerigi bilmeden indirir Bu teknik ayrica banka ve kredi karti bilgileri gibi kisisel bilgileri toplamak icin orijinal bir web sitesinin sahte bir surumunun olusturuldugu kimlik avi saldirilarinda da kullanilabilir VaryantlarAsagidaki varyantlarda ns target example sunucusuna giden istekler zehirlenme saldirisina ugrayip saldirganin w x y z IP adresine yonlendirilir Bu saldirilarda target example icin ad sunucusu ns target example diyebiliriz Saldirilari gerceklestirmek icin saldirganin hedef DNS sunucusunu saldiran tarafin ad sunucularindan biri tarafindan denetlenen bir alan icin istekte bulunmaya zorlamasi gerekir Hedef alaninin ad sunucusunu yonlendirin DNS onbellek zehirlenmesinin ilk varyanti saldirganin alaninin ad sunucusunu hedef alaninin ad sunucusuna yeniden yonlendirmeyi ve ardindan bu ad sunucusuna saldirgan tarafindan belirtilen bir IP adresini atamayi icerir DNS sunucusunun istegi subdomain attacker example icin adres kayitlari ne subdomain attacker example IN A Saldirganin cevabi Answer no response Authority section attacker example 3600 IN NS ns target example Additional section ns target example IN A w x y z Guvenlik acigi bulunan bir sunucu ek A kaydini IP adresi ns target example icin onbellekte saklar ve saldirganin target example alan adi icin gelen tum sorgulari cozmesine izin verir NS kaydini baska bir hedef alanina yonlendirin DNS onbellek zehirlenmesinin ikinci varyanti asil istek ile baglantisi bulunmayan baska bir alanin ad sunucusunu saldirgan tarafindan belirtilen bir IP adresine yonlendirmeyi icerir DNS sunucusunun istegi attacker example icin adres kayitlari ne subdomain attacker example IN A Saldirganin cevabi Answer no response Authority section target example 3600 IN NS ns attacker example Additional section ns attacker example IN A w x y z Guvenlik acigi bulunan bir sunucu target example in NS Kaydi Ad sunucusu girisi i le ilgili olmayan otorite bilgilerini onbellege alir Boylece saldirganin target example alani icin tum sorgulari cozmesine olanak tanir Onleme ve azaltmaDNS sunucularina yonelik bircok onbellek zehirlenmesi saldirisi diger DNS sunuculari tarafindan kendilerine iletilen bilgilere daha az guvenerek ve sorgu ile dogrudan ilgili olmayan DNS kayitlarini goz ardi ederek onlenebilir Ornegin BIND 9 5 0 P1 ve daha ust surumleri bu kontrolleri gerceklestirir Kriptografik olarak guvenli rastgele sayilari ve DNS isteklerinin geldigi kaynak baglanti noktasinin rastgele olmasini saglayan bir 16 bit sifreleme ozunu ve kaynak baglanti noktasi basarili DNS zehirlenme saldirilarinin olasiligini buyuk olcude azaltabilir Bununla birlikte yonlendiriciler guvenlik duvarlari proxy ler ag adresi cevirisi NAT gerceklestiren diger ag gecidi cihazlari veya daha ozel olarak baglanti noktasi adresi cevirisi PAT baglanti durumunu izlemek icin kaynak baglanti noktalarini yeniden yazabilirler Kaynak baglanti noktalari degistirilirken PAT cihazlari ad sunuculari ve saplama cozumleyicileri tarafindan uygulanan kaynak baglanti noktasi rastgeleligini kaldirabilir Guvenli DNS DNSSEC verilerin dogrulugunu belirlemek icin guvenilir bir acik anahtar sertifikasisiyla imzalanan sifreli dijital imzalari kullanir DNSSEC onbellek zehirlenmesi saldirilarina karsi koyabilir ve 2010 yilinda Internet kok bolgesi sunucularina uygulandi ancak 2008 den beri Internet capinda yayginlasamamistir Bu tur bir saldiri baglanti kurulduktan sonra uctan uca dogrulama gerceklestirilerek tasima katmaninda veya uygulama katmaninda hafifletilebilir Bunun yaygin bir ornegi Tasima Katmani Guvenligi ve dijital imzalarin kullanilmasidir Ornegin HTTPS guvenli HTTP surumu kullanarak kullanicilar sunucunun dijital sertifikasinin gecerli olup olmadigini ve bir web sitesinin beklenen sahibine ait olup olmadigini kontrol edebilirler Benzer sekilde guvenli kabuk uzaktan oturum acma programi oturuma devam etmeden once bitis noktalarindaki biliniyorsa dijital sertifikalari kontrol eder veya guncellemeleri otomatik olarak indiren uygulamalar imzalama sertifikasinin bir kopyasini guncelleme ile bilgisayara gomebilir ve yazilim guncellemesinde gelen imzayi gomulu sertifikaya gore dogrulayabilir Ayrica bakinizDNS korsanligi DNS rebinding Mausezahn Pharming Root name server Dan KaminskyKaynakca Wu Hao Dang Xianglei Wang Lidong He Longtao 2016 Information fusion based method for distributed domain name system cache poisoning attack detection and identification IET Information Security Ingilizce 10 1 37 44 doi 10 1049 iet ifs 2014 0386 ISSN 1751 8717 Son Sooel Shmatikov Vitaly The Hitchhiker s Guide to DNS Cache Poisoning PDF Cornell University 14 Agustos 2017 tarihinde kaynagindan PDF Erisim tarihi 3 Nisan 2017 Storms Andrew 2006 Don t Trust Your Vendor s Software Distribution Methodology Information Systems Security 14 6 38 43 doi 10 1201 1086 1065898X 45782 14 6 20060101 91858 8 ProQuest Central vasitasiyla ISC Bind 11 Kasim 2011 tarihinde kaynagindan arsivlendi Erisim tarihi 11 Mayis 2011 ISC Bind 11 Kasim 2011 tarihinde kaynagindan arsivlendi Erisim tarihi 11 Mayis 2011 Dearing Christopher 2019 Personal Information as an Attack Vector Why Privacy Should Be an Operational Dimension of U S National Security Journal of National Security Law amp Policy 10 351 403 2395864954 ProQuest vasitasiyla Root DNSSEC ICANN Verisign s 1 10 Eylul 2017 tarihinde kaynagindan Erisim tarihi 5 Ocak 2012 IONOS Digitalguide Ingilizce 20 Ekim 2020 tarihinde kaynagindan arsivlendi Erisim tarihi 29 Nisan 2022 Ilave okumalarSingh Divya Sharma Pankaj Kumar Ashish June 2012 Detection of Spoofing attacks in Wireless network and their Remedies IJRREST International Journal of Research Review in Engineering Science and Technology 1 5