DNS Gvenlii

ve
Tnelleme Tehdidi
Hazrlayan: Okan YILDIZ

Sparta Biliim www.sparta.com.tr - Aralk 2015

indekiler

DNS Nedir ve Nasl alr? ..................................................................................... 3

DNS Gvenlii .......................................................................................................... 3
Saldrgann Bak Asndan DNS ........................................................................... 4
DNS Tehditleri ....................................................................................................... 5
DNSSEC kurulu deil ............................................................................................ 6
Cisco ve Lync kullanm ........................................................................................ 8
DNS Tnelleme ...................................................................................................... 10
DNS Tnellemede Kullanlan Aralar ..................................................................... 10
Iodine .................................................................................................................. 11
DNS gvenlii iin neriler ..................................................................................... 15

Sparta Biliim www.sparta.com.tr - Aralk 2015

DNS Nedir ve Nasl alr?

Alan ad sistemi olan DNS (Domain Name System), isim sunucu ve
zmleyicilerden oluur, internete alan kaplardr. sim sunucular, host
isimlerine karlk gelen ip adreslerinin ismini tutar. zmleyiciler ise
DNS istemciler olarak bilinir ve bu istemcilerde, DNS sunucu yada dier
sunucularn bilgisini tutar.
Web siteleri, URL olarak adlandrlan kolay adres ve IP adresine sahiptir.
Kullanclar web sitelerini bulmak iin URL'leri, bilgisayarlar ise IP
adreslerini kullanr. DNS URL'leri IP adreslerine dntrr (veya tam
tersi). rnein, web taraycnzdaki adres ubuuna
http://www.alanadi.com yazarsanz, bilgisayarnz DNS sunucusuna bir
istek gnderir. DNS sunucusu URL'yi IP adresine dntrerek
bilgisayarnzn Microsoft web sunucusunu bulabilmesini salar.[1]
DNS sistemine ait baz bileenler aada verilmitir;
A Domain Name den IP adresine dnm yapar.
MX Belli bir Domain e gelen e-postalarn hangi makineye
datlacan bulur
NS Alan adnzn sorgulanmasnda kullanlacak olan isim
sunuculardr.
PTR Verilen ip adresinin, isim karln bulur.
HINFO Bilgisayarn donanm ve iletim sistemi gibi bilgilerini
yazmak iin kullanlr.
TXT Bilgi vermek amac ile kullanlr.

DNS Gvenlii
DNS 30 yl akn sreden bu yana gelimeyi srdren ve internetin
ekirdek bileenlerinden bir tanesidir. Bu sebeplerden dolay saldrganlar
ve ktcl yazlm yaynlayanlarn hedeflerinden bir tanesidir. DNS
altyapsnn kmesi ya da saldrganlar tarafnda ktye kullanlmas,
byk lekli hizmetlerin kesilmesi ve ya DNS zerinden darya veri
szdrma olaylaryla sonulanabilir. Cisco'nun 2014 Yllndaki
Gvenklik Raporuna gre inceleme yaplan alarn %96'snda alnan
sunuculara doru trafik ak olduu grld ve %92'sinde ise herhangi
bir ierii bulunmayan sitelere doru trafik olduu tespit edildi. DNS

Sparta Biliim www.sparta.com.tr - Aralk 2015

zerinde gerekleen saldrlar arasnda en yaygn olanlar aada

verilmitir;

DNS tnelleme
DoS ve DDoS saldrlar
n bellek zehirlenmesi
DNS yeniden ynlendirme (MITM) saldrlar:
leri Seviye Tehditler (APT)

Saldrgann Bak Asndan DNS

nterneti kullanlabilir hale getiren ve bir anlamda belkemiini oluturan
DNS (Domain Name Server Alanad Sunucular) saldrganlar iin de
nemli hedeflerdir.
Aadaki ekran grntsnde grlebilecei gibi rnek olarak ele
aldm yerlerden birisi web sayfasn basit port taramalarna kar
korumaktadr. NMAPin hi bir parametre kullanlmadan yaplan
taramalarda kulland 1000 port filtreli durumda ve sadece internet
sayfasnn hizmet verebilmesi iin ihtiya duyduu portlar grece ak.

Filmlerde gsterilenin aksine hackerlar kolay yolu ararlar, bu durumda bu

portlar filtreleyen gvenlik cihazn atlatmaya uramaktansa daha kolay
istismar edebilecekleri saldr yzeyleri arayacaklardr. Sistem yneticisi
olarak kapatamadmz 3 ana nokta, doal alarak saldrganlarn balca
tercihleri olacaktr bunlar;
E-posta hizmeti: Sosyal mhendislik saldrlar iin nemli vektrlerdir. Eposta sunucularnn doru konfigre edilmedii durumlarda ise
saldrganlar, kurum e-posta kaynaklarn kullanarak hem nc
ahslara saldrabilir (istenmeyen e-posta gnderimi ve oltalama

Sparta Biliim www.sparta.com.tr - Aralk 2015

saldrlar), hem de kurumsal a, sistemler ve yap hakknda bilgi elde

edebilirler.
Web sayfalar (web uygulamalar): Web sayfalar zerindeki zafiyetleri
istismar eden saldrganlar kurum bilgilerini ele geirebilir, itibar ve para
kaybna yol aabilir.

DNS Tehditleri
Saldrganlar DNS sunucularn kullanarak 4 temel saldr trn
gerekletirebilir.
Bilgi Toplama: znde bir saldr olmasa da hedef hakknda bilgi
toplamak geerli saldrlar belirlemek, planlamak ve yrtmek iin
nemlidir. Saldrganlar hedefin darya bakan an nasl dzenledii ve
ynettiini DNS zerinden bilgi toplayarak anlayabilir.
Hizmet d brakma: Alanad sunucusuna kapasitesinin ok stnde
talep gnderen saldrganlar hedef DNS sunucusunun i grmez hale
gelmesine neden olabilir.
Sahte kaynaktan talep gnderme: Yanl ayarlanm bir alanad
sunucusu baka bir hedefe hizmet d brakma saldrs dzenlenmek
iin kullanlabilir. Saldrganlarn hedef adan geliyor gibi dzenleyip
gnderecei paketlere cevap veren alanad sunucusu istemeden
kardaki sunucuyu hizmet veremez hale getirebilir.

Sparta Biliim www.sparta.com.tr - Aralk 2015

Kayt ynlendirme: Kurumdan kan DNS taleplerini kendi kontrolndeki

bir sunucuya ynlendiren saldrgan bu sayede kullanclar zararl ierik
barndran bir siteye veya sosyal mhendislik saldrlarna uygun olarak
hazrlad baka bir siteye ynlendirebilir.
Yukarda portlarn koruduunuz bildiimiz hedefin Alanad Sunucusuna
saldrgan gzyle bakacak olursak aadaki bilgileri elde edebildiimizi
grebiliriz.

DNSSEC kurulu deil

DNSSEC kullanlmad durumlarda saldrganlar DNS trafiini yakalayp
deitirebilirler. Aadaki 4 grafik DNSSEC kullanmayan bir sunucuya
ynelik dzenlenebilecek etkili bir saldry zetlemektedir.
Adm 1: Kurban taraycnn adres ubuuna gitmekistediimsite.com
yazar ve tarayc bu sitenin IP adresini tespit edebilmek iin DNS
sunucusuna bir sorgu gnderir.

Adm 2: DNS sunucusu gerekli bilgilendirmeyi yaparak kurban gitmek

istedii siteye ynlendirir.

Sparta Biliim www.sparta.com.tr - Aralk 2015

Adm 3: DNSSEC olmamasndan faydalanan saldrgan DNS sorgularna

mdahale eder.

Adm 4: Kurban gitmekistediimsite.com adresini yazmasna ramen

farknda olmadan saldrgan tarafndan hazrlanm siteye ynlendirilir.

Sparta Biliim www.sparta.com.tr - Aralk 2015

Cisco ve Lync kullanm

Aadaki ekran grntsnde grld gibi rnek olarak ele aldm
irket Cisco video konferans sistemi olduunu tahmin ettiim (vcse. le
balayan aland ve 5060/5061 portlarn ipucu olarak deerlendirerek
yrttm bir tahmin) ve Microsoft LYNCi haberleme iin kullanyorlar.

lgin altalanadlar
Smtp., test. Vpn. Gibi saldrgan asndan ilgi ekici olabilecek bir ka
altalanadnn yannda hedefin kulland IP adresleri aralklar hakknda
da bilgi sahibi olduk.

