Domain name server (DNS) hijacking, DNS yeniden yönlendirmesi olarak da adlandırılmaktadır. Kullanıcıları beklenmeyen bir anda kötü amaçlı sitelere yönlendirebilmek için DNS sorgularının hatalı şekilde çözümlendiği DNS saldırısı türüdür. Saldırı yapılırken saldırgan, kullanıcıların bilgisayarlarına kötü amaçlı yazılım yükleyebilir, yönlendiricileri ele geçirebilir, DNS iletişimini kesebilir ya da hackler.
DNS hijacking pharming veya phising için kullanılabilmektedir.
Çok fazla sayıda İnternet Servis Sağlayıcısı (ISS), DNS isteklerini devralmak, istatistikleri toplamak ve bilinmeyen domaine erişim sağlandığında reklamları döndürmek için DNS hijackingin bir yöntemini kullanır.
Bazı hükümetler ve yönetimciler, DNS korsanlığını sansürleme için kullanır ve böylece kullanıcılar sadece devlet tarafından yetkilendirilmiş sitelere yönlendirilir.
DNS Korsanlığı Saldırı Türleri
Dört temel DNS yeniden yönlendirme türü bulunmaktadır:
Local DNS hijack — Saldırganlar, kurbanın bilgisayarına Truva atı yazılımını yükler ve kötü amaçlı web sitelere yönlendirmek için local DNS ayarlarını değiştirir.
Router DNS Hijack — Birçok Router( yönlendiricinin) varsayılan parolaları veya ürün yazılımı güvenlik açığı bulunmaktadır. Bu nedenle Saldırganlar bir yönlendiricinin yönetimini ele geçirebilir ve böylece yönlendiriciye bağlanmış tüm kullanıcıları etkileyerek DNS ayarlarının üzerine yazabilir.
Man in the middle DNS saldırısı — En çok tercih edilen yöntemlerden birisi olan bu saldırı tipinde saldırganlar, kullanıcının DNS isteklerini yakalar ve kullanıcıyla DNS serverı arasındaki iletişimi keserek ve kötü amaçlı siteleri işaretleyen farklı hedefleri olan IP adresleri ayarlar yani kendi DNS sunucusuna yönlendirir.
Hileli DNS Server — Saldırgan bu yöntemde DNS sunucusunu hackler ve DNS isteklerini kötü amaçlı sitelere yönlendirmek için DNS kayıtlarını değiştirir.
DNS Hijacking vs Spoofing Saldırıları
DNS sahtekarlığı yani spoofing, kısaca trafiğin www.google.com gibi yasal bir web sitesinden google.attacker.com gibi kötü niyetli bir web sitesine yönlendirildiği bir saldırı türüdür. Bu yöntem DNS hijacking/redirection kullanılarak yapılabilir. Örneğin, DNS serverının güvenliğini riske atarak, yasal siteleri sahte hale getirip bu siteler aracılığıyla kendi istekleri olan kötü sitelere yönlendirebilir.
Cache Poisoning (Önbellek zehirlenmesi) ise, DNS hijacking kullanmadan DNS spoofing yapmanın başka bir yöntemidir. DNS serverları, yönlendiriciler ve bilgisayarlar DNS kayıtlarını önbelleğe alırlar. Bu yüzden saldırganlar, aynı domain adı için alternatif bir IP hedefi olan sahte DNS girişi ekleyerek DNS önbelleğini “zehirleyebilir”. DNS sunucusu , önbellek yenilenene kadar domaini sahte web sitesine dönüştürür.
Korunmak için ne yapılabilir?
DNS name server, saldırıya uğrayabileceği ve hackerlar tarafından DDoS saldırıları düzenlemede kullanılabildiği için, güçlü güvenlik önlemleri gerektiren oldukça hassas bir altyapısı vardır.
- Network çözümleyicileri takip edin. Gereksiz DNS çözümleyicilerini kapatın.
- Name server erişimi ciddi şekilde kısıtlayın. Fiziksel güvenlik, çok faktörlü erişim, firewall ve network güvenlik önlemleri kullanılmalıdır.
- Önbellek zehirlenmesine karşı önlem alabilmek için; rastgele bir kaynak bağlantı noktası kullanın, sorgu kimliğini rastgele seçin ve domain isimlerinde harfleri büyük küçük olacak şekilde rastgele seçin.
- Bilinen güvenlik açıklarını mutlaka yamalayın.
- Yetkilendirilmiş name server çözümleyiciden ayırın.
- Alan transferlerini kısıtlandırın.
End users için;
- Yönlendirici parolalarını değiştirebilirsiniz
- Virüs koruma yazılımı yükleyerek ve şifreli bir VPN kanalı kullanabilirsiniz.
Böylece DNS hijackinge karşı koruma sağlanabilir. Kullanıcının internet servis sağlayıcısı DNS’lerini çalabiliyorsa, Google Public DNS, HTTPS üzerinden Google DNS ve Cisco OpenDNS gibi ücretsiz, alternatif bir DNS hizmeti alabilirler.
Websiteleri için;
- Güvenli erişim (Secure Access). DNS kayıtlarını almak için iki faktörlü kimlik doğrulamayı kullanın ve DNS ayarlarına erişebilen IP adresleri listesi oluşturun.
- İstemci kilidi desteklenip desteklenmediğini kontrol edin.
- DNSSEC kullanımını destekleyen bir DNS kayıt şirketi kullanın ve etkinleştirin. DNSSEC, DNS iletişimini dijital imza ile hackerların server ile DNS arasına girmesini zorlaştırmaktadır.