DNS Atakları (Orijinal)
Değerli THT userları, bu makalemde sizlere DNS atakları hakkında bir kaç şey anlatacağım. Dns atakları genel olarak üç başlık altında toplanabilir. Bunlar; Registrar’a yönelik, Sunucu kayıtlarına yönelik, Domainlere yönelik ataklardır.
İlk olarak değineceğim DNS atak türü Registrar firmalarına ait olanlardır. Bu atak türünde DNS kayıtlarının toplandığı ve dağıtıldığı ana merkeze, registrar firmasına çeşitli exploitlerle saldırılar düzenlenir. Bu saldırılar çoğunlukla registrar firmasını hedef alır ve onun whois bilgilerini değiştirmekle yetinilir. Geçenlerde Metu’nun whois bilgilerinin basit bir exploitle değiştirildiğini gördük(m).
İkinci atak türü sunucuların tuttuğu dns kayıtlarına yönelik ataklardır. Belki de en önemli hacking/cracking potansiyeli buralardadır. Çünkü bir snifer ve rootkit yardımıyla makineye sızan biri bu kayıtları kolayca değiştirebilir. Sahip olması gereken tek şey root yetkileridir. Sunucuların hemen hepsinde bazı dns kayıtları tutulur. Bunlar Aname, MX, C gibi kayıtlardır. Bu kayıtlar ise bazı dosyalara işlenir ve oradan okunur. Örneğin siz WHM’de bir kayıt yaptığınızda bu dns kaydının ip bilgileri /etc/wwwacct.conf içerisine işlenir ve buradan okunur. Bu dosyaya erişildiğinde dns ile ilgili ip kayıtları değiştirilebilir. Yne aynı şekilde /etc/named.conf ve /var/named/hedefsite.com.db gibi kayıtlarda değişiklik yapılarak da dns atakları gerçekleştirilmiş olur. Sunuculardaki bir diğer DNS atak potansiyeli ise formlardır. Birçok sunucu üçüncü parti scriptlerle dns bilgilerini değiştirmeye izin verir. Tahmin edersiniz ki bu scriptlerin kullandığı veritabanları ve yazılım dilleri sql injection gibi denemelere açık olabilir. Örneğin kendi scriptinden onlinenic firmasına kayıt değişikliği gönderen bir scriptin çözümlenmesi, taklit edilmesi, veritabanına müdahale edilmesi gibi durumları düşünürsek bu yöntemin de geçerliliğini anlarız.
Son yöntem genelde bilindik yöntemlerle bir domainin dns kayıtlarını değiştirmedir. Bu yöntemde kayıtlı maili hackleyip domain paneline ulaşmaya, keylogger ile şifreye ulaşmaya, fake maille bilgileri almaya kadar birçok yol denenebilir. Dolayısıyla bu yöntem kullanıcı hatalarının süistimaliyle hayat bulmaktadır.
DNS atakları günümüzde de popüler bir yöntem olmakla beraber Türk bilişimcisi tarafından yeterince bilinmiyor. Hem güvenlik hem hacking bağlamında bu atakların içeriğini iyi kavramak ve yöntemleri geliştirmek gerekiyor.
Saygılar // THE_MILLER
Değerli THT userları, bu makalemde sizlere DNS atakları hakkında bir kaç şey anlatacağım. Dns atakları genel olarak üç başlık altında toplanabilir. Bunlar; Registrar’a yönelik, Sunucu kayıtlarına yönelik, Domainlere yönelik ataklardır.
İlk olarak değineceğim DNS atak türü Registrar firmalarına ait olanlardır. Bu atak türünde DNS kayıtlarının toplandığı ve dağıtıldığı ana merkeze, registrar firmasına çeşitli exploitlerle saldırılar düzenlenir. Bu saldırılar çoğunlukla registrar firmasını hedef alır ve onun whois bilgilerini değiştirmekle yetinilir. Geçenlerde Metu’nun whois bilgilerinin basit bir exploitle değiştirildiğini gördük(m).
İkinci atak türü sunucuların tuttuğu dns kayıtlarına yönelik ataklardır. Belki de en önemli hacking/cracking potansiyeli buralardadır. Çünkü bir snifer ve rootkit yardımıyla makineye sızan biri bu kayıtları kolayca değiştirebilir. Sahip olması gereken tek şey root yetkileridir. Sunucuların hemen hepsinde bazı dns kayıtları tutulur. Bunlar Aname, MX, C gibi kayıtlardır. Bu kayıtlar ise bazı dosyalara işlenir ve oradan okunur. Örneğin siz WHM’de bir kayıt yaptığınızda bu dns kaydının ip bilgileri /etc/wwwacct.conf içerisine işlenir ve buradan okunur. Bu dosyaya erişildiğinde dns ile ilgili ip kayıtları değiştirilebilir. Yne aynı şekilde /etc/named.conf ve /var/named/hedefsite.com.db gibi kayıtlarda değişiklik yapılarak da dns atakları gerçekleştirilmiş olur. Sunuculardaki bir diğer DNS atak potansiyeli ise formlardır. Birçok sunucu üçüncü parti scriptlerle dns bilgilerini değiştirmeye izin verir. Tahmin edersiniz ki bu scriptlerin kullandığı veritabanları ve yazılım dilleri sql injection gibi denemelere açık olabilir. Örneğin kendi scriptinden onlinenic firmasına kayıt değişikliği gönderen bir scriptin çözümlenmesi, taklit edilmesi, veritabanına müdahale edilmesi gibi durumları düşünürsek bu yöntemin de geçerliliğini anlarız.
Son yöntem genelde bilindik yöntemlerle bir domainin dns kayıtlarını değiştirmedir. Bu yöntemde kayıtlı maili hackleyip domain paneline ulaşmaya, keylogger ile şifreye ulaşmaya, fake maille bilgileri almaya kadar birçok yol denenebilir. Dolayısıyla bu yöntem kullanıcı hatalarının süistimaliyle hayat bulmaktadır.
DNS atakları günümüzde de popüler bir yöntem olmakla beraber Türk bilişimcisi tarafından yeterince bilinmiyor. Hem güvenlik hem hacking bağlamında bu atakların içeriğini iyi kavramak ve yöntemleri geliştirmek gerekiyor.
Saygılar // THE_MILLER
