Hiç Google’a gittiğinizde veya bir şeyler arattığınızda nelerin olduğunu merak ettiniz mi?
Bu milisaniyeler süren olayın arkasında bir dizi olay örgüsü var.
Açılış
Bilgisayarlar ilk açıldığında, modem tarafından onlara bir IP adresi atanır. Bu olay DHCP denilen bir protokol ile sağlanır.
DHCP genellikle ev ve küçük işletmelerde kullanılır. Bir DHCP sunucusu (genellikle modem) ağdaki cihazlara bir IP adresi tanımlar. Bilgisayar ilk açıldığında, DHCP isteği gönderir ve DHCP sunucusu uygun bir IP adresi sağlar.
Tanışma
Bilgisayarlar açıldığında aynı ağdaki diğer cihazları tanımak isterler ki onlarla konuşmak kolay olsun. Bunu, bir ortama girdiğinizde kendinizi tanıtmak gibi düşünebilirsiniz.
Ağdaki her cihazın (modem dahil) bir ARP (Address Resolution Protocol) denilen bir tablosu vardır. Burada hangi IP adresinin hangi fiziksel adrese (MAC Adresi) ait olduğunu tutarlar.
MAC Adresi: Cihazların fiziksel olarak benzersiz tanımlayıcısıdır. MAC adresleri genellikle üreticisi tarafından cihazınızın donanımına önceden atanmış bir değerdir, bu yüzden fiziksel adres de denir.
Cihaz internete ilk bağlandığında ve DHCP ona bir IP adresi atadığında, modem cihazın MAC ve IP adresini kendi ARP tablosuna kaydeder. Aynı şekilde cihaz da kendi ARP tablosunda modemin MAC ve IP adresini kaydeder. Eğer ağda başka cihazlar da varsa, bu işlem her cihaz için uygulanır.
IP nedir?
IP (Internet Protocol) isminden anlaşıldığı üzere internetteki cihazları tanımlayan ve ayıran bir “Tanımlayıcı Numara”dır. Örneğin, bir bilgisayarla iletişim kurmak istediğinizde, onun IP adresini alırsınız. Bunu bir arkadaşınızı aramak istediğinizde numarasını alıp aramak gibi düşünebilirsiniz.
Örneğin google.com’un IP adresi “216.58.214.14” şeklindedir. Tarayıcınıza “216.58.214.14” yazarsanız, sizi google.com’a yönlendirecektir.
Günlük hayatımızda google.com’a bağlanırken doğrudan IP adresini yazmak yerine, adresi ezberlemesi ve akılda tutması zor olduğu için sadece arama çubuğuna “google.com” yazarak gidiyoruz. Peki, Google’a bağlanmak için IP adresine ihtiyacımız olduğuna göre nasıl oluyor da herhangi bir IP adresi vermeden Google’a bağlanabiliyoruz? İşte tam bu noktada DNS devreye giriyor.
DNS Nedir?
DNS (Domain Name System), bir kayıt defteridir. Kayıt defterlerinin temel mantığı, hangi numaranın hangi kişiye ait olduğunu saklamak, kaydetmek ve bulundurmaktır.
DNS’in mantığı da tam olarak bu şekildedir. DNS, hangi domain adresinin (ör. google.com) hangi IP adresine karşılık geldiğini bilen bir sunucudur.
Örneğin:
google.com → 216.58.214.14
youtube.com → 172.217.17.238
twitter.com → 104.244.42.65
DNS sayesinde bir web sunucusunun IP adresini ezberlemeden daha akılda kalabilen domain adreslerini yazarak onlara erişebiliyoruz.
Google’a gidiş
İlk olarak arama çubuğuna google.com yazdığımızda yapılan ilk işlem, işletim sisteminin kendi Host dosyasında o domain adresinin olup olmadığını kontrol etmektir. Eğer varsa, direkt olarak o domain adresine karşılık gelen IP değerini alır ve oraya gider. Ancak, senaryonuzda bu durumun gerçekleşmediğini kabul edelim.
Bilgisayarımız, host dosyasında istediğini bulamadığında, ilk iş olarak DNS’e google.com’un IP adresini sorar. Çünkü Google’a gitmek için IP adresini bilmesi gerekmektedir.
Burada aklınızda bir soru oluşmuş olabilir: Peki cihazımız hangi DNS sunucusuna gideceğini nasıl biliyor? Yani DNS sunucusunun “IP adresini” nasıl biliyor? Sonuçta IP adresini bilmeden DNS sunucusuyla dahi iletişim kuramaz.
Bunun cevabı aslında modemlerde bunun otomatik olarak ayarlanmış olmasıdır. Tabii ki bunu değiştirebiliriz, ancak şu an sadece DNS sunucusuna gittiğini bilmeniz yeterli olacaktır.
Bilgisayarınız DNS sunucusuna gider ve “Merhaba, google.com’un IP adresini öğrenebilir miyim?” diye sorar. Sonrasında DNS sunucusunun kayıtlarında olan google.com domainine sahip IP adresini bilgisayarınıza iletir. Bu noktadan sonra bilgisayarınız google.com’un IP adresini öğrenir ve artık nereye gitmesi gerektiğini bilir. Burada Google’a gittiğinde, TCP 3-Way handshake (Üçlü el sıkışma) denilen bir doğrulama protokolü ile iletişimlerini başlatırlar.
Three-way handshake (Üçlü el sıkışma):
Kısaca birbirleriyle iletişim kurmak isteyen iki cihazın birbirlerini doğrulamak için kullandığı bir güvenlik protokolüdür.
Adından da anlaşılacağı üzere üç adımdan oluşur.
İlk adım (SYN)
İlk adımda bilgisayarınız, Google’a bir SYN paketi göndererek iletişim kurmak istediğini belirtir.
İkinci adım (SYN+ACK)
İkinci adımda Google, size SYN ve ACK paketlerini göndererek iletişim talebinizi kabul ettiğini ve iletişime hazır olduğunu bildirir.
Üçüncü adım (ACK)
Bu son adımda, bilgisayarınız Google’a bir ACK paketi göndererek iletişimi onaylar ve doğrulama tamamlanır. Böylece bağlantı sağlanmış olur.
Bu işlemleri bir hikaye halinde anlatmak gerekirse;
İlk adım (SYN)
Bu adımda bilgisayarınız Google’a şu şekilde bir mesaj gönderir:
“Merhaba Google! Konuşabilir miyiz?”
İkinci adım (SYN+ACK)
Bu ikinci adımda Google’ın size verdiği yanıtı şuna benzetebiliriz:
“Merhaba! Konuşmak istediğini duydum, evet, konuşabiliriz.”
Üçüncü adım (ACK)
Bu son adımda, bilgisayarınız Google’a şu şekilde bir ileti gönderir:
“Merhaba Google! Ben seninle konuşmak istediğimi söylemiştim, sen de bunu kabul etmiştin. Hadi konuşalım o zaman.”
Böylece bağlantı kurulurken ve bağlantı boyunca karşıdaki kişinin gerçekten Google olduğunu doğrularız.
Evet, tebrikler! Google’a eriştiniz. Belki günde onlarca kez yaptığınız bu işlemin arkasında yatan olayları en basit haliyle anlatmaya çalıştım. Şimdi ise burada oluşabilecek iki güvenlik istismarından bahsetmek istiyorum.
DNS HACKING
Başta DNS sunucularının bir telefon defteri gibi olduğundan söz etmiştim bu defterlerin güvenliği her zaman kontrol edilmelidir çünkü eşinizi arayacakken yanlışlıkla patronunuzu aramak istemezsiniz.
Eğer bir saldırgan DNS sunucusunu tehlikeye atar ve içerisindeki değerleri değiştirebilirse siz, instagram’a gittiğinizi zannederken aslında saldırganın hazırladığı sahte bir siteye gidebilirsiniz.
Giriş yapmak için bilgilerinizi girdiğinizde bilgilerinizi saldırgan kolaylıkla ele geçirebilir.
İşin kötüsü bu durum sadece size özel bir durum değildir saldırgan DNS sunucusuna saldırdığı için tüm dünyadan instagrama giden kişiler farkında olmadan saldırganın hazırladığı sahte siteye gidebilirler.
İşte bu nedenlerden dolayı DNS sunucularının güvenliği çok önemlidir.
TCP SYN FLOOD
TCP SYN saldırdısı aslında bir nevi DOS (DANIAL OF SERVCIE) saldırısıdır Yukarıda sözünü ettiğim üçlü el sıkışmada saldırgan hedef sunucuya sürekli olarak ilk adımı gönderir ve oradan ayrılır, sunucuda sürekli olarak buna karşılık verir ve saldırgandan üçüncü adımı bekler ama saldırgan bu adımı asla gerçekleştirmez.
Bu istekler çoğaldığında ise sunucu, bunlarla uğraşmaktan masum bir kişinin yanıtına cevap veremez ve o kişi siteye erişmekte sorunlar yaşar böylece saldırgan istediğini gerçekleştirmiş olur.
Umarım anlaşılır olmuştur iyi günler!
