İçereği Atla

DNS Tabanlı Saldırılar ve Korunma Yöntemleri

DNS (Domain Name System), insanların hatırlayabileceği alan adlarını bilgisayarların anlayabileceği IP adreslerine çevirir. Kullanıcı bir alan adı girdiğinde, cihaz önce kendi önbelleğini kontrol eder; bulunamazsa sorgu internet servis sağlayıcısındaki DNS çözümleyiciye iletilir. Çözümleyici, kök ve TLD sunucuları aracılığıyla alan adının yetkili sunucusunu bulur ve IP adresini alır. Tarayıcı bu IP’ye bağlanarak web sitesini yükler. DNS önbellekleme ve TTL mekanizmaları sayesinde sık kullanılan alan adlarına hızlı erişim sağlanır ve veriler güncel kalır.
25 Nisan 2026 yazan
DNS Tabanlı Saldırılar ve Korunma Yöntemleri
Mehrinaz BOZ
 

DNS Tabanlı Saldırılar Nedir?

  1. DNS Hijacking (DNS Kaçırma): Saldırganlar DNS kayıtlarını değiştirerek kullanıcıları meşru siteler yerine zararlı sitelere yönlendirir.

  2. DNS Cache Poisoning (Önbellek Zehirlenmesi): DNS çözümleyicilerin önbelleğine yanlış bilgiler gönderilerek kullanıcıların yönlendirilmesi sağlanır.

  3. DNS Amplification (Yükseltme): Küçük sahte sorgularla büyük DNS yanıtları üretilir ve hedef sunucu aşırı yüklenir.

  4. DNS Tunneling (DNS Tünelleme): DNS sorguları veya yanıtları içinde veri şifrelenerek güvenlik duvarları aşılır ve veri sızdırılır.

  5. DNS Flooding (DNS Taşkını): Hedef sunucuya aşırı DNS sorgusu gönderilerek hizmet kesintisi yaratılır.

DNS Tunneling ile Veri Sızdırma

DNS Tunneling, saldırganların DNS protokolünü kötüye kullanarak kurum dışına gizli veri çıkarması veya Command & Control (C2) iletişimi kurması yöntemidir.

Çalışma Mantığı:
  • Zararlı yazılım, veriyi Base64, Hex veya özel encoding yöntemleriyle DNS sorgu adlarının içine gömer.
  • DNS isteği, saldırganın kontrolündeki kurum dışı DNS sunucusuna gönderilir.
  • Yetkili DNS sunucusu bu veriyi çözer ve yanıt döner.
  • Bu yapı, iki yönlü ve gizli bir iletişim kanalı oluşturur.

Kullanım Amaçları:
  • Hassas verilerin kurum dışına sızdırılması
  • Firewall ve proxy gibi güvenlik kontrollerinin aşılması
  • Uzun süreli gizli C2 bağlantılarının kurulması (APT saldırıları)

Tespit Yöntemleri:
  • Normalden uzun ve anlamsız subdomain isimleri
  • Yüksek hacimli ve sık DNS sorguları
  • TXT veya NULL kayıtlarının olağandışı kullanımı
  • Aynı domaine sürekli tekrar eden DNS istekleri

Korunma Yöntemleri:
  • DNS trafiğinin loglanması ve anomali analizi yapılması
  • IDS/IPS ve SIEM sistemleri üzerinden DNS davranışlarının izlenmesi
  • Bilinmeyen veya şüpheli domainler için DNS filtering ve sinkhole kullanımı
  • Endpoint tarafında EDR çözümlerinin devreye alınması


NXDOMAIN ve Random Subdomain Saldırıları

Bu saldırılar, DNS sunucularını meşgul ederek hizmet veremez hâle getirmeyi amaçlayan DDoS türlerindendir.

  • Amaç veri çalmak değil, sunucu kaynaklarını tüketmektir.

NXDOMAIN Saldırısı:
  • NXDOMAIN, DNS üzerinde kayıtlı olmayan bir alan adı sorgusuna verilen yanıttır.
  • Saldırganlar, botnet kullanarak binlerce geçersiz alan adı sorgusu gönderir.
  • Sonuç: Sunucu kaynakları tükenir ve gerçek kullanıcı sorgularına yanıt veremez.

Random Subdomain Saldırısı:
  • NXDOMAIN saldırısının geliştirilmiş bir versiyonudur.
  • Hedef domainin önüne rastgele karakterler eklenerek benzersiz alt domain sorguları oluşturulur (ör. asdf123.sirket.com).
  • Sunucunun önbellek mekanizması devre dışı kalır; her sorgu ayrı işlem gerektirir.
  • Amaç: Sunucu yükünü artırmak, yanıt sürelerini yavaşlatmak veya alt domain yapılarını test etmek.

İlişki ve Etki:
  • Random Subdomain saldırılarında çoğu sorgu geçersiz olduğu için NXDOMAIN ile sonuçlanır.
  • Bu durum sunucuda yüksek işlem yükü, dolan loglar ve hizmet kesintisine yol açar.

Kurumsal Sistemlere DNS Saldırılarının Etkileri

  1. İş Sürekliliği ve Erişim Kesintileri:
    • DNS Flood ve Amplification saldırıları, web siteleri, e-posta servisleri ve bulut uygulamalarının erişilemez hâle gelmesine yol açar ve iş süreçlerini durdurur.

  2. Veri Güvenliği ve Kimlik Hırsızlığı:
    • DNS Spoofing, Cache Poisoning ve Tunneling teknikleriyle hassas veriler sızdırılabilir, kullanıcı adı ve şifreler ele geçirilebilir, güvenlik kontrolleri aşılabilir.

  3. Finansal ve Operasyonel Kayