DNS Ayarlarına Dikkat!

20 Ocak 2009

DNS Saldırı, atak, zehirleme

Bildiğiniz gibi internette web site adresleri ve alan adları kullanıyoruz, oysa Internet Explorer, Chrome, Firefox, Opera gibi web tarayıcılar alan adlarından anlamazlar ve web sitelerine bağlanmak için IP adreslerini öğrenmek isterler. Bu noktada devreye DNS servisi girer. DNS sunucular, sorulan web sitelerinin IP adreslerini söylerler.

Örneğin; www.google.com.tr adresine girmek istediğinizde bilgisayarınız aşağıdaki sorguyu otomatik olarak arka planda yapar.

C:\>nslookup
www.google.com.tr
Server: ttdns40.ttnet.net.tr
Address: 195.175.39.40

Non-authoritative answer:
Name: www.l.google.com
Addresses: 74.125.79.104, 74.125.79.103, 74.125.79.99, 74.125.79.147
Aliases: www.google.com.tr, www.google.com


İşte bu noktada bazı güvenlik riskleri ortaya çıkıyor. Bu IP adreslerinin kime, yani hangi DNS'lere sorulacağına dikkat etmek gerekiyor. Yukardaki örnekte TürkTelekomun DNS sunucusuna sorduk. Bir de 4.2.2.1'e soralım:

> www.google.com.tr
Server: vnsc-pri.sys.gtei.net
Address: 4.2.2.1

Non-authoritative answer:
Name: www.l.google.com
Addresses: 64.233.183.99, 64.233.183.103, 64.233.183.104, 64.233.183.147
Aliases: www.google.com.tr, www.google.com


Örneklerden anlaşıldığı gibi her iki DNS sunucu da Google'ın farklı IP adreslerini verdi.
Bunun anlamı şu: DNS sunucunuz kötü niyetliyse sizi farklı bir IP adresine yönlendirebilir ve gitmek istediğiniz sitenin kopyası olan sahte (fake) bir siteye girebilirsiniz. Bu örnekte Google değil de, bir banka sitesi sorgulandığını düşünürseniz tehlikenin boyutunu daha iyi tahmin edebilirsiniz sanırım.

Bu mantıkla üretilmiş bir trojan hakkında Onur Oktay tarafından yazılmış bir makaleyi aşağıda dikkatinize sunuyorum..

Serdar Kocaoğlu
MCSE:S
20.01.2009
DNSChanger Trojan Geri Döndü
Onun adı DNSChanger… 2005 yılında ortaya çıktı, milyonlarca bilgisayara, binlerce ağ(network)’a bulaştı… Verdiği zararlar çok sonraları tespit edilebildi.
Neredeyse çoğu kullanıcı onun, kendi bilgisayar sisteminde var olduğunu bile anlayamadı. Çünkü güncel ve bilinen güvenlik yazılımları ile antivirüs programları DNSChanger’ı tespit edemedi. Klasik zararlı yazılımlar gibi sadece Windows kullanıcılarına değil, MAC kullanıcılarına da bulaşarak kendi alanında efsane olmayı başardı.
İşte o efsane trojan (Zararlı yazılım) şimdi yenilenen ve güçlenen zararlı içeriği ile karşımıza tekrar çıktı.
DNSChanger ne yapıyor? Nasıl böyle bir zarar verebiliyor? Çalışma mantığı nedir?
DnsChanger sadece tekil bilgisayarlara değil, Ağa bağlı çalışan bilgisayarlara ve Ağ ortamlarına (Network) da zarar veriyor. Yeni versiyonda karşımıza daha da kötü ve acımasız olarak çıkan DnsChanger, bulaştığı bilgisayarlarda kendini gizleyerek, o bilgisayarların Ağ ortamlarına bağlanmasını bekliyor ve çıktığı zaman kendini ağ maskelerine bulaştırarak sistemin DNS Kayıtlarını değiştiriyor.
Böylece kullanıcılar sahte DNS kayıtları ile Internet ortamına erişmeye başlıyorlar. Bu tür erişimler, kullanıcılar nereye eriştiklerini farkında olmadan gerçekleşiyor ve kullanıcılar daha önceden hazırlanan sahte web sitelerine yönlendirilebiliyor ya da her zaman kullandıkları web sitelerinin bire-bire kopyası (fake web sayfası) ile karşılaşıp, durumu anlayamadan DNSchanger’in yemi olmuş oluyorlar.
Özellikle kablosuz ağ ortamlarının olduğu topluma açık paylaşım ağlarında sıklıkla ve rahatça yayılan DnsChanger, bulaştığı bilgisayarlarda 85.255.114.13, 85.255.112.174 numaralarını kullanan sahte DNS Kayıtları oluşturuyor. Eğer profesyonel bir Bilgisayar kullanıcısı değilseniz yani sıradan bir kullanıcı iseniz, bahsi geçen DNS kayıtlarına bakmak tabii ki aklınıza gelmeyecektir.
Böylece bu sahte DNS’leri kullanarak mı yoksa gerçekten kendi İnternet Servis Sağlayıcınızın atadığı DNS kayıt numarası ile internete eriştiğinizi tabii ki bilemeyeceksiniz.
DNSChangerin ne kadar tehlikeli bir trojan olduğunu anlayabilmek için işin boyutunu biraz daha geniş açıdan bakarsak, ülkemizde ADSL modemlerin güvenlik seviyesini ve bu modemleri kuran kişilerin kurulum güvenlik ayarlarını, kurulum şifreleri değiştirmemesini de işin içine katarsak durum sanıldığından daha vahim ve ürkütücü olmuş oluyor.
Çoğu kullanıcı, ADSL modem şifrelerini değiştirmeden, kurulumdaki varsayılan şifreyi kullanıyor. Ülkemizde halihazırda kullanılan ADSL modemlerin varsayılan şifrelerini Google üzerinden arattıran bir kişi çok rahatlıkla bu şifrelere erişebiliyor. Durum böyle olunca DNSChanger gibi zeki trojanların ADSL modeme girmesi ve buradan o modeme bağlanan bilgisayarlara kendini bulaştırması da zor olmuyor. DNSChanger kendi içine daha önceden yaratıcısı tarafından yerleştirilmiş Wordlisteki şifreleri tek tek deneyerek (brute-force, kaba kuvvet atağı) ilgili modeme Administrator yetkilisi olarak bağlanmaya çalışıyor ve bağlandığı zaman da o modeme bağlı tüm bilgisayarlar zararlı yazılımdan nasibini almış oluyor. Trojan kendi içerisindeki sahte web sitelerine kullanıcıları yönlendirerek kişisel bilgileri, kredi kartı bilgileri, e-posta ve MSN bilgileri gibi bilgileri sahibine gönderebiliyor. DNS Changer çoğunlukla Film, MP3 Siteleri, Forumlar ve Warez içerik barındıran web sitelerinden içerik indiren kullanıcılara bulaşıyor.
Yazının başında da belirttiğim gibi DnsChanger sadece Windows kullanıcılarını değil, MAC kullanıcılarını da etkileyerek kendi alanında farklılık yaratıyor ve bu da trojanın ne kadar ciddiye alınması gerektiğini bir kere daha gösteriyor.
Peki DNSChanger’dan nasıl korunacağız ?
Şu an aktif olarak yayılmaya devam eden zararlıyı maalesef ki bir çok güncel güvenlik programı engelleyememektedir. Bunun için sistemizi Anti-Malware yazılımları ile taratmalıyız. Bu temizlik işlemini gayet başarılı yapan bir programı tavsiye ediyorum. RapidShare adresinden ilgili programı indirerek sisteminizi taratabilir ve temizleyebilir yada sistemizin güvenliğinden emin olabilirsiniz. Programın üretici firma adresine : www.malwarebytes.org adresinden ulaşabilirsiniz. Onur Oktay

İlgili Yazılar:
Google'dan DNS Hizmeti
DNS Ayarları ve Yasaklanan Sitelere Erişim..
İnternette Büyük DNS Açığı Giderildi
ADSL Modem ve Kablosuz Ağ Güvenliği
Google'dan Youtube yasağına açıklama
Yasaklanan sitelere girmek suç mu?
Son günlerde yaşanan internet problemleri hakkında
dns, ayarlar, trojan, saldırı, atak, sorgu, dnschanger, alan adı, web sitesi, ip, IP adresi, domain, sunucu, servis, nslookup komutu, güvenlik, bilgisayar, network, ağ, mac, yazılım, brute force, şifre, adsl, dns zehirleme, poisoning

10 yorum var.. (Yorum Oku - Yorum Ekle):

a.c. krc 20 Ocak 2009 17:29  

güzel faydalı bi yazı
işletim sistemi olarak ubuntu
modem olarak usb kullanıyorum
riskim daha mı az daha mı çok?
cevaplarsanız sevinecem

Serdar Kocaoğlu 20 Ocak 2009 17:51  

Riskinizin daha az olduğu kesin. Öncelikle Ubuntu kullanmanız güvenlik açısından zaten başlı başına bir avantajdır çünkü trojan, virüs gibi tehditlerin büyük çoğunluğu Windows'u hedef alıyor. Modeminizin USB olmasının burada pek bir önemi yok, modemin yönetim şifresini varsayılan bırakırsanız, bu trojan modeme girerek DNS ayarlarını değiştirebilir.

Adsız 14 Ekim 2009 13:31  

DNSSEC Teknolojisi ile DNS Güvenliği sağlanacak!

Günümüzde kullanmış olduğumuz DNS Sistemi güvenlik olarak bir çok açığa sahip bir sistem. Siz DNS Sunucunuza diyorsunuz ki "bana www.abc.com'un ip adresini söyle" ve sunucunuz size ip adresi veriyor ama acaba bu cevabı gerçekten sizin DNS sunucunuz mu verdi?

Bilgisayarınız ile sunucunuz arasına girmiş kötü niyetli kişi de bu cevabı size göndermiş ve bu şekilde sizi istediği başka bir adrese yönlendirmiş olabilir. DNSSEC Teknolojisi Dijital İmza teknolojisini günümüzde kullandığımız DNS sistemine ekleyerek, DNS sunucularının kullanıcılara vermiş olduğu cevapların güvenliğini arttıracaktır. Dolayısıyla, internet kullanıcılarının bu konuda endişe etmesine gerek kalmayacak.

Adsız 18 Ekim 2009 22:42  

pekı dedıgınız tehlıkeye karsı alınacak onlem varmı..aynı zamanda da yıne değişik dns kullanma imkanı

Serdar Kocaoğlu 19 Ekim 2009 02:07  

Klasik tedbirler gerekli, yani antivirüs, antispyware, firewall vb. kullanmak. Bu yazılımları ve sistemi güncel tutmak ve hepsinden önemlisi dikkatli olmak. Bu tehlikelerin farkında olmak en büyük önlemdir..
Böyle bir virüs, DNS ayarlarınızı değiştireceği için, tedbir açısından hangi DNS'i kullandığınızın bir önemi yok..

Fatih Çelik 6 Eylül 2010 22:32  

Neden windows, linux ve mac üzerinde çalışan bind veya djbdns yazılımlarını kurup kendi dns serverinize güvenliğe kavuşmuyorsunuz?

Fatih Çelik 6 Eylül 2010 22:34  

Bind ve djbdns programları windows, linux ve mac üzerinde çalışır ve DNS ile ilgli bu dökümanda anlatılan saldırılardan uzak olursunuz...

Serdar Kocaoğlu 6 Eylül 2010 23:29  

Kendi DNS sunucunu kursan bile DNS ayarlarını değiştiren trojanlara bu yöntemle engel olamazsın. Yani kendi DNS sunucunu kurduğunda 127.0.0.1 olarak ayarladığın DNS'i trojan yine kendi art niyetli DNS IP'leriyle değiştirebilir tabi bunun için ekstra bir güvenlik önlemi yoksa..

Adsız 26 Ağustos 2012 22:49  

Benim aklımda kalan sorun ev ağındaki değiştirilen bir dns diyelim masa üstünden dsn değiştirdim bu ev ağındaki tüm pc lerde eçerli olur mu sadece masa üstündemi geçerli olur ? Aklıma takılan bu

Serdar Kocaoğlu 27 Ağustos 2012 09:20  

Sadece değiştirdiğiniz masaüstünde geçerli olur. Ev ağında geçerli olması için adsl modemdeki dns ayarlarını değiştirmelisiniz.

Yorum Gönder

-> "Anonim" seçeneğiyle isim vermeden yorum yazılabilir.
-> "Adı/URL" seçeneğiyle sadece isim verilerek de yorum eklenebilir.
-> Yorum yazarken anlaşılır olmaya ve Türkçe yazım kurallarına uymaya çalışınız!

YUKARI