Sparta Biliim www.sparta.com.tr - Aralk 2015

DNS gvenlii konusunda lke olarak ne durumda olduumuzu anlamak

iin 21 Bakanlk DNS sunucular zerinde yaptm almada grdm
unlar oldu;
21 Bakanlk ierisinde;
20 tanesinde DNSSEC kullanlmadn,
5 tanesinin DNS sunucusunun dardan gelen isteklere cevap
verdii iin baka hedeflere kar hizmet d brakma saldrlarnda
kullanlabileceini,
3 tanesinde Microsoft Lync kullanldn,
8 tanesinin internet zerinden telefon grmesi yaptn sadece
DNS sorgular araclyla tespit etmek mmkn olmutur.

Sparta Biliim www.sparta.com.tr - Aralk 2015

DNS Tnelleme
DNS tnelleme, DNS paketleri ierisinde herhangi bir TCP/UDP
paketinin tama ilemine verilen isimdir. Bu saldrlarda, saldrgann
amac bir sunucunun DNS portu zerinden altrlp, gerek bir DNS
sunucu gzkmesini salayp veri szdrmaktr. Bu saldrlarda DNS
sunucu kendisinden sorgulanan bir DNS isteine nce nbelleini kontrol
ederek yant vermek ister eer alan ad DNS nbelleinde yoksa,
sorgulanan alan adndan sorumlu DNS sunucuyu bulur ve ona sorar.
Sorgulanan alan adndan yetkili DNS sunucu ilgili DNS kayd iin yant
verir ve DNS sunucu bu yant istemciye iletir.
DNS tnellemeyi daha iyi anlamamz iin, saldrn genel yaps aada
verilmitir.

zet olarak DNS tnelleme bir istemci tarafndan retilen DNS

paketlerinin sunucu tarafndan ileme alnmas ile oluur. Sunucu DNS
portu zerinden alt iin gerek bir DNS sunucusu gibi grr.

DNS Tnellemede Kullanlan Aralar

DNS tnel aralar, DNS sorgu blmndeki veriyi encode ederek
ISP'nin (daha dorusu tnel sunucusunun sahibinin) DNS sunucusuna
iletir. Sunucu zerindeki DNS portunda tnelleme sunucusu alr.
Aracn sunucu taraf da, gelen istei decode eder ve ilgili istee yant
istemciye geri gnderir.

Sparta Biliim www.sparta.com.tr - Aralk 2015

Bu saldrlarda kullanlan aralar aada verilmitir;

OzymanDNS
Dns2tcp
Iodine
Heyoka
DNSChat
NSTX
DNScapy
MagicTunnel, Element53, VPN-over-DNS (Android)
VPN over DNS

Iodine
Iodine DNS tnellemede kullanlan en popler aralarn banda gelir.
Hem platform bamsz olmas hem de kolay kurulum ve kullanm ile en
iyi DNS tnelleme yazlm saylabilir. Iodiline ile ipv4 zerinden, DNS
sunucu araclya tnelleme yaplabilmektedir. stemci tarafnda
altrlp, sunucuya eriim kontrol salandktan sonra yazlacak
ynlendirmelerle tm trafik yeni kurulan tnel aracl ile ynetilebilir.
Aada Iodine ile Ipv4 zerinden veri dinlemeye rnek olmas asndan
bir uygulama verilmitir.
Aada iodine hem sunucu hemde client tarafnda altrlmtr.
Burada SIFRE yazan yer balantya atatmz ifre.

Sparta Biliim www.sparta.com.tr - Aralk 2015

odine zerinden balantlar kurduktan sonra balanty test etmek iin

netcat zerinden Gizli Veri yolluyoruz.

Sparta Biliim www.sparta.com.tr - Aralk 2015

Wireshark ile yakaladmz gizli veriyi barndran paketi ayoruz.

Yukardaki rnekte grlecei zere ok basit aralarla herhangi bir

veriyi DNS sorgusu gibi kurulu ann dna gndermek mmkndr.
Siber olaylara mdahale raporlarnda rastladmz saldrganlar, tespit
edilmeden nce, kurulu anda ortalama 220 gn geiriyorlar gibi ilk
bakta bize inanlmaz gelen rakamlara ulalmasn salayan bunun gibi
basit ve etkili teknikleri kullanmalardr.
DNS tnelleme, saldrlar engellemeye odakl mimarilerin (firewall,
IPS/IDS, vs. gvenlik bileenlerinin n planda olduu alarda) yetersiz
kald pek ok senaryodan sadece bir tanesidir.
Son yllarda karlalan yksek profilli saldrlardan karttmz derslere
bakarak saldrganlarn a ve sistemlerimize szmalarn engellemenin
neredeyse imkansz olduudur. Bu nedenle saldrgann kurulu ana
girdii anda tespit edilmesi ve aada siber lm zinciri olarak
zetlediimiz genel saldr anatomisini de dnerek birden fazla
hamlesinin fark edilmesini salayacak yaplarn kurulmas gerekmektedir.

Sparta Biliim www.sparta.com.tr - Aralk 2015

Yaanan, neredeyse btn, gvenlik ihlallerinde bu 7 admn atldn ve

saldrganlarn baarl bir sonuca ancak her admda baarl olmalar
halinde ulaabildiklerini gryoruz. Bu zincirin kurulabilecei senaryolarn
ve saldrganlarn ulaabilecei sonularn (veri alnmas, sistemlerin
devre d kalmas, vb.) i srelerimize etkileriyle birlikte ortaya
konulmas nemlidir.

Kurulu a ve sistemleri iin geerli olabilecek senaryolar, i sreleri

iin ortaya kabilecek tehditleri ve genel risk seviyesinin anlalmas iin
yaplabilecek almalar arasnda en kymetlisi szma testi olacaktr. Bu
testlerin sonucunda saldrgann kullanabilecei saldr teknikleri ve
aralar arasnda mevcut gvenlik tedbirlerimizin tespit edemedikleri
ve/veya siber gvenlik ve siber olaylara mdahale ynetimi
kapsammzn ele almadklar ortaya kartlr. Szma testi almalar
sonucunda balatlan iyiletirme almalar gvenlik hattmzn eksik
kalan noktalarnn tamamlanmasn salar.

Sparta Biliim www.sparta.com.tr - Aralk 2015

DNS gvenlii iin neriler

Alanad sunucunuzun gvenliini salamak iin kullanabileceiniz tek bir
hap ne yazk ki yoktur. Bilgi gvenliiyle ilgili dier btn konularda
olduu gibi gizlilik, btnlk ve eriilebilirlik balklar ayr olarak
deerlendirilmelidir. Gvenlik seviyesini hzlca arttrmanz salayacak
baz neriler unlar olabilir;
DNS sunucunuz sadece kurumunuza hizmet etmelidir ve DNS
sunucunuza sadece yetkisi olanlar eriebilmelidir.
DNS taleplerinin trafiinin denetlenmesi gereklidir: Bu sayede hem
DNSe gelebilecek saldrlar fark eder hem de saldrganlarn DNS tneli
benzeri yntemlerle kurum dna veri kardn tespit edebilirsiniz.
DNS sunucularnz gncel tutulmaldr: Dier btn sistemlerde olduu
gibi DNS yazlmlar iin gvenlik gncellemeleri ve yamalar yaynlanr,
bunlarn zamannda kurulmas ok nemlidir.
DNS sunucunuz zerinde alan servisleri snrlayn: DNS sunucunuz
zerinde FTP, HTTP, SMTP gibi hizmetleri kaldrmakta fayda var.

Sparta Biliim www.sparta.com.tr - Aralk 2015

Sparta Biliim Ankara merkezli, kamu, enerji, finans ve eitli

sektrlerde byk irketlere hizmet veren bir siber gvenlik
firmasdr. Szma testi ve siber gvenlik danmanl
hizmetlerinin yannda; SOME (Siber Olaylara Mdahale Ekibi)
kurulumu gibi pek ok alanda anahtar teslim proje sunmaktadr.

2015 Sparta Biliim Teknolojileri Danmanlk San. ve Tic. Ltd. ti

Sparta Biliim www.sparta.com.tr - Aralk 2015