DNS Önbellek Z...
 
Bildirimler
Hepsini Temizle

DNS Önbellek Zehirlenmesi: Açıklık ve Kapanması  

  RSS
Mustafa KASIKCI
(@mustafakasikci)
Üye


Internet'in temel protokollerinden olan DNS üzerinde çok ciddi bir açık bulunmuştur.

Son günlerde görünürlüğü, etkisi ve alınan önlemleri açısından çokça
tartışılan, Dan Kaminsky tarafından bulunan DNS protokol açığı, belli
başlı ürünler için çözülmüş olmasına rağmen, açıklığı suistimal
edebilecek saldırı araçlarının ortaya çıkması ve hala tüm ağ ve
bilgisayar markaları tarafından çözümlerin sunulmamış olmasından
dolayı, daha uzunca bir süre güvenlik açısından bir sorun olmaya devam
edecek gibi görünmektedir.

DNS açıklığı bundan üç yıl önce Ian Green adlı bir SANS öğrencisi
tarafından farkedilmiş olsa da, Dan Kaminsky'nin açığın pratik
uygulamasını farkederek yamaların yayınlandığının açıklaması 9 Temmuz
2008 tarihine, US-CERT tarafında duyurulmasıysa 7 Temmuz 2008 tarihine
denk gelmektedir. Bundan takriben bir ay öncesinden beri bilinmesine
rağmen açıklık gizli tutulmuş, belli başlı üreticiler çözümlerini
koordineli bir şekilde oluşturana kadar herhangi bir açıklama
yapılmayarak, açıklığın genel olarak suistimali ihtimali azaltılmıştır.

Internete bağlı tüm DNS sunucularının www.bilgiguvenligi.gov.tr
adresinde yayınlamış olduğumuz açıklık ve saldırıyı anlatan makaleyi
inceleyerek gerekli önlemlerin alınması tavsiye edilmektedir.

Yazanlar: Bahtiyar Bircan, Can Bican

Son günlerde görünürlüğü, etkisi ve alınan önlemleri açısından çokça
tartışılan, Dan Kaminsky tarafından bulunan DNS protokol açığı, belli
başlı ürünler için çözülmüş olmasına rağmen, açıklığı suistimal
edebilecek saldırı araçlarının ortaya çıkması ve hala tüm ağ ve
bilgisayar markaları tarafından
çözümlerin sunulmamış olmasından dolayı, daha uzunca bir süre güvenlik
açısından bir sorun olmaya devam edecek gibi görünmektedir.

DNS açıklığı bundan üç yıl önce Ian Green1 adlı bir SANS öğrencisi tarafından farkedilmiş olsa da, Dan
Kaminsky'nin açığın pratik uygulamasını farkederek yamaların yayınlandığının açıklaması 9 Temmuz 20082
tarihine, US-CERT tarafından duyurulmasıysa 7 Temmuz 20083
tarihine denk gelmektedir. Bundan takriben bir ay öncesinden beri
bilinmesine rağmen açıklık gizli tutulmuş, belli başlı üreticiler
çözümlerini koordineli bir şekilde oluşturana kadar herhangi bir
açıklama yapılmayarak, açıklığın genel olarak suistimali ihtimali
azaltılmıştır. Bu açıklığın diğer açıklıklara kıyasla farklı yöntemler
kullanarak çözülmesinin en büyük nedenlerinden biri de, Internet
altyapısına arz ettiği tehlikedir: “Sıfırıncı gün saldırıları”nın hemen
hemen tüm DNS sunucularını etkileyeceği düşünülürse, Internet
altyapısında etkili olan başlıca markalar yamalarını üretmeden
açıklığın açıklanması, ancak kötü niyetli bir hareket olabilirdi.

Bu yazıda, açıklığın niteliği ve olası tesiri hakkında bilgi
verilecek, örnek bir saldırı gösterilecek ve alınabilecek önlemler
belirtilecektir.

Açıklığın Doğası

DNS (Domain Name System) Internet'teki alan isimlerinin (www.tubitak.gov.tr
gibi) IP adreslerine (192.140.80.201 gibi) ve IP adreslerinin alan
isimlerine dönüştürülmesinden sorumludur. Bu göreviyle Internet'e bağlı
herhangi bir sistemin normal çalışmasında kritik bir bileşendir. DNS
protokolünün tanımı ve gerçeklenmesi RFC 1035'tetanımlanmıştır.

DNS kullanılmaya başladığından beri sistemlerde en sık bulunan
“önbellek zehirlenmesi”, bu yazının
konusu olan DNS açıklığının da saldırdığı zayıflıktır. Önbellek
zehirlenmesi, bir DNS sunucusuna yetkisiz bir kaynaktan veri
yüklenmesine verilen genel isimdir. Hatalı yazılımla, yapılandırma
hatalarıyla ya da DNS protokolünün açıklarıyla başarıyla iletilen özgün
olmayan veri, sistem performansını artırmak için saldırılan sunucunun
önbelleğine gelir ve böylece önbellek “zehirlenmiş” olur. Alan adının
sunucusunun IP
adresinin ya da alan adının NS kaydının yönlendirilmesine dayanan
değişik yöntemlerle zehirlenme mümkündür. Bir üçüncü yöntem de, gerçek
alan adı sunucusu yanıt vermeden, kötü niyetli sunucunun araya girerek
yanıt vermesine dayananan, man-in-the-middle (araya girmek) türünden
bir saldırıyla DNS sunucusunun önbelleğinin zehirlenmesidir. Bu tür
saldırılar, sorgu yapıldığında asıl yanıt vermesi beklenen DNS
sunucusundan önce saldırganın yanıt vermesi esasına dayanır.

Bir DNS mesajı, header (başlık), question(soru), answer(yanıt),
authority(yetki), additional(ekler)
olmak üzere beş bölümden oluşur. Bunlardan konuyla ilgili olan “header”
bölümünün ilk 16 biti ID olarak isimlendirilmiş bir “nonce
olarak tanımlıdır ve sorguyu düzenleyen program tarafından
doldurulan bir alandır. Bu alan, sorguya verilen yanıta da birebir
kopyalanır ve böylece soru-yanıt eşleştirmesi sağlanabilir. Araya
girilerek yapılan önbellek zehirlenmesi saldırıları, bu sayının tahmin
edilmesine dayanır.

Önce Ian Green'in farkettiği ve Dan Kaminsky'nin farkındalığı artırarak
uygulama seviyesinde çözümleri koordine ettiği açıklık, kullandığı
yöntemler ve zafiyetler açısından yeni olmamasına rağmen, olası
nonce'ların azlığı, sorguların kaynak kapılarının rastgele seçilmemesi
ya da yetersiz rastgelelikte seçilmesi gibi durumların bir arada
araştırılması sonucunda, etkili bir yöntem bulunduğunun görülmesinden
sonra açıklık olarak belirlenmiştir.

 

Haberin Devamı 

Alıntı
Gönderildi : 05/08/2008 15:17
Paylaş: