ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Güvenlik

DNS Spoofing Nedir?

DNS Spoofing (DNS Önbellek Zehirlemesi olarak anılır), yetkisi olmayan bir ana makinenin bir Etki Alanı Adı Sunucusu’na (DNS) ve tüm isteklerine yönlendirdiği bir saldırıdır. Bu, temel olarak bir saldırganın tüm DNS isteklerini ve dolayısıyla tüm trafiğini kendi (veya ona ait) makineye yönlendirebilir, kötü niyetli bir şekilde manipüle edebilir ve muhtemelen geçilen verileri çalabilir. Bu, algılanması çok zor olduğundan daha tehlikeli saldırılardan biridir, ancak bugün size hem nasıl uygulandığını, hem de ağınızdaki bir başkası tarafından gerçekleştirilip gerçekleştirilmediğini nasıl algılayacağımızı göstereceğim.

1.HAZIRLIK

Kali Linux’u önyükleyerek başlayalım. ister Sanal Makine (VM), yerel bir önyükleme veya çift önyükleme. Henüz Kali’ye sahip değilseniz (artık bu web sitesinde olduğunuzu kabul etmeliyiz) resmi web sitesinde bulabilirsiniz.

Devam etmeden önce çalışan bir İnternet bağlantınızın olduğundan emin olun ve hedefinizle aynı ağı kullandığınızdan emin olun. Bu bir LAN (veya WLAN) saldırısıdır ve bu nedenle hem saldırgan hem de kurban aynı ağ geçidine sahip olmalıdır. Mağdurun herhangi bir işletim sistemine sahip olma ön şartı önemli değildir.

 

2.YAPILANDIRMA

Ettercap tool’u bugün bizim tercih ettiğimiz uygulama olduğundan konfigürasyon dosyasını düzenlemeliyiz. /etc/iletcap/etter.conf dosyasına gidelim ve dosyayı gedit gibi bir metin düzenleyiciyle açıp dosyayı düzenleyelim. Bunun için Terminal’i kullanabiliriz.

clip_image001

Şimdi uid ve gid değerlerini en üstteki 0(sıfır) değerini görmek için düzenlemek istiyoruz, bu yüzden değerleri 0’a çekin.

clip_image003

Şimdi, Linux yazan başlığı bulana kadar aşağıya doğru ilerleyin ve bunun altında her # ile başlayan “if you use iptables” yazan işaretleri kaldırın.

clip_image005

Süper, buraya kadar geldiyseniz konfigürasyon bitti. İşte bu kadar J

3.ETTERCAP

Şimdi Ettercap’i açarak işleme başlayalım. Bunu launchpad veya Terminal’i kullanarak yapabilirsiniz. Ben terminali seçiyorum Devam edin ve Terminal’i açın ve şunu yazın:

clip_image006

clip_image008

Ardından, sniffing interface seçeneğini seçmek istiyoruz. Şimdi hızlı adımları inceleyelim.

Önce Sniff’i seçin> Unified sniffing…>(İnternet’e bağlı arabirimi seçin)> OK

 

(Terminal ifconfig yazarak ve hangi arabirimin size bir IP adresi verdiğini görerek hangi arabirimin internete bağlandığını öğrenebilirsiniz).

 

Daha sonra Start > Stop sniffing çünkü OK tuşuna bastıktan sonra otomatik olarak sniffing başlıyor ve bunu istemiyoruz.

 

Şimdi ağımızdaki hedefleri taramak ve birini seçmek istiyoruz. Bunu yapmak için, Hosts > Scan for hosts’a gidin ve taramayı başlayana kadar bekleyin. Ağınızın boyutuna bağlı olarak yalnızca birkaç saniye sürecektir (ki bu çok büyük değildir).

clip_image010

Tarama ile uğraştık ve hedeflerimizi gördük. Ettercap’in bulduğu tüm hedefleri görmek için Hosts ve Hosts List‘i seçin.

Şimdi yapmak istediğimiz, kurbanımızın makinesini TARGET 1’e, ağ geçidi TARGET 2’ye eklememize karşın, ilk olarak her iki IP adresini de bilmeliyiz. Kurbanımızın IP adresini öğrenmek için öncelikle saldıran kim olduğumuzu bilmeliyiz ve hedef makinede ihtiyacımız olan bilgileri bulmak için nmap‘ı kullanarak bunu yapabiliriz. Kurbanınızın kimliğinden emin olduktan sonra Ettercap’daki ana bilgisayar listesinden IP adresini seçin ve TARGET 1’yi seçip hedefe ekle diyin. Artık ağ geçidi IP adresinizi (yönlendiricinizi) bulmanız gerekir. Bunu yapmak için, Terminal’i açın ve ifconfig yazın ve Bcast’in nereye gittiğine bakın: size ağ geçidinizin IP adresini söyleyecektir. Alternatif olarak, route -n komutunu da kullanabilirsiniz. Şimdi, ana bilgisayar listesinden ağ geçidi IP’sini seçin ve Add to TARGET 2’yi seçin.

clip_image012

4.AKSİYON

Şimdi her iki Hedefi de kurbanımıza ve ağ geçidine ayarladık, saldırıya geçebiliriz.

 

MITM sekmesine gidin ve ARP poisoning seçin, Sniff remote connections seçin ve OK‘a basın. Şimdi Plugins > Manage the plugins’e gidin ve bu eklentiyi etkinleştirmek için dns_spoof‘u çift tıklayın.

 

Şimdi Ettercap klasöründeki başka bir dosyayı düzenlemeliyiz.

clip_image013

Bu etter.dns dosyası hosts dosyasıdır ve belirli DNS isteklerini yeniden yönlendirmekten sorumludur. Temel olarak, eğer hedef facebook.com’a girerse, Facebook’un web sitesine yönlendirilirler, ancak bu dosya hepsini değiştirebilir. Burası sihirin gerçekleştiği yer, bu yüzden onu düzenleyelim.

 

Ancak, önce, hosts dosyasında neler yapılabileceğini ve ne yapılacağını açıklayayım. Dolayısıyla gerçek bir hayat senaryosunda, bir saldırgan bu fırsatı kullanarak trafiği sniffing için kendi makinelerine yönlendirir. Bu, Kali makinesinde bir Apache sunucusu başlatarak ve varsayılan ana sayfayı bir facebook.com veya yemeksepeti.com klonuna dönüştürerek, mağdur bu web sitelerini ziyaret edince saldırgan makinesine yönlendirildikten sonra onun sunduğunu görecektir. “Sözü edilen sitelerin klonları“. Bu muhtemelen masum olmayan kullanıcıları, kimlik bilgilerini kimlerin bilmemesi gereken yerlere girmelerine kandırır. Evet bunuda anlattığımıza göre, hadi yapalım.

 

Öncelikle, herhangi bir web sitesinden trafiği, Kali makinenize yönlendirin. Bunun için “redirect it to www.linux.org;” yazan yere gidin ve aşağıda olduğu gibi başka bir satır ekleyin, ancak şimdi istediğiniz web sitesini kullanın. Ayrıca, IP adresini IP adresinize değiştirmeyi unutmayın.

clip_image015

Şimdi, gelen trafiği kabul etmek için Apache’yi başlatmaya ihtiyacımız var.

clip_image016

Varsayılan html sayfası klasörüne geçelim. Kurbanın, yönlendirme yaptıklarında gördüklerini kontrol edebileceğimiz yer burasıdır. index.html sayfasını bulacağınız yer /var/www/html’dir. Belgeyi ihtiyaçlarınıza göre değiştirebilir ve sayfayı kaydedebilir ve değişiklikler anında etkili olur. Bakalım burada ne var. J

clip_image018

Burada yapılması gereken en son şey saldırıyı başlatmaktır. Ettercap’e geri dönün ve Start > Start sniffing‘i seçin.

Şimdi mağdur etter.dns dosyasında belirttiğiniz web sayfasını her ziyaret ettiğinde (benim durumum facebook.com), yukarıdaki bizim hazırladığımız ve göze çarpmayan sayfaya yönlendirilecektir. Saldırgan istenen sayfayı hemen getiren ve etter.dns dosyasını kuran ve oturum açma işlemini otomatik olarak dinleyen bir komut dosyası yazabileceğinden, bunun son derece kötü niyetli olabileceğini görebilirsiniz. Bu, gerçekten çok az kaynakla DNS Spoofing saldırısı gerçekleştirmenin çok basit olduğunu size göstermektedir.

 

5. TESPİT ETMEK

Öyleyse kendinizi nasıl korursunuz? Birkaç yol vardır: ARP poisoning algılama için inşa edilmiş yazılımları kullanın veya düzenli arp komutunu manuel olarak kontrol edin.

Önce yazılımlara bakalım, önerebileceğim birkaçı var.

1.XArp

GUI ile geliştirilmiş ARP spoofing algılama ve aktif probing yazılımı. Bu tür bir iş için tasarlanmış ve hem Windows hem de Linux üzerinde çalışıyor (OS X için de yapılandırılabilir).

2.Snort

Muhtemelen Snort’u IDS özelliği ile biliyorsunuzdur, ancak eminim ki aynı zamanda ARP spoofing da yakaladığını duymamışsınızdır.

3.ArpON

Bu ARP’yi spoofing ve cache poisoning karşı korumak için taşınabilir bir işleyici arka plan programıdır.

Arpwatch, Antidot ve ArpAlert gibi birkaç kişi daha var ancak onları Google’layarak kullanabilirsin. Onları da yazamadım

Şimdi, peki manuel kontrol nasıl?

Bu, size biraz önceden bilgi vermenizi gerektirdiği için biraz zor. Yapabileceğiniz şey varsayılan ağ geçidinin (diğer bir deyişle yönlendiriciniz) MAC adresini (veya onu gördüğünüzde tanımanıza yardımcı olacak kısımlarını) ve ARP önbellekte kontrol etmeyi unutmayın.

ARP önbelleğini kontrol etmek için Terminal’e gidin ve arp -a yazın ve böyle çeşitli girişleri göreceksiniz:

clip_image020

BSSID (MAC adresi) girişlerini ‘güvenlik‘ nedenleriyle kaldırdım.

 

Ağ geçidinizin MAC adresinin ilk veya son 6 karakteri gibi bir şey hatırlayabilir ve arp -a‘nın eşleşip eşleşmediğini sürekli olarak kontrol ederseniz, kendiniz herhangi bir üçüncü parti yazılımına ihtiyaç duymadan ARP zehirlenmesini algılamanın bir yolunu bulursunuz. Harika değil mi

 

SONUÇ OLARAK DNS SPOOFİNG

Artık DNS spoofing nasıl çalıştığını ve en önemlisi kendinizi nasıl koruyacağınızı biliyorsunuzdur. Bu özellikle gerçek hayat senaryolarında yararlıdır ve umarım eğer bununla karşılaşırsanız, nasıl tespit edip kaçınacağınızı bileceksiniz.

 

Cenker Çetin

Tarih : 07 Ocak 2018 Pazar 22:54 Yayınlayan: Cenker Çetin

Yorumlar

 

Hakan UZUNER

Eline sağlık.

Ocak 8, 2018 00:14
 

Cahit YOLACAN

Güzel makale elinize sağlık.

Ocak 8, 2018 12:33
 

Omer TUNC

teşekkürler elinize sağlık.

Ocak 10, 2018 02:03
 

mehmetaliozdas

Eline sağlık hocam.

Ocak 14, 2018 14:22
 

Hayrettin Şendil

Çok açıklayıcı ve güzel bir makale olmuş.

Elinize sağlık.

Ocak 18, 2018 09:52
 

Yavuz Arslan

Bu tip makalelerde her zaman aklima takilan sorular olmustur. Bunu yapan kisi buyuk ihtimalle icerdeki kotu niyetli biri. Bu kisi vm kurup kali ile local agdan nasil ip aliyor, aliyorsa firewall calismiyormu, it manager nerde, kayitsiz kullanicilari neden analiz etmiyor. Firewall da ip mac bind yapilmamismi dlp tarzi bir kontrol yazilimi kullanilmiyormu. Bu sorulari cevaplayabilirmisiniz. Tesekkurler..

Şubat 19, 2018 15:30
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Cenker Çetin

1984 yılında İstanbul’da doğdum. 2000 yılından itibaren aktif olarak iş hayatındayım. Şu anda Anadolu Üniversitesi Yönetim Bilişim Sistemleri bölümünü okumaktayım. Akademik hedefim öncelikli olarak Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Yüksek Lisans programını tamamlamak ardından da aynı bölümün Doktora eğitimini tamamlayarak Türkiye’deki “Ph.D. Program in Management Information Systems” ünvanını almış sayılı kişiden biri olmak. Tüm iş hayatım boyunca çok ilginç kurum ve şirketlerde, keyifli projelerde, mükemmel insanlarla çalıştım. Çok seyahat ettim, onlarca farklı şehirden ve ülkeden, bambaşka kültürlerden çok değerli insanlar tanıdım, her birinden hayata ve yaşama dair çok şey öğrendim, öğrenmeye de devam ediyorum. Şu anda Cisco ‘da High Touch Operations Manager olarak görev almakta ve aynı zamanda Serbest(freelance) olarak bilgi teknolojileri alanında danışmanlık vermekteyim. Hedefim yılların vermiş olduğu birikim, eğitim ve araştırma sonucunda geliştirmiş olduğum iş modelleri ile büyük kurumlara yönelik projeler geliştirebilmek ve halen daha üzerinde çalışmakta olduğum fikirler ile geleceğimizi daha kolay ve yaşanabilir hale getirmek için oluşturmaya çalıştığım projeleri gerçekliğe dönüştürmek. Seyahat etmekten, dostlarımla kaliteli zaman geçirmekten, kafa yormaya değecek yeni insanlar tanımaktan, bir şeyler üretmekten, yemekten, müzikten, fotoğraf çekmekten, yeni şeyler öğrenmekten; özetle kendime heyecan veren herhangi bir şeyle ilgilenmekten büyük keyif alıyorum.

Bu Kategori

Hızlı aktarma

Etiketler