Servis Zafiyetleri ve Riskler/3.DNS, SMB

Zafiyet ve Riskler konusunda yazdığım yazı dizimin bu seferki konuları DNS ve SMB. Hadi başlayalım.

Duygu Ozcan

Published in

lTunes Tribe

3 min readMay 23, 2019

Yeniden merhabalar. Yazı dizimiz devam ediyor. Umarım içerikten memnun kalırsınız. Güzel okumalar…

DNS Nedir?

DNS (Domain Name System) yani “Alan Adı Sistemi” host isimlerini IP’ ye (Internet Protocol) çevirmek için kullanılır. Aslında IP adresleri rakamlardan oluşur, DNS bu IP numaralarının kelimelerle ifade edilmesine yarar. Host isimleri 256 karaktere kadar büyüyebilir. Uygulama katmanında en çok kullanılan protokollerden biri olan DNS, bir aracı sistem gibi düşünülebilir. Çift yönlü çalışır.

DNS Riskleri Nelerdir?

Yaygın olarak kullanılan bir servis olan DNS için oluşabilecek saldırılar ve riskleri açıklayalım.

DNS Flood

Servisin kullanımını durdurmak için saldırgan tarafından çokça DNS sorgusu yapılır. DNS sunucusunun kapasitesinin üzerinde sorgu yapılması servisin kullanım dışı kalmasına sebep olabilir. Bu saldırı için iki hususa dikkat edilmelidir. DNS sunucuları yapıladırmalarının eksiksiz olması ve ISP’lerin RFC üzerinde belirtilen kural ve ilişkileri mükemmel bir şekilde uygulaması gerekir. Böylece saldırı başarı olasılığı düşecektir.

ISP (Internet Service Provider): Yani İnternet Servis Sağlayıcısı, internet sağlayıcılardır. Türkiye’de “TTNET, Turkcell, TurkNet vb” firmalar ISP firmalarıdır.
RFC:(Request For Comment): Türkçe karşılığı Yorumlar İçin Talep olan RFC, internet standartlarını içeren bir doküman gibi düşünülebilir. Her protokol ve protokol mekanizmasını tanımlayan bir RFC doküman vardır.

Yukarıdaki ISP’lerin RFC mükemmel uygulaması durumu; elinizde yapılandırmayı, hangi protokol üzerinde hangi standartların uygulanması gerektiğini gösteren bir kılavuz var ve sizin bu kılavuz üzerinde gösterilen adımları uygulamanız gibi düşünülebilir.

DNS Zehirlenmesi

DNS yazılımı üzerinde bulunan bir kusur, önbellek zehirleme saldırısının gerçekleşmesine olanak sağlayacaktır. Bunu biraz açmak gerekirse; DNSSEC kullanılmayan sunucu, kendisine gelen bir istek kaynağının güvenilirliğini belirleyemezse saldırgan kullanıcıları zararlı bir site ya da yazılıma yönlendirerek, kullanıcının zararlı bir içeriğe ulaşmasına neden olacaktır.

DNSSEC (DNS Security Extensions): DNSSEC teknolojisi, istemci sunucu arasındaki web sayfası ya da servisin IP adresini doğrulayarak güvenli iletişimi sağlar.

DNS Hijacking

Kullanıcı bilgisayarının TCP/IP ayarları üzerinde yapılan değişiklikle birlikte kullanıcı yapay bir DNS’e yönlendirilir. Kullanıcının bilgisayarında bulunan saldırgan bir yazılım, DNS sorgu sonuçlarını saldırgana aktarır.

En kötü senaryonun DNS Hijacking olduğunu düşünüyorum. Çünkü burada kullanıcı tespiti gerçekten zor. Neyse sıradaki servisimiz gelsin..

SMB Nedir?

SMB (Server Message Block), “Sunucu İleti Bloğu” sunucu istemci arasındaki iletişimi sağlar. SMB kullanımına örnek olarak: ağ bağlantıları, yazıcı bağlantıları vb verilebilir. OSI modelinin “Uygulama Katmanında çalışır.

OSI Modeli (Open Systems Interconnection): Ağ kullanan makineler üzerindeki uygulamaların iletişim stratejisi tanımlanır. OSI modeli standarttır, herhangi bir değişiklik göstermez.

SMB’nin default olarak kullanıldığı portları listelersek;

445/TCP

137/TCP, UDP

138/UDP

139/TCP

SMB Riskleri Nedir?

SMB’nin uğrayabileceği saldırılar iki çeşittir. DoS Atakları ve Ortadaki Adam saldırıları.

DoS Atakları:

DoS (Denial of Service) atağının mantığında bir sunucuya eş zamanlı olarak ve çok sayıda istek gönderilerek, sunucunun kapasitesinin aşılması sonucu çalışamaması hedeflenir.Bunun neticesinde Firewall (güvenlik duvarı) paketler arasında güvenli ya da güvensiz olanı seçemez. Böylece zararlı yazılımlar güvenlik duvarını aşarak lokal sistemlere sızdırılır. Saldırı tek bir bilgisayar üzerinden oluşursa DoS, bir çok makine kullanılarak yapılırsa DDoS olur.

Ortadaki Adam Saldırısı:

İngilizce’de Man In The Middle olarak geçen ortadaki adam saldırısı, saldırganın istemci sunucu arasındaki iletişimi kesmesiyle oluşur. Bu saldırı OSI mimarsindeki 2 katman olan Data Link’te gerçekleşir. Yani saldırgan bütün bu iletişim trafiğine hakim olur. Ağ içerisine yüklenen şifresiz her bir paketin bu saldırı ile ele geçirilme olasılığı vardır. Kablosuz ağlarda paketler broadcast olarak yayıldığı için tüm paketler saldırgan tarafından yakalanabilir. Buna alınabilecek en güzel önlem ise ilettiğiniz veriyi şifrelemeniz ya da HTTPS gibi daha güvenli protokoller üzerinden yürütmeniz olacaktır.