Duyuru 12-03-2010
Daha önce ki zamanlarda, Blog’umu ziyaret edenler bazı yazıların ve incelemelerin eksik olduğunu fark edecektir. Bunun sebebi; daha önce çalıştığım hosting firmasından taşınırken ortaya çıkan “DATABASE” sorunudur. SQL olarak restorasyon mümkün olmamıştır. Bu sebeple XML yedekleri aracılığı ile eski girdilerimi ekledim. SQL Yedeklemeleri her yazı eklenmesinden sonra yapılırken, XML yedeklemesi keyfe göre yapılmaktaydı. Bu yüzden XML yedeklemesi ile bir iki girdi kaybettim. Ancak ilgili yazılarımı tekrardan derleyip yerine koymam çok süremeyecektir.
Saygılarımla
HIPS (Host Tabanlı İzinsiz Giriş Saptama Sistemi)
HIPS yani Host-Based Intrusion Prevention System (Host Tabanlı İzinsiz Giriş Saptama Sistemi) nedir ne değildir.
Bilişim dünyasında suçlar ve zararlı unsurlar gittikçe artmakta ve çeşitlenmektedir. Aynı oranda da bunlar karşı önlemler ve korunma yolları araçları geliştirilmektedir. Bu zararlı unsurların genelde bilinenleri;
Virüsler, Trojanlar, Wormler, Keyloggerlar, Phising, Spam Mailler gelmektedir.
Tabi bunlar normal ve normal üstü kullanıcının bildiği temel güvenlik sorunlarının başında yer almaktadır. Bu sayılan zararlılar dışarısında, daha farklı çalışan programcıklar, kodlar da, ne yazık ki günden güne artmaktadır.
Bu yazılımlar ya da kodlar, sistem içerisinde değişikliklere, çalışma şeklinin bozulmasına, sistem kaynaklarının ve çalışma dosyalarının hasar görmesine kasten ya da dolaylı yoldan ve ya yanlışlıkla sebep olabilmektedir. İşte Virus programlarınca, füvenlik duvarlarınca saplanamayan bu ataklar HIPS’ lerce önlenir.
Belirtmem gerekir ki, Anti-Virusler kimi HIPS’leri tespit edebbilmekte bunu da Sezgisel ya da Heuristic taramalarına borçlular. Ancak asıl amaçları HIPS’lerin görevini yapmak değildir.
Keza, HIPS’ler kendilerini güncellemeden de çalışabilir.
Peki HIPS’ler ne iş yapar;
-Öncelikle Windows sistemlerde REG (Kayıt Defteri)’ ni korur bu da kayıt defteri değiştirilerek yapan saldırılara ve türevlerine karşı ciddi bir güvenlik sağlar. Kayıt defterlerinin değerlerinin değişimi, sistem, program ve donanım sorunlarına yol açabilecek derecede kritik öneme sahiptir.
-BufferOverrun saldırılarına karşı koruma sağlar. Worm Blaster, Nimda gibi Worm’ ler Buffer Overrun tekniği ile hedeflerin ulaşır.
-Veri koruması ile çeşitli veri tiplerini koruma altına alıp yetkisiz erişim ile yapılması muhtemel risklerden korursunuz.
Bunlar bir HIPS’ in genel olarak yapabildikleridir. Eskiden başlı başına bir program halinde olan HIPS’ler artık belli başlı ürünlerde, Comodo, McAfee gibi üreticiler kendi programlarına entegre olarak üretiyor. Ayrıca Firewall gibi güvenlik sistemleri ile uyumlu halde olması ve Network-Ağ tabanlı saldırıları önlemede sistemi daha güvenli kılıyor NIPS ve HIPS uyumluluğu bu bağlamda önem arz etmekte. Yani HIPS ve NIPS’in entegre olmuş ve stabil çalışması önemli bir durumdur.
UEKAE’ nında yazılarında bahs ettiği gibi temelde en iyi güvenlik sistemi çok katmanlı olandır diyebiliriz.
Şöyle ki;
1-Firewall (Güvenlik Duvarı)
2-Anti-Virus
3-Spyware ya da diğer türde ki güvenlik yazılımları.
4-HIPS
5-Kullanıcı
6-Sistem&Ağ Yöneticisi(Kurumsal)
Farkındaysanız kullanıcı da aslında bir güvenlik katmanıdır. Çünkü sistemi kullanan kullanıcının kendisidir.
Bu yazı genel olarak bilgi verme amaçlı yazılmıştır. Detaylı olarak daha sonra, incelenecektir.
Debian 5.0 Kurulum Problemi
11 Nisan 2009 tarih itibari ile güncellenen, Debian 5.0 sürümünü “Sunucu” maksadı ile kurarken, yükleme ekranında donma ile karşılaştım.
Olasılıklar üzerinde şunları kontrol ettim;
Acpi
Noapic
SCSI
IDE
Bios Update
On board LAN power / wait (Bunu kontrol etmemin sebebi, CAT5, RJ45 ile bağlı olduğu halde, port bağlantı ışığı yanmıyordu, ancak 2. ethernet kartına taktığımda port ışığı yanıyordu.)
Ancak hiç biri çözüme ulaştırmadı. 9. yükleme girişimi olsa gerek tamamen mavi ekranda (Metin Tabanlı Yükleme Ekranı), hangi aşamaya geldiğinde donduğuna bakmanın çözüm getirebileceğini düşündüm.
Donma aşaması, ağ donanımını denetlerken başlıyordu. Ancak yazılar çok hızlı geçtiğinden, “Network Hardware” yazısı yaklaşık 0,5 ile 1 sn arasında ekrana yansıyor ve hemen mavi ekrana düşüyordu. Ekranda son yazanın (0,5sn. ekranda kalıyor), Network Hardware olduğunu farkettim.
Bunun üzerine, ZyXEL G-302 v3 (802.11g) Kablosuz PCI kartını söktüm. Tekrar kuruluma başladığımda, kurulum problemsiz gerçekleşti.
İlgili karta sahip ve problem yaşayanlara faydalı olabileceğini düşündüğüm için paylaştım.
Not: Debian tabanlı olduğu için, Ubuntu 8.xx ile 9.xx arasında ki dağıtımlarda da denedim ve söz konusu Kablosuz ağ kartının aynı probleme sebep oldu. Böyle bir durumda kartı sökerseniz problem ortadan kalkmakta. Gerekli Debian güncellemesi kontrolünden sonra tekrar ilgili kartı takıp, kurulu sistemde deneyeceğim.
Ek: Gentoo (son sürüm) dağıtımında ise böyle bir problem yaşanmadı.
Olasılıksız!
Olasılıksız diye bir roman gördüm. Aklıma şunlar geldi paylaşayım dedim.
Bir şeyin olasılıksız olma olasılığı nedir?
Eğer bir şeyin olasılıksız olma olasılığı varsa, bu olasılıksız değildir. Çünkü, bu halde olasılıksızlığın olasallığı, kendini dahi olasılıklı kılmış olacaktır.
Peki bir şeyin olasılıksız olmama olasılığı nedir?
Eğer, bir şeyin olasılıksız olmama olasılığı varsa, zaten bu olasılıksızlık negatif değerde bir olasılıktır.
Son olarak, eğer birşeyin olasılıksız olma ya da olmama olasılığı yoksa?
Bu durumda ise zaten olasallık diye bir kavram yoktur. Yani Olasılıksız diye bir şey yoktur.
Alpin Karagözoğlu
DUYURU!
27 OCAK 2009 – 17:36
Şahsıma ait olan SanDisk Cruizer 4GB USB Belleğim Kaybolmuş ya da çalınmıştır. İlgili dijital/eletronik aygıta 27 Ocak 2009 Saat; 15:00 ila 15:30 saatlerinden sonra, yapılan yükleme, ekleme çıkarma, silme ya da dijital ortamdan veri girişi tarafıma ait olmayıp hiç bir şart altında benimle alakası yoktur.
İlgili dijital/elektronik birim mahali gazetelerede kaybolma ya da çalınma durumuna dair ilgili girişimler başlatılmıştır.
Söz konusu aygıt üzerinde ki kimi bilgiler, Özel ve kişi ya da kurum/lara ait olup kullanılması, çoğaltılması ya da her hangi bir şekilde okunması suç teşkil edecektir. İlgili aygıt elektronik ortam etkileşimlerinde takip edilebilinir nitelikte olabilir.
Bunun dışında seri ve sistem numaraları, her hangi bir aygıta bağlandığında parmak izi bırakabilir nitelikte olup bu iz izlenebilinir.
Lütfen ilgili aygıtı bulan kişi/kurum v.s tarafıma ulaşmasını önemle rica ederim. Eğer bu konuda çekinceniz varsa aygıtı imha/yok etmeniz ya da çalışamaz hale getirmeniz en doğrusu olacaktır.
Aksi halinde YASAL SORUMLULUK VE CEZAİ YAPTIRIMLAR ile muhatap olabilirsiniz.
Duyurulur!
Alpin Karagözoğlu
Sistem ve Ağ Yöneticisi
Engel Yok, Zehirlenme Yok! Bölüm 1
Bir önce ki yazımın sonunda son kullanıcılar için hem DNS Ön Bellek Zehirlenmesine hem de engellenmiş sitelere girmeyi anlatacağımı belirttim.
Öncellikle şunu belirtelim, Engellenmiş sitelere erişim, kimi yer, ülke ve mahallerde suç olarak var ssayılabilinir. Bu sitede ve yazıda yer alan bilgiler sadece teknik bilgiler olup, uygulanması ve uygulanmaması kişiye kalmıştır.
Konu başlıklarını şöyle sıralayalım;
1-DNS Adresi değiştirme ve OpenDNS
2-IP Adresi kulanarak erişim
3-Local Host, dosyası ayarlarımız
NOT: Söz konusu işlemler Windows XP, Vista ve Linux Debian, Ubuntu için anlatılacaktır.
1-DNS Adresi Değiştirme ve OpenDNS
Daha önce anlattığım üzere DNS sorgulama sistemiydi. Güvensiz ya da açıkları bulunan DNS sunucuları DCP* saldırılarına maruz kalabilyordu. Bunun önüne geçmek için için DNS sunucularımızın güvenilir, sağlam olması çok önemlidir. Eğer kendi DNS sunucum yoksa, kendim OpenDNS sistemlerini kullanıyorum. Her hangi bir ücret, üyelk v.b gibi bir zorunluluk istemeyen ve başta büyük kurumlar olmak üzere çok kullanıcısı olan OpenDNS ayarları şöyle yapılıyor.
Windows Sistemler; Vista baz alınarak anlatılmıştır.
1-Başlat(xp) ya da Vista için yuvarlak başlat butonuna tıkalyınız.
2-Denetim Masasına giriniz.
3-Ağ ve Paylaşım Simgesini bulunuz ve çift tıklayınız.
5-Sol tarafta yer alan “Ağ Bağlantılarını Yönet” linki ne tıklayınız.
6-Etkin (Mavi) (Kullanımda) olan ağınızı seçiniz. Ya da hangi bağlantıyı kullanıyorsanız. (Wi-fi ya da Lan)
7-Etkin ağ bağlantısının üzerinde, Sağ tık yapın ve özellikler diyiniz.
8-Internet Protokolü Versiyonu ya da IPV4′ü seçiniz ve özelliklere tıklayınız.
9-Açılan pencere içerisinde altta yer alan, Aşağıda ki DNS adreslerini kullan (Alttan 2. seçenek) radyo düğmesini seçiniz.
10-Yazılabilinir hale gelen 1. satıra (nokta koymadan), 208.67.222.222, 2. satıra, 208.67.220.220 yazınız.
11-Tamam diyip tüm pencereleri sırası ile kapayınız.
12-Başlat’a tıklayınız, imlecin (arama, aramaya başla ya da arama yap) yanıp söndüğü yere cmd yazınız.
XP’de ise Başlat>Çalıştır’ da yer alan çalıştır kısmına yazınız.
Karşınıza gelen konsola;
ipconfig /flushdns yazınız ve enter’a basınız. Artık PC’niz DNS sorgulamaları için (Router/DNS Modem ayar gerektirmiyorsa) OpenDNS’ i kullanıcaktır.
Linux: Debian ve Ubuntu
Uygulamalar ksımından, Terminal’i açınız ve aşağıda ki işlemleri/komutları sırası ile yapınız. Not: Root şifresi gereken bir işlemdir.
$ gksudo network-admin (Enter’a bastıktan sonra root olmanızı isteyecektir, lütfen kimlik doğrulama işleminizi yapınız)
$ sudo cp /etc/resolv.conf /etc/resolv.conf.auto
$ gksudo gedit /etc/dhcp3/dhclient.conf
# Açılan ayar dosyasında, altta ki satırı bulunuz
prepend domain-name-servers bu kısmı aşağıda ki ile değiştiriniz.
prepend domain-name-servers 208.67.222.222,208.67.220.220;
# Kayıt edip çıkınız.
$ sudo ifdown eth0 && sudo ifup eth0 komutunu yine konsolda giriniz ve enter’ a basınız.
Yukarıda yer alan eth0 aygıtı sizin konfigürasyonunuza göre değişik olabilir. Örn: eth1 gibi. Bu durumda ilgli kısım eth1 olarak girilmelidir.
DNS Önbellek Zehirlenmesi Önlemleri
Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü sitesinde daha ayrıntılı bilgiye ulaşabileceğinizi belirttikten sonra, konumuza girelim.
UYARI:
Teknik bilgi ile ilgilenmiyor ve son kullanıcıysanız, lütfen aşağıda yer alan; “Linux ve Windows Son Kullanıcı kısmını” okuyunuz. Bunun dışarısında kalan kısımlar ağ, sistem yönetimi v.b bilgi seviyesine sahip kullanıcılara yöneliktir.
DNS Önbellek Zehirlemelerin den korunmak için öncelikle “Özyinelemeli – Recursive ” sistemlerin yamanması gerekmektedir. İlgli bilgilere, yamalara yazının sonunda kaynak verilecektir.
Access Pointler, ADSL modem-Routerlar gibi gömülü ve yamanması süre alan veya güncellenmesi mümkün olmayan, donanımlar ve sistemler için aşağıda derlenen önlemleri almak gerekmektedir.
YEREL DNS ÖNBELLEĞİ KULLANIMI
Saldırının doğası gereği, uzakta ki DNS servisinin önbelleği etkilenmekteydi. Bu durumu engellemek için sunucu hem de istemci tarafında yerel önbellekler kullanılarak, Internet üzerinde saldırıya maruz kalan sunuculardan etkilenme oranı en aza indirgenmeye çalışılır.
ÖZYİNELEMENİN DEVRE DIŞI BIRAKILMASI
Özyineleme gerekliliği duyan fakat güvenilmeyen sistemlerin engellenmesi.
ERİŞİMİN ENGELLENMESİ
Özyinelemeli sorgu yapacak sistemler, sınırlandırılarak saldırı kaynakları azaltılabilinir. Ancak Özyinelemenin mümkün olduğu sistemlerde ve bu sistemlere erişen saldırganlar yine zehirleme yapabilirler.
TRAFİĞİN FİLİTRELENMESİ
Saldırının yapılabilemesi için IP Spoofing tekniği gerektiğinden ötürü, sahte ip adresleri engellenerek ya da başka bir kaynağa yönlendirilerek, IP bazlı filitreleme yapılabilinir.
NAT/PAT (Network Adress Tranlation / Port Adress Translation)
PAT kullanan cihazlar, donanımlar bağlantıalrı gözlemlemek için kaynak kapı adresliğinde değişikliğe giderler. NAT ve PAT kullanan cihazların, (Router, Bazı DSL modemler v.s) kullandığı kaynak kapısı değişikliği, uygulama tarafında arttırılması ile kazanılan koruma, port adreslerini, yeniden ve daha etkisiz biçimde değiştirerek azaltabilir. NAT ve PAT uygulamalarını optimize etmek gerekmektedir.
DNS Yönlendirmesi
DNS sunucularımızda açıklık kapatılmamış ve söz konusu tehlike devam ediyorsa, hali hazırda yamaları yapılmış ve güvenilir sunuculara yönlendirme uygun bir çözüm olacaktır.
DNSSEC Kullanımı
DNS verisinin kaynağını ve DNS verisinin bütünlüğünü (integrity) doğrulayan DNSSEC sö konusu saldırılarda aktif bir koruma sağlamaktadır.
Linux ve Windows Son Kullanıcı;
Aslında DNS temelde bir IP sorgulama sistemidir, dersek pekte yanlış olmaz. Bu bağlamda bir sonra ki yazıda kendi yerel sistemimizde bir kaç ufak ayarla hem engelli sitelere girebiliceğiz hem de önemli ve özellikle e-posta, bankacılık işlemlerini gerçekleştirdiğimiz sistemlere, DNS sorgusunu yapmadan bağlantı kurmamızı sağlayan ayarları yapacağız.
Not:
Unutulmamalıdır ki DNS işlevi gayet önemli bir hizmet, servis olmakla beraber, güvenlik açısından çok öenmli bir noktadır. Kullanıcılar DNS hizmetlerini ya da güvenliğini ne kadar bilir tartışılır ancak, Sistem, Ağ ve Güvenlik yöneticileri, ilgili yama, güvenlik gerekliliklerini yerine getirmelidir.
Kaynaklar;
http://www.bilgiguvenligi.gov.tr
http://en.wikipedia.org/wiki/DNS_cache_poisoning
http://support.microsoft.com/default.aspx?scid=kb;en-us;241352
http://www.hackernotcracker.com/2007-01/blocking-unwanted-domain-names-creative-usage-of-the-hosts-file.html
http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/coklu-dns-servisi-arabellek-zehirleme.html
http://www.kb.cert.org/vuls/id/800113
IP FİLİTRELEME ayrıntıları ve RFC belgeleri;
http://tools.ietf.org/html/rfc2827 – RFC2827
http://tools.ietf.org/html/rfc3704 – RFC3704
http://tools.ietf.org/html/rfc3013 – RFC3013
DNS Önbellek Zehirlenmesi (DNS Cache Poisoning)
Yazar: Alpin Karagözoğlu
Önceki yazımda kısaca DNS işlevini açıklamıştım. DNS Önbellek Zehirlemesin de. Saldırgan, DNS sunucusuna yetkisiz bir kaynaktan veri yüklenmesi ile ortaya çıkan durumdur. (non-authentic)
Güvenlik açıkları, zayıf yapılandırma, yetersiz güvenlik önlemleri, hatalar gibi unsurlar neticesinde veya “DNS protokolünün açıklarıyla başarıyla iletilen özgün olmayan veri, sistem performansını artırmak için saldırılan sunucunun önbelleğine gelir ve böylece önbellek “zehirlenmiş” olur.”
NS (Name Server) kayıtlarının ya da Yine NS’in IP adresinin yönlendirilmesi ile Zehirleme söz konusu olabilir.
Diğer bir saldırı yöntemşi olarakta gerçek Alan adı sunucusunun, yanıt vermesinden önce saldırgnın ya da kötü niyeli sunucunun araya girip, gerçek sunucudan önce yapılan sorgulamaya cevap vermesidir. Bu tip saldırılar, man-in-the-middle olarak nitelendirilir.
DNS Haberlermeşi birden fazla sorguyu içerisinde barındırır;
1-Başlık (Header)
2-Soru(Question
3-Yanıt(Answer)
4-Yetki(Authority)
5-Ekler(Additional)
DNS mesajın da yer alan Header kısmının ilk 16bit’i “nonce” olarak atanır. Sorguyu düzenleyen program tarafınan atılan bu “nonce” değer, sorguyada verilir yani sorguda ki ile aynıdır. Böylece Soru-Yanıt eşleşmesi gerçekleştirlebilinir. Bu değer, DNSCP (DNS Cache Poisoning)’te önemli rol oynar çünkü saldırgen bu 16bit’liğe atanan değeri tahmin etmeye çalışır.
Aşağıda örnek olarak verilen saldırılar başarıya ulaştığın da, sunucu üzerinde bizim hedefine gittiğini düşündüğümüz e-posta, veri, bilgi v.b şeyler aslında hedeflediğimiz yere değil kötü niyetli sunucuya gidiyor olacaktır. Sonuç olarak bilgi-veri hırsızlığı söz konsuu olacaktır.
TANIMLAMA (Aşağıda yer alanlar örnektir)
1- xxx.xxx.x.xx IP adresili kötü niyetli kişi, saldırı yapacağı DNS üzerinden www.alpinden.comadresini sorgular.
2-www.alpinden.com ilgili DNS üzerinde olmadığı için, DNS, www.alpinden.com’dan sorumlu olan ns1.alpinden.com sunucusundan alana dını sorgular.
3-Bu sorgulamanın üzerine ns1.alpinden.com sunucusu, www.alpinden.comalan adı için geçerli olan
yy.yyy.y.yy IP adresini, yanıt olarak hedef DNS sunucusuna geri döndürür.
4-Sitenin, IP Adresini alan DNS sunucusuda, bu bilgiyi sorgulam a yapan saldırgana iletir.
NOT: DNS sunucusunun saldırgan ile haberleşirken istek ve cevaplarda aynı kaynak portu (6134) kullanması ve tahmin edilebilir TXID (0×6749) değerini kullanmasıdır. Hedef DNS sunucusundan gelen cevabın geçerli olması için istekte bulunurken kullanılan TXID değerinin cevap kısmında da aynen dönmesi gerekmektedir.
Microsoft:İlgili sorgulama nsloopup komutu ile Windows Komut istemi ile yapılabilinir.
Linux:Konsol’dan Dig (Domain Information Groper) komutu ile yapılabilinir.
Eğer IP tarafımıza iletilmiş ise bu sunucuda açık olduğunu tespit etmiş oluyoruz.
Daha da basite indirelim;
-Saldırgan DNS Sunucusu üzerinden saldırıya maruz bırakılacak siteyi sorgular
-DNS Sunucusu ilgli sitenin bilgileri üzerinde olmadığından ötürü, siteden sorumlu sunucuya gider.
-Sitenin sorumlu sunucusu DNS’in sorusuna cevap verir (IP Adresi).
-DNS Sunucusu, Sorgu yapan saldırgana söz konusu siteden sorumlu sunucudan aldığı cevabı aynen geri iletir.
SALDIRI
DNCCP 3 aşama ile gerçekleşir;
1- Saldırgan hedef sunucuda bulunan alt alan adları (subdomain) için DNS sunucsuna bir çok DNS sorgusu yollar. Burada ki kasıt saldırılan sunucunun, alpinden.com’dan sorumlu(yetkili) sunucuya birçok DNS sorgusu yollamasını sağlamaktır.
SALDIRGAN HEDEF SUNUCU
192.168.2.1————-a.alpinden.com IP Adresi nedir?————->xxx.xxx.xx.x
( Port:6144 TXID:0x8b3c)
192.168.2.1————-b.alpinden.com IP Adresi nedir?————->xxx.xxx.xx.x
( Port:6146 TXID:0x5b2a)
192.168.2.1————-b.alpinden.com IP Adresi nedir?————->xxx.xxx.xx.x
( Port:6141 TXID:0x3c1b)
Bu işlem defalarca tekrarlanır.
2- İkinci aşamada ise, hedef DNS sunucu tüm alt alan isimleri için ns1.alpinden.com sunucusuna istekte bulunucaktır. Doğal olarakta, ns1.alpinden.com un sunucusuda tüm bu sorgulara cevap verecektir. Bu esnada saldırıyı gerçekleştiren kişide hedef DNS sunucusuna sanki kendisi ns1.alpinden.com muş gibi cevaplar yollamaktadır. Gönderilen cevaplarda www.alpinden.com’ un ip adresiymiş gibi kendi elinde tuttuğu sistemin ip’ sini bildirmektedir. Ancak bunu yaparken TXID değerini’de arttırmakta ve doğru TXID değerini bulmaya çalışmaktadır.
Saldırının başarıya ulaşması;
Saldırgan tarafından gönderilen, doğru TXID olduğu taktirde, saldırı altında ki DNS sunucusu cevabın, ns1.alpinden.com’ dan geldiğini kabul edecektir. İşte bu kabul olayı gerçekleştiğinde, DNS Ön Bellek zehirlenmesi gerçekleşmiş oluyor.
Kullanıcının Tuzağa Düşmesi;
Bilgisayarından alpinden.com’ a girmek isteyen kişi, internet tarayıcısına www.alpinden.com’u yazar ve enter’a basar.
-Kullanıcının sistemi istenilen siteye ulaşmak için DNS sunucusuna www.alpinden.com’usorgular
-Zehirlenmiş DNS sunucusunun ön belleğinde www.alpinden.com’un IP adresi olduğu için, saldırgan tarfından yerleştirilen IP adresini normal kullanıcıya cevap olarak verir.
-Sahte IP adresini cevap olarak alan kullanıcının sistemi, saldırganın oluşturduğu ve zehirlemede kullandığı IP üzerinden yayın yapan sahte, tuzak siteye gider. Kafalar karışmasın burda ki 2 IP’ de aynıdır.
-Kullanıcı, bilgilerini, şifrelerini bu sahte sayfaya giriş yapmak için kullanır. Bunun sonucunda kullanıcının giriş bilgileri, şifreleri v.s saldırgana iletişmiş olur.
Bir sonra ki yazıda, saldırıdan korunma yollarını inceleyeceğim. 
Kaynaklar;
http://en.wikipedia.org/wiki/DNS_cache_poisoning
http://www.scanit.be/advisory-2007-11-14.html
https://www.kb.cert.org/CERT_WEB%5Cservices%5Cvul-notes.nsf/id/800113
http://support.microsoft.com/default.aspx?scid=kb;en-us;241352
http://www.bilgiguvenligi.gov.tr/index.php?option=com_content&task=view&id=294&Itemid=6
Can Bican, Bahtiyar Bircan - DNS Önbellek Zehirlenmesi: Açıklık ve Kapanması
DNS Nedir? (Sonraki yazı için bilgilendirme!)
Yazan: Alpin Karagözoğlu
Bu konu bir sonra yaynlayacağım DNS Önbellek Saldırısı (DNS Cache Poisoning) için yazılmıştır.
Sonra ki konu için, DNS hizmetinin temelini anlamak önem arz etmektedir.
Her hangi bir site adresi yazdığımızda mesela www.google.com tarayıcımız bize istediğimiz sayfayı getirir ama arka planda işler daha farklıdır. Network mimarisi gereğince, internet tarayıcımızın adres satırına bir site adresi yazdığımızda, bilgisayarımız, başka bir bilgisayara bağlanır. Ancak bunu www.google.com olarak değil belli bir sayı kümesi kullanarak sağlar.
Bunun sebebi bilgisayarlar temelde birbirleriyle IP adresi adı verilen bir numaralama sistemi ile haberleşir.
IP Adresine/numarasına Örnek: 192.168.2.1 ya da 88.218.157.45
www.google.com yerine 208.69.34.231 numaralarını, noktaları ile internet tarayıcınıza yazar ve “enter”’ a basarsanız karşınıza gelecek sayfa yine google olacaktır. Çünkü dünya üzerinde, Bu IP adresi Google’ın dır. Tıpkı telefon numarası ya da ev adresimiz gibi.
IP’ler eşsiz olup, Statik ve Dinamik olarak ikiye ayrılır. (İç ağlarda v.s bu durum farklıdır.) Siteler, sunucular genellikle Statik IP kullanır. Ev kullancıları ve internet kullanıcıları ise özellikle talep edilmez ise dinamik IP üzerinden bağlanır. Dinamikler değişkendir yani modeminizi açıp kaparsanız IP’niz değişecektir.
Asıl konumuz, DNS Hizmetini daha da açarsak;
Sonuçta Google sitesi bir bilgisayar/lar üzerinden yayınlanmaktadır. Bu sebepten ötürü Google sunucu/larına erişim sağlanan IP adresi 208.69.34.231’ dir.
Ancak tüm sitelerin IP adreslerini ezberlememiz mümkün olmayacağı için ve netwok mimariside bu mantıkta olmadığı için, DNS ler burada önemli bir nokta teşkil eder. Hatta internetin belkemiğini oluşturan en önemli unsurlardan biridir…
Şu şekilde bir sorunuz olabilir, “Peki DNS sunucusunun adresini bilgisayarımız nasıl biliyor?”
Normalde, bu bilgi servis sağlıyıcımız tarafından sağlanabileceği gibi, bilgisayar ya da router/modem tarafında belirtilmiş olabilir. Genellikle öntanımlı olarak TTNET tarafından atanan DNS’leri kullanırız ancak, router ve TCP/IP ayarlarımızdan bu bilgiler değiştirilebilinir. (BKZ. www.opendns.com )
Resim Olarak örneklersek;
Gerek resim gerekse anlattıklarım DNS hizmetinin çok çok yüzeysel olarak anlatımıdır. Bunun içerisinde çok daha farklı kavramlar, protokoller, güvenlik sistemleri vardır. DNS kendi içerisinde bir sistemler bütünüdür. Lütfen yukarıda yer alan bilgilerin yüzeysel ve yalın olduğunu unutmayınız…
Resmi net görebilmek için üzerine tıklayınız!
İyiki Doğdum!
Bugün benim yaş günüm, iyiki doğmuşum. Kutlayan akrabalarım, arkadaşlarım da saolsun kutlamayan arkadaşlarım, akrabalarım da saolsun…
Ayrıca, sevgili Finans Müdürüm ve ailesine, Anne ve Babama özellikle teşekkür ederim. İyiki var ve arkamdasınız.
Edit: Müdürü’ me –> Müdürüm
