DNS Hijacking Saldırıları Nedir? Nasıl Korunulur?
DNS (Domain Name System – Alan Adı Sistemi), sunucuların ya da web sitelerinin internet ağı üzerinde aldıkları isme denir.
Web sitelerinin ağda herkese açık bir şekilde görüntülenebilmesi için IP adresleri atanır. Peki istediğiniz web sitesine giriş yapabilmek için IP adresini akılda tutmak şart mı? Hayır, IPv4 standartlarına göre 32 bitten oluşan IP adreslerini akılda tutmak zor olduğundan DNS kullanılır. Böylece IP adreslerine DNS tanımlanır ve yalnızca web sitesinin ismini girmek yeterli olur. IP adresleri ve DNS arasındaki ilişki telefon rehberine benzer. İnsanlar telefon rehberlerindeki telefon numaralarını ezbere bilmese de isimlerini aratarak hedef kişiye ulaşabilirler. Aynı işlevi sunucular aracılığıyla yapan DNS, gelen istekleri belirtilen alan adına karşılık gelen IP adresine yönlendirir. DNS servisinin doğru bir şekilde çalışmasını engelleyen bazı siber saldırılar mevcuttur.
DNS Hijacking Nedir?
DNS servisinin siber saldırganlar tarafından yönlendirilerek kötü amaçlı web sitelerine aktarması durumuna DNS hijacking denir. DNS yanlış alan adı çözümlemesi yaptığında kullanıcılar hedefledikleri web sitesi yerine farklı bir adrese giriş yapar. Kullanıcıların girdiği yanlış adreslerde ise veriler istenmeyen kişi ya da kurumların eline geçebilir veya kullanıcılar reklam sitelerine yönlendirilerek üzerlerinden maddi kazanç elde edilebilir. Hem kişisel hem de finansal verilerin sızmasına yol açabilecek DNS hijacking, oltalama (phishing) yöntemiyle yapılır.
DNS Saldırı Türleri Nelerdir?
DNS saldırıları Local DNS Hijacking, MITM DNS Attacks, Router DNS Hijacking ve Rogue DNS Server olmak üzere 4 farklı kategoriye ayrılır.
Local DNS Hijacking
Siber saldırganların hedefledikleri bilgisayarlara zararlı yazılımları ya da kod bloklarını yüklemeleri ile ortaya çıkan Local DNS hijacking, bilgisayarın DNS ayarlarını değiştirir. Bu sayede kullanıcılar zararlı web sitelerine yönlendirilir.
MITM DNS Attacks
Man In The Middle olarak adlandırılan MITM, istemci ve sunucu arasındaki trafiği görüntüleyerek bu trafiğin değiştirilmesine yol açar. İstemciden gelen istekleri sunucuya yönlendirirken ağ üzerindeki kullanıcıları hedefleyen MITM DNS attacks, aracı konumdadır. Bu saldırı DNS sunucusu ile istek yapan kullanıcı arasına girer ve isteklerin DNS sunucusuna gelmesini engeller. Süreci kontrol altına alan siber saldırganlar, kullanıcıların hedefledikleri adres yerine kendi belirledikleri kötü amaçlı IP adreslerine yönlendirme yaparlar.
Router DNS Hijacking
Router cihazlarını hedefleyen Router DNS hijacking, Router’ı ilk kurulumundan itibaren kontrol edebilir. Kurulum sırasında kullanılan parola değiştirilmediği zaman siber saldırganların kolayca ulaşabildiği bir cihaz hâline gelir. Bu parola zafiyeti sayesinde router cihazını ele geçiren siber saldırganlar DNS ayarlarını değiştirir ve router cihazına bağlı tüm kullanıcıların isteklerini kendi belirledikleri IP adreslerine yönlendirir. Böylece kullanıcılara oltalama saldırıları (phising attacks) yapılarak kişisel ya da kurumsal verileri elde edilebilir.
Rogue DNS Server
DNS sunucularının ele geçirilip kötü amaçlar doğrultusunda kullanılmasına Rogue DNS server denir. Siber saldırganlar tarafından kontrol edilen bu makinede DNS kayıtları değiştirilebilir, DNS Server makinesine gelen istekler farklı adreslere yönlendirilebilir ve kullanıcıların cihazlara erişim izni engellenebilir. Bu saldırı yönteminde veriler risk altına girerken makineye bağlı operasyonel süreçlerin aksama ihtimali de vardır.
DNS Hijacking Saldırılarından Korunma Yolları Nelerdir?
DNS hijacking saldırılarından korunmak için alınması gereken önlemler şunlardır:
- Aktif olarak kullanılan DNS sunucuları yetkisi olmayan kullanıcılar için erişime kapatılmalıdır. Güvenlik duvarının arkasına yerleştirilen sunucuların erişime kapatılması mümkündür.
- Kimlik doğrulama işlemi ağ tabanında aktif hâle getirilmelidir.
- Ağ üzerindeki DNS sunucularına erişim kuralları ilgili donanım ya da yazılım araçlarıyla belirtilmelidir. Böylece çok faktörlü erişim kontrolü yapılabilir.
- Query ID, Source Port ve benzeri değerler rastgele olarak ayarlanmalıdır. Bunun yanı sıra domain adının da büyük ve küçük harflerden oluşan bir yapıdan meydana gelmesi güvenliğin artmasına yardımcı olabilir.
- Kişisel ya da kurumsal kullanıcılar, router cihazlarını kurduktan sonra varsayılan parolalarını değiştirmelidir.
- Kurum içinden ya da kurum dışından gelebilecek DNS saldırılarına bir siber saldırgan gözüyle bakılıp ilgili güvenlik açıkları kapatılmalıdır.
- DNS Server ve Name Server farklı makinelerde kurulursa birine yapılan saldırıdan diğeri etkilenmez. Bu sayede tek makineye yapılan DDoS saldırılarında diğer makine düzgün bir şekilde çalışmaya devam edebilir.
- DNS saldırıları sonucunda ilgili makinelere erişimin engellenmesi amacıyla antivirüs programları kullanılabilir.
- VPN aracılığıyla DNS trafiğinin şifrelenmesi mümkündür.
Berqnet Firewall ile Siber Güvenlik
DNS hijacking, kullanıcıları yanlış web sayfalarına yönlendirdiği için ağ trafiğini etkileyebilir ve hassas verilerin istenmeyen kişilerin eline geçmesine neden olabilir. Peki DNS hijacking ve diğer ağ saldırılarından nasıl korunulur? Ağ ve sistem trafiğini tek bir platform aracılığıyla kolayca yönetmeye imkân tanıyan Berqnet Firewall, siber güvenliğin en modern çözümlerinden biridir. Uygun yazılım ve donanımların bir araya gelmesiyle tasarlanan güvenlik duvarları ağ trafiğini önceden belirlenen kurallara göre denetleyerek saldırıları engellemeye yardımcı olur. Siz de Web Filtreleme, 5651 Log Yönetimi, Uygulama Filtreleme, VPN, Hotspot ve IDS gibi özelliklerin yer aldığı Berqnet Firewall ürününü tercih edebilir ve siber saldırılara karşı ağ trafiğini kontrol ederek güvenlik tedbirleri alabilirsiniz.
Sıkça Sorulan Sorular
DNS hijacking, kullanıcıları farklı web sitelerine yönlendirdiği için hassas kişisel verileri ya da finansal verileri elde etmeye yöneliktir. Böylece kullanıcıların parola, kredi kartı bilgisi ve kurumsal veriler gibi önemli unsurlar siber saldırganların kontrolü altına geçebilir. Ayrıca siber suçlular, maddi gelir elde etmek amacıyla kullanıcıları reklamların bulunduğu farklı bir sayfaya yönlendirebilir ve burada web trafiğini artırabilir. Aynı zamanda siber suçluların elde ettikleri verilere karşılık fidye talep etmesi de mümkündür. Kötü amaçlı kullandıkları fidye yazılımını ağ üzerinde yayan siber saldırganlar, daha fazla kişi ya da kuruma ulaşabilmek için yaygın olarak DNS saldırılarından yararlanır.
Siber suçluların DNS saldırısı sonucunda gerçekmiş gibi kullanıcılara sundukları web siteleri, kimlik avı ile dolandırıcılığa yol açar. Kullanıcılar girdikleri web sitesinin gerçek olduğunu düşünerek parolalarını girebilir ya da alışveriş yapmak için kredi kartı bilgilerini paylaşabilir. Bu bağlantılar üzerinden işlem yapan kullanıcılar, kimlik avı yöntemiyle dolandırılmış olur.
IP adreslerini akılda tutma mecburiyetini ortadan kaldırarak alan adlarıyla arama motorlarında sorgulama yapmayı ve dilediğiniz web sitesine ulaşmayı hızlı bir hâle getiren DNS, sunucular aracılığıyla faaliyet gösterir. Web trafiğini engellemeyi, web trafiği üzerinde değişiklikler yapmayı ve web siteleri aracılığıyla kullanıcıların kişisel ya da finansal verilerini ele geçirmeyi hedefleyen siber saldırganlar, DNS sunucularına saldırı yapar. Özellikle büyük kurumlara ya da veri merkezlerine yapılan DNS saldırılarında operasyonel süreçler aksadığından ve büyük hacimdeki veriler risk altında kaldığından pek çok problem ortaya çıkabilir. Ardından siber saldırganlar ele geçirdikleri veriler ve ağ trafiği hakkında fidye talep edebilir ya da bu güvenlik açıklarını halka sunarak ilgili firmanın kurumsal itibarını zedelemeye yönelik kullanabilir.