DNS spoofing, bir saldırganın DNS (Alan Adı Sistemi)
sunucularını veya istemcilerini kandırarak, kullanıcıları sahte web sitelerine
yönlendirdiği kötü niyetli bir siber saldırı türüdür. Bu saldırıda,
saldırganlar, meşru web sitelerinin IP adreslerini değiştirerek, kullanıcıların
tarayıcılarını sahte web sitelerine yönlendirirler.
Bu yazımda dns spoofing işlemini göreceğiz, her şeyden önce
biraz ufak tefek can sıkıcı bilgiler 😊
DNS internetin telefon
rehberi olarak düşünebiliriz. İnternet üzerindeki sunucular, bilgisayarlar birbirleri
ile ip adresleri (örn, 192.168.1.1) üzerinden haberleşmektedir. Bu ip
adreslerini kafada tutmak zor olduğundan kolayca aklımızda tutabileceğimiz alan
adları (örn, google.com) kullanılmaktadır. DNS, bu alan adlarına karşılık gelen
ip adreslere çevirerek internetin daha kolay, kullanıcı dostu olmasını sağlar.
Peki DNS’ i anladık ya DNS
SPOOFING?
DNS Spoofing işleminde siber saldırganlar MITM ile araya
girer ve kullanıcı aratmış olduğu google.com adresi
ile internette yönlendirilmesi gereken adres 204.79.197.200
iken saldırgan bu alan adını kendi web sunucusuna (apache2-10.0.2.4) yönlendirir. Burada kullanıcının
erişmek istediği alan adına benzer sahte bir web sitesi oluşturabilir kurbanın
hassas bilgileri (kullanıcı adları, şifreler, kredi kartı bilgileri vb.) ele
geçirilebilir.
*DNS spoofing, internet kullanıcıları için ciddi bir
güvenlik tehdidi oluşturur.
* Bu saldırı,
kullanıcıların hassas bilgilerini çalmak, kötü amaçlı yazılım yaymak veya diğer
kötü niyetli amaçlar için kullanılabilir.
* Kullanıcıların, DNS
spoofing'den korunmak için güvenlik önlemleri almaları önemlidir.
Uygulama:
İşe ilk önce web sunucumuzu kurmakla başlayalım. “ service apache2 start “ komutu ile Apache web
sunucumuzu başlatıyoruz.
Burada ifconfig komutu ile ip
adresimizi öğreniyoruz. Web sunucumuzun kontrolü için birazdan Windows makinemize
gidip testini gerçekleştireceğiz.
Güncel Windows ve Chrome bulunan makinemize gidip
tarayıcımıza Apache sunucumuzu kurduğumuz makinenin ip adresini yazıyoruz. Evet
görseldeki gibi default Apache sayfasının geldiğini görmekteyiz.
Kali makineme geri dönüp burada web dosyalarımızın yer
aldığı “ /var/www/html “ hedef klasörüne giderek
az önce Windows makinemizde karşımıza çıkan varsayılan sayfanın bulunduğu “ index.html “ dosyasını
herhangi bir text editör uygulaması ile değiştirelim.
Web sunucusunda yer alan html komutlarını
yapıştıralım. Burada siber saldırganlar hedef sitelerin web dosya stillerini
birebir aynı hale getirirler. Amaçları sizlerin sahte bir web sunucusuna
bağlandığınızı anlamamanızı istemeleridir.
Yaptığımız değişikliklerin
kontrolü için tekrardan windows makinemizde apache sunucumuzu barındıran ip
adresimizi yazıyoruz. Ve yaptığımız değişikliklerin gerçekleştiğini
görmekteyiz. (Türkçe karakterler geminiAİ suçu :D)
Burada bettercap modülü ile bağlı olduğum networkte daha
öncede bahsetmiş olduğum spoof.cap adlı dosyamı çalıştırıyorum.
Caplet dosyamızın çalıştığını görmekteyiz. “ help “ ile birlikte modüllerimizin hangisinin aktif veya
pasif olduğunu görmekteyiz. Burada dns spoof modülümüzün “ not running “ olarak gösteriliyor.
Modüller hakkında diğer komutlar ve açıklamaları için “ help + modülAdi “ kullanıyorduk.
“ help dns.spoof “ yazarak
modülümüz hakkında bilgi edinmekteyiz.
Burada “ set dns.spoof.all true “
ile birlikte DNS sorgularının sahte yanıtlarla yanıt vermesi gerektiğini
belirtiyoruz.
Aaa herşeyden önce hedef sitemiz ne olsun daha ona karar
vermedik 😊
Tabikide kişisel sitem olan www.mustafakorkmaz.tr olması dışında
başka bir olasılık YOK!
Neyse kalimize geri dönelim. Şimdi ise “ set dns.spoof.domains mustafakorkmaz.tr, *mustafakorkmaz.tr “
ile birlikte hedef sitemizi belirtiyoruz. İsterseniz başka bir siteyi ekleyebilirsiniz.
Birden fazla alan adı belirtmek için “ , “ den sonra yazmanız yeterli olacaktır, ben yıldız ekleyerek
tüm alt alan adlarında dns zehirlenmesi gerçekleştirilmesini istiyorum.
Start işlemi için tek komutumuz olan “ dns.spoof on “ ile DNS Spoofing işlemini başlatıyoruz.
Aşağıda her iki alan adından gelen istemcilerin yönlendirileceği
ip adresleri gözükmektedir.
Tarayıcımızda önbellek vb. yüzünden hatalar ile karşılaşmamak
için “ ctrl+ shift + delete” ile birlikte tarama
verilerini siliyoruz. Haydi şimdi test zamanı!
Evet aşağıdaki görselde gözüktüğü gibi bağlanmak istediğim
sitede az önce Apache sunucumuzdaki kendi hazırladığımız bir html dosyasını
görmekteyiz. DNS Spoofing işlemi ile saldırgan
istediği sahte bir web sitesini karşınıza çıkartabilir ve bununla birlikte Kimlik
Avı (Phishing), Kötü Amaçlı Yazılım Dağıtımı, Trafik Yönlendirme gibi kötü
amaçlar içeren saldırıların hedefi olabilirsiniz
Burada Kali’ de gelen
logların ekran görüntüsünü sizlerle paylaşmak istedim.
Korunma Yolları:
DNSSEC Kullanımı:
- DNS
sorgularının doğruluğunu kontrol eden bu güvenlik protokolünü kullanmak,
sahte yanıtlardan korunmanın en etkili yoludur.
VPN
Kullanımı:
- VPN,
internet trafiğinizi şifreleyerek ve DNS sorgularınızı koruyarak ek bir
güvenlik katmanı oluşturur.
Güvenilir DNS Sunucuları:
- Google
DNS veya Cloudflare DNS gibi bilinen ve güvenilir DNS sunucularını
kullanmak, sahte DNS yanıtı alma riskinizi azaltır.
Tarayıcı Güvenliği:
- Tarayıcınızı
güncel tutun ve HTTPS Everywhere gibi güvenlik eklentilerini kullanın.
Dikkatli Olmak:
- Şüpheli
bağlantılara tıklamaktan kaçının ve web sitesi adreslerini dikkatlice
kontrol edin.
***Bu makalede açıklanan saldırı teknikleri, yalnızca
siber güvenlik uzmanlarının ve etik hacker'ların yetkili oldukları sistemlerde
güvenlik testleri yapmaları amacıyla sunulmuştur. Bu tekniklerin yetkisiz
kullanımı, ciddi yasal sonuçlar doğurabilir. Herhangi bir sisteme yetkisiz
erişim sağlamak, ilgili yasa ve yönetmeliklere aykırıdır. Bu nedenle, bu
bilgileri kullanmadan önce gerekli yasal izinleri aldığınızdan emin olun.
Yazar, bu bilgilerin yasa dışı veya etik olmayan amaçlarla kullanılmasından dolayı
sorumluluk kabul etmemektedir