DNS Hijacking Saldırıları Nedir? Nasıl Korunulur?

Web sitelerinin ağda herkese açık bir şekilde görüntülenebilmesi için IP adresleri atanır. Peki istediğiniz web sitesine giriş yapabilmek için IP adresini akılda tutmak şart mı? Hayır, IPv4 standartlarına göre 32 bitten oluşan IP adreslerini akılda tutmak zor olduğundan DNS kullanılır. Böylece IP adreslerine DNS tanımlanır ve yalnızca web sitesinin ismini girmek yeterli olur. IP adresleri ve DNS arasındaki ilişki telefon rehberine benzer. İnsanlar telefon rehberlerindeki telefon numaralarını ezbere bilmese de isimlerini aratarak hedef kişiye ulaşabilirler. Aynı işlevi sunucular aracılığıyla yapan DNS, gelen istekleri belirtilen alan adına karşılık gelen IP adresine yönlendirir. DNS servisinin doğru bir şekilde çalışmasını engelleyen bazı siber saldırılar mevcuttur.

DNS Hijacking Nedir?

DNS servisinin siber saldırganlar tarafından yönlendirilerek kötü amaçlı web sitelerine aktarması durumuna DNS hijacking denir. DNS yanlış alan adı çözümlemesi yaptığında kullanıcılar hedefledikleri web sitesi yerine farklı bir adrese giriş yapar. Kullanıcıların girdiği yanlış adreslerde ise veriler istenmeyen kişi ya da kurumların eline geçebilir veya kullanıcılar reklam sitelerine yönlendirilerek üzerlerinden maddi kazanç elde edilebilir. Hem kişisel hem de finansal verilerin sızmasına yol açabilecek DNS hijacking, oltalama (phishing) yöntemiyle yapılır.

DNS Saldırı Türleri Nelerdir?

DNS saldırıları Local DNS Hijacking, MITM DNS Attacks, Router DNS Hijacking ve Rogue DNS Server olmak üzere 4 farklı kategoriye ayrılır.

Local DNS Hijacking

Siber saldırganların hedefledikleri bilgisayarlara zararlı yazılımları ya da kod bloklarını yüklemeleri ile ortaya çıkan Local DNS hijacking, bilgisayarın DNS ayarlarını değiştirir. Bu sayede kullanıcılar zararlı web sitelerine yönlendirilir.

MITM DNS Attacks

Man In The Middle olarak adlandırılan MITM, istemci ve sunucu arasındaki trafiği görüntüleyerek bu trafiğin değiştirilmesine yol açar. İstemciden gelen istekleri sunucuya yönlendirirken ağ üzerindeki kullanıcıları hedefleyen MITM DNS attacks, aracı konumdadır. Bu saldırı DNS sunucusu ile istek yapan kullanıcı arasına girer ve isteklerin DNS sunucusuna gelmesini engeller. Süreci kontrol altına alan siber saldırganlar, kullanıcıların hedefledikleri adres yerine kendi belirledikleri kötü amaçlı IP adreslerine yönlendirme yaparlar.

Router DNS Hijacking

Router cihazlarını hedefleyen Router DNS hijacking, Router’ı ilk kurulumundan itibaren kontrol edebilir. Kurulum sırasında kullanılan parola değiştirilmediği zaman siber saldırganların kolayca ulaşabildiği bir cihaz hâline gelir. Bu parola zafiyeti sayesinde router cihazını ele geçiren siber saldırganlar DNS ayarlarını değiştirir ve router cihazına bağlı tüm kullanıcıların isteklerini kendi belirledikleri IP adreslerine yönlendirir. Böylece kullanıcılara oltalama saldırıları (phising attacks) yapılarak kişisel ya da kurumsal verileri elde edilebilir.

Rogue DNS Server

DNS sunucularının ele geçirilip kötü amaçlar doğrultusunda kullanılmasına Rogue DNS server denir. Siber saldırganlar tarafından kontrol edilen bu makinede DNS kayıtları değiştirilebilir, DNS Server makinesine gelen istekler farklı adreslere yönlendirilebilir ve kullanıcıların cihazlara erişim izni engellenebilir. Bu saldırı yönteminde veriler risk altına girerken makineye bağlı operasyonel süreçlerin aksama ihtimali de vardır.

DNS Hijacking Saldırılarından Korunma Yolları Nelerdir?

DNS hijacking saldırılarından korunmak için alınması gereken önlemler şunlardır:

• Aktif olarak kullanılan DNS sunucuları yetkisi olmayan kullanıcılar için erişime kapatılmalıdır. Güvenlik duvarının arkasına yerleştirilen sunucuların erişime kapatılması mümkündür.
• Kimlik doğrulama işlemi ağ tabanında aktif hâle getirilmelidir.
• Ağ üzerindeki DNS sunucularına erişim kuralları ilgili donanım ya da yazılım araçlarıyla belirtilmelidir. Böylece çok faktörlü erişim kontrolü yapılabilir.
• Query ID, Source Port ve benzeri değerler rastgele olarak ayarlanmalıdır. Bunun yanı sıra domain adının da büyük ve küçük harflerden oluşan bir yapıdan meydana gelmesi güvenliğin artmasına yardımcı olabilir.
• Kişisel ya da kurumsal kullanıcılar, router cihazlarını kurduktan sonra varsayılan parolalarını değiştirmelidir.
• Kurum içinden ya da kurum dışından gelebilecek DNS saldırılarına bir siber saldırgan gözüyle bakılıp ilgili güvenlik açıkları kapatılmalıdır.
• DNS Server ve Name Server farklı makinelerde kurulursa birine yapılan saldırıdan diğeri etkilenmez. Bu sayede tek makineye yapılan DDoS saldırılarında diğer makine düzgün bir şekilde çalışmaya devam edebilir.
• DNS saldırıları sonucunda ilgili makinelere erişimin engellenmesi amacıyla antivirüs programları kullanılabilir.
• VPN aracılığıyla DNS trafiğinin şifrelenmesi mümkündür.

Berqnet Firewall ile Siber Güvenlik

DNS hijacking, kullanıcıları yanlış web sayfalarına yönlendirdiği için ağ trafiğini etkileyebilir ve hassas verilerin istenmeyen kişilerin eline geçmesine neden olabilir. Peki DNS hijacking ve diğer ağ saldırılarından nasıl korunulur? Ağ ve sistem trafiğini tek bir platform aracılığıyla kolayca yönetmeye imkân tanıyan Berqnet Firewall, siber güvenliğin en modern çözümlerinden biridir. Uygun yazılım ve donanımların bir araya gelmesiyle tasarlanan güvenlik duvarları ağ trafiğini önceden belirlenen kurallara göre denetleyerek saldırıları engellemeye yardımcı olur. Siz de Web Filtreleme, 5651 Log Yönetimi, Uygulama Filtreleme, VPN, Hotspot ve IDS gibi özelliklerin yer aldığı Berqnet Firewall ürününü tercih edebilir ve siber saldırılara karşı ağ trafiğini kontrol ederek güvenlik tedbirleri alabilirsiniz.