1. 1.
    +4
    Bildiğiniz gibi bugün ekşisözlük, inci-sozluk ve uludağsözlük sitelerine bir saldırı düzenlendi.

    Bu saldırıların nedeni Hz. muhafazid hakkında yazılan hakaret içerikli yazılar.

    Bu olaylar yaşanınca herkes meraklandı, bu kadar büyük siteler nasıl kolayca kapatılabildi?

    ilk önce şunu belirtelim bunu yapan kişi yada kişiler amatör değil ancak bu sitelerin sunucularına girme, index atma gibi bir durumda söz konusu değil, peki ama bunu nasıl yaptılar?

    Cevap: Dns poisoning (Dns önbelleği zehirleme)

    Dns nedir?

    Dünya üzerinde 13 adet root dns sunucusu vardır, bu dns sunucular ip adreslerinin hangi alan adlarını çözümleyeceği konusunda omurgayı oluştururlar.

    Her sunucunun bir ip adresi bulunmaktadır, ancak sitelere ip adresi yazarak girmessiniz çünkü aklınızda tutmanız oldukça zordur, bu yüzden alan adları (domain) vardır.

    Siz bilgisayarınızdan bir siteye girmek istediğinizde site adresini yazarsınız, kullandığınız dnsler bu site adresini çözümleyerek o sitenin bulunduğu ip adresini çözümler
    ve siteye bağlantı yapmış olursunuz. Sunucu tarafına bunu tanımlayabilmeniz için ise, herhangi bir domain üzerine alt dns adresleri oluşturursunuz ve bu dns adreslerine sunucunun ip adresini tanımlarsınız, sitenizi bu oluşturduğunuz dnslere yönlendirdiğinizde artık alan adınızın hangi ipleri çözümleyeceği bellidir, insanlar sizin sitenize ulaşabilir bu süreci yöneten
    taraf sunucunuzdaki dns server yazılımıdır.

    Dns poisoning nedir nasıl yapılır?

    Dns poisoning tanımı 1993 te ortaya çıkmıştır, yıllar geçtikçede tehlike yaratma boyutu artmıştır.

    Örneğin abc.com sitemiz var, siz bu siteye girmek için bir talep yaptınız, sizin bilgisayarınızda kullandığınız dnsler karşı tarafı çözümledi, abc.com un bulunduğu sunucunun dns sunucusuda buna cevap verdi, dns tarafındaki çözümleme başarıyla tamamlandı. Ancak dns sunucuların büyük kısmı real-time eş zamanlı çalışmamaktadır, bir cache mekanizması kullanmaktadır, bu mantığa göre sürekli yapılmış queryler dns sunucusu tarafından cache edilip önbelleğe alınır, aynı tipteki sorgular geldiğinde dns sunucusu sisteme yük yapmadan
    önbellekteki queryi karşı tarafa cevap olarak verir.

    Saldırganın yaptığı şey ise ilgili yöntemleri kullanarak karşı sunucununun cache ettiği dns queryleri kendinin belirlediği queryler ile değiştirmek (query = sorgu)

    Hal böyle olduğunda siz abc.com sitesine saldırıdan önce ping attığınızda sunucunun kendi ipi olan 1.1.1.1 ipini çözümlemiş oluyordunuz, herşey sorunsuzdu.

    Ancak saldırgan karşı dns sunucunun dns önbelleğini zehirlediğinde, artık bu ipi değil saldırganın belirlediği ip adresini çözümleyeceksiniz.

    Saldırgan herhangi bir yerden host alır, (bu hostun ip adresi 2.2.2.2) bu hostun ip adresinide dns önbelleği zehirlerken kullandığı ip adresiyle aynı kullandığında artık siz abc.com sitesine girmek istediğinizde dns sunucusunun vereceği ip yanıtı 2.2.2.2 olacak ve siz asıl site yerine saldırganın belirlediği siteye gitmiş olacaksınız.

    Bu süreç sitenin kendi dns sunucularını kullanması veya harici bir dns hizmeti alması şeklindede aynıdır. Farklı bir dns hizmeti alıyorsa, dns hizmeti sağlayan firmanın dns önbelleği
    zehirlenerek aynı süreç tekrarlanabilir.

    Birden fazla dns sunucu yazılımı bulunmaktadır. Bind, nsd, mydns, microsoft dns, dnsmasq, djbdns, pdnsd v.b.

    Yazılımlarda çıkabilecek açıklar bu tür durumların oluşmasına neden olabilmektedir, bu açık en son bind dns sunucularda tespit edilmiştir ancak daha sonra ek güncellemelerle
    bu açık kapatılmıştır. Mynette geçen yıllarda bu şekilde hacklenmişti. Fakat hiçbir yazılım yada sistemin kapatılan açığının tekrar ortaya çıkmayacağının garantisi verilemez.

    Biraz paranoyak bir düşünce olabilir ama saldırganların belkide root dns sunucuları üzerinde bile bir yetkileri olabilir bunun olmayacağının garantisinide kimse veremez.

    Sevgiler...

    Bu yazı Turkhackteam.net/org sitesi için Elazığlı168 tarafından yazılmıştır, kaynak gösterilmeden yayınlanması uygun değildir.
    KAYNAK: http://www.turkhackteam.n...zluk-nasil-hacklendi.html
    ···
  1. 2.
    0
    internetten kopyala yapıştır yapmış amk
    ···
  2. 3.
    0
    kaynak belirttim görmedin galiba
    bu yazı turkhackteam.net/org sitesi için elazığlı168 tarafından yazılmıştır, kaynak gösterilmeden yayınlanması uygun değildir.
    kaynak: http://www.turkhackteam.n ... zluk-nasil-hacklendi.html
    ···
  3. 4.
    0
    anlamadım :((
    ···
  4. 5.
    0
    ben anladım. "nası lan?" derken güzel bir açıklama oldu panpa şukunu verdim.
    ···
  5. 6.
    0
    yani aslında tam olarak hack değil domain değiştirildi yani sen inci. sozlukspot.coma girerken aslında adamların belirttiği siteye girdin de denilebilir.
    ···
  6. 7.
    0
    az önce okuduydum panpa
    ···
  7. 8.
    0
    Sadece dns poisoning desen yeterdi amk kim okuyacak bu kadar uzun yazıyı
    ···
  8. 9.
    0
    --spoiler--

    --spoiler--

    --spoiler--

    --spoiler--
    ···
  9. 10.
    0
    ne oldu lan burda ne zaman hacklendi
    ···
  10. 11.
    0
    @8 öyle desem sen ben 3 4 kişi anlar ama açıklamak daha iyi herkesin anlaması için
    ···
  11. 12.
    0
    amk ben onların anasını gibiim onların amk (bkz: ) (bkz: ) (bkz: )
    ···
  12. 13.
    0
    buyurun buda nasıl hacklendiğini anlatan video
    http://www.youtube.com/watch?v=1d1tUefYn4U
    ···
  13. 14.
    0
    ciddi ciddi okudum da bu hack olayı ney amk
    ···
  14. 15.
    0
    o zaman bu adamlar sadece korkuttu daha büyük bir saldırı yakındır
    ···
  15. 16.
    0
    @15 aynen öyle olabilir bu olayı gerçekleştirebilen fazla insan yok zaten bunlar lamer felanda değil kendimizi kandırmayalım
    ···
  16. 17.
    0
    özet yokmu yarram
    ···
  17. 18.
    0
    benim anladığım bir nevi yönlendirme oluyor yani doğru mu anlamışım ?
    ···
  18. 19.
    0
    @18 aynen öyle doğru
    ···
  19. 20.
    0
    saol o zaman panpa şukunu verdim
    ···