6Aug
DNS önbelleği olarak da bilinen DNS önbellek zehirlenmesi, etki alanı adı sistemindeki( DNS) güvenlik açıklarını, meşru sunuculardan ve sahte sunuculara doğru yönlendiren bir saldırı türüdür.
DNS zehirlenmesinin çok tehlikeli olmasının nedenlerinden biri, DNS sunucusundan DNS sunucusuna yayılabilmesinden kaynaklanmaktadır.2010'da DNS zehirlenmesi olayı, Çin Büyük Güvenlik Duvarı'nın geçici olarak Çin'in ulusal sınırlarını aşmasına ve sorunun giderilene kadar ABD'de İnternet'in sansürlenmesine neden oldu.
DNS Nasıl Çalışır
Bilgisayarınız "google.com" gibi bir alan adıyla her bağlantıya geçtiğinde, önce DNS sunucusuna başvurmanız gerekir. DNS sunucusu, bilgisayarınızın google.com'a ulaşabileceği bir veya daha fazla IP adresi ile yanıt verir. Bilgisayarınız daha sonra bu sayısal IP adresine doğrudan bağlanır. DNS, "google.com" gibi insani okunabilir adresleri "173.194.67.102" gibi bilgisayar tarafından okunabilen IP adreslerine dönüştürür.
- Devamı: HTG açıklıyor: DNS nedir?
DNS Önbelleği
İnternetin tek bir DNS sunucusu yoktur, bu son derece verimsiz olurdu.İnternet servis sağlayıcınız, diğer DNS sunuculardaki bilgileri önbelleğe alan kendi DNS sunucularını çalıştırır. Ev yönlendiriciniz, ISS'nin DNS sunucularından bilgi önbelleğe alan bir DNS sunucusu olarak işlev görür. Bilgisayarınızın yerel bir DNS ön belleği vardır; bu nedenle, bir DNS aramasını defalarca yerine getirmek yerine daha önce gerçekleştirilmiş olan DNS aramalarına hızlı bir şekilde başvurabilirsiniz.
DNS Önbellek Zehirlenmesi
Bir DNS önbellek yanlış bir girdi içeriyorsa zehirlenebilir.Örneğin, bir saldırgan bir DNS sunucusunu kontrol altına alıp onun üzerindeki bazı bilgileri değiştirirse, örneğin google.com'un aslında saldırganın sahip olduğu bir IP adresini gösterdiğini söyleyebilirler; bu DNS sunucusu kullanıcılarına, Google.com için yanlış adrese. Saldırganın adresi, bir çeşit kötü amaçlı kimlik avlayan web sitesi içerebilir
Bunun gibi DNS zehirlenmesi de yayılabilir.Örneğin, çeşitli İnternet servis sağlayıcıları, DNS bilgilerini ele geçirilen sunucudan alıyorsa, zehirlenmiş DNS girişi Internet servis sağlayıcılarına yayılır ve orada önbelleğe alınır. Ardından ev yönlendiricilerine ve DNS önbellekleri, DNS girdisine bakarken, yanlış yanıt alındıkları ve depoladığı bilgisayarlarda önbelleğe alınır.
Çin'in Büyük Güvenlik Duvarı ABD'ye
Yayıldı Bu, sadece teorik bir sorun değildir - gerçek dünyada büyük bir ölçekte olmuştur.Çin'in Büyük Güvenlik Duvarının çalışma biçimlerinden biri de DNS düzeyinde engelleme yapmaktır.Örneğin, twitter.com gibi Çin'de engellenen bir web sitesi, DNS kayıtlarını Çin'deki DNS sunucularında yanlış bir adres işaret etmiş olabilir. Bu, Twitter'ın normal araçlarla erişilememesi ile sonuçlanacaktır. Bunu Çin'in kasıtlı olarak kendi DNS sunucusu önbelleklerini zehirlediğini düşünün.
2010 yılında Çin'in dışındaki bir İnternet servis sağlayıcı, DNS sunucularını Çin'deki DNS sunucularından bilgi almak için yanlışlıkla yapılandırdı.Yanlış DNS kayıtlarını Çin'den getirip kendi DNS sunucularında önbelleğe aldı.Diğer İnternet servis sağlayıcıları DNS bilgilerini bu İnternet servis sağlayıcısından alıp DNS sunucularında kullandı.Zehirli DNS girdileri ABD'deki bazı kişilerin Amerikan İnternet servis sağlayıcılarında Twitter, Facebook ve YouTube'a erişene kadar yayılmaya devam etti.Çin'in Büyük Güvenlik Duvarı, ulusal sınırlarının dışında "sızdırılmış", böylece dünyanın herhangi bir yerindeki insanlara bu web sitelerine girişi engellenmişti. Bu aslında büyük ölçekli DNS zehirlenmesi saldırısı olarak işlev görüyordu.(Kaynak.)
Çözüm
DNS önbellek zehirlenmesinin gerçek nedeni böyle bir sorundur çünkü aldığınız DNS yanıtlarının gerçekten meşru olup olmadığını veya manipüle edilip edilmediğini belirlemenin gerçek bir yolu yoktur.
DNS önbellek zehirlenmesine uzun vadeli çözüm DNSSEC'dir. DNSSEC, kuruluşların DNS kayıtlarını açık anahtar şifrelemesi kullanarak imzalamalarını ve bilgisayarınızın bir DNS kaydının güvenilir olup olmayacağını veya zehirlendiğini ve yanlış bir konuma yönlendirdiğini öğrenmesini sağlayacaktır.
- Devamını Oku: DNSSEC İnternet'i Nasıl Güvence altına alacak ve SOPA'nın Neredeyse Yasadışı Olan Şekli Nasıl
Image Credit: Flickr'da Andrew Kuznetsov, Flickr'da Jemimus, NASA