Bildiğiniz gibi bugün ekşisözlük, inci-sozluk ve uludağsözlük sitelerine bir saldırı düzenlendi.
Bu saldırıların nedeni Hz. muhafazid hakkında yazılan hakaret içerikli yazılar.
Bu olaylar yaşanınca herkes meraklandı, bu kadar büyük siteler nasıl kolayca kapatılabildi?
ilk önce şunu belirtelim bunu yapan kişi yada kişiler amatör değil ancak bu sitelerin sunucularına girme, index atma gibi bir durumda söz konusu değil, peki ama bunu nasıl yaptılar?
Cevap: Dns poisoning (Dns önbelleği zehirleme)
Dns nedir?
Dünya üzerinde 13 adet root dns sunucusu vardır, bu dns sunucular ip adreslerinin hangi alan adlarını çözümleyeceği konusunda omurgayı oluştururlar.
Her sunucunun bir ip adresi bulunmaktadır, ancak sitelere ip adresi yazarak girmessiniz çünkü aklınızda tutmanız oldukça zordur, bu yüzden alan adları (domain) vardır.
Siz bilgisayarınızdan bir siteye girmek istediğinizde site adresini yazarsınız, kullandığınız dnsler bu site adresini çözümleyerek o sitenin bulunduğu ip adresini çözümler
ve siteye bağlantı yapmış olursunuz. Sunucu tarafına bunu tanımlayabilmeniz için ise, herhangi bir domain üzerine alt dns adresleri oluşturursunuz ve bu dns adreslerine sunucunun ip adresini tanımlarsınız, sitenizi bu oluşturduğunuz dnslere yönlendirdiğinizde artık alan adınızın hangi ipleri çözümleyeceği bellidir, insanlar sizin sitenize ulaşabilir bu süreci yöneten
taraf sunucunuzdaki dns server yazılımıdır.
Dns poisoning nedir nasıl yapılır?
Dns poisoning tanımı 1993 te ortaya çıkmıştır, yıllar geçtikçede tehlike yaratma boyutu artmıştır.
Örneğin abc.com sitemiz var, siz bu siteye girmek için bir talep yaptınız, sizin bilgisayarınızda kullandığınız dnsler karşı tarafı çözümledi, abc.com un bulunduğu sunucunun dns sunucusuda buna cevap verdi, dns tarafındaki çözümleme başarıyla tamamlandı. Ancak dns sunucuların büyük kısmı real-time eş zamanlı çalışmamaktadır, bir cache mekanizması kullanmaktadır, bu mantığa göre sürekli yapılmış queryler dns sunucusu tarafından cache edilip önbelleğe alınır, aynı tipteki sorgular geldiğinde dns sunucusu sisteme yük yapmadan
önbellekteki queryi karşı tarafa cevap olarak verir.
Saldırganın yaptığı şey ise ilgili yöntemleri kullanarak karşı sunucununun cache ettiği dns queryleri kendinin belirlediği queryler ile değiştirmek (query = sorgu)
Hal böyle olduğunda siz abc.com sitesine saldırıdan önce ping attığınızda sunucunun kendi ipi olan 1.1.1.1 ipini çözümlemiş oluyordunuz, herşey sorunsuzdu.
Ancak saldırgan karşı dns sunucunun dns önbelleğini zehirlediğinde, artık bu ipi değil saldırganın belirlediği ip adresini çözümleyeceksiniz.
Saldırgan herhangi bir yerden host alır, (bu hostun ip adresi 2.2.2.2) bu hostun ip adresinide dns önbelleği zehirlerken kullandığı ip adresiyle aynı kullandığında artık siz abc.com sitesine girmek istediğinizde dns sunucusunun vereceği ip yanıtı 2.2.2.2 olacak ve siz asıl site yerine saldırganın belirlediği siteye gitmiş olacaksınız.
Bu süreç sitenin kendi dns sunucularını kullanması veya harici bir dns hizmeti alması şeklindede aynıdır. Farklı bir dns hizmeti alıyorsa, dns hizmeti sağlayan firmanın dns önbelleği
zehirlenerek aynı süreç tekrarlanabilir.
Birden fazla dns sunucu yazılımı bulunmaktadır. Bind, nsd, mydns, microsoft dns, dnsmasq, djbdns, pdnsd v.b.
Yazılımlarda çıkabilecek açıklar bu tür durumların oluşmasına neden olabilmektedir, bu açık en son bind dns sunucularda tespit edilmiştir ancak daha sonra ek güncellemelerle
bu açık kapatılmıştır. Mynette geçen yıllarda bu şekilde hacklenmişti. Fakat hiçbir yazılım yada sistemin kapatılan açığının tekrar ortaya çıkmayacağının garantisi verilemez.
Biraz paranoyak bir düşünce olabilir ama saldırganların belkide root dns sunucuları üzerinde bile bir yetkileri olabilir bunun olmayacağının garantisinide kimse veremez.
Sevgiler...
Bu yazı Turkhackteam.net/org sitesi için Elazığlı168 tarafından yazılmıştır, kaynak gösterilmeden yayınlanması uygun değildir.
KAYNAK:
http://www.turkhackteam.n...zluk-nasil-hacklendi.html 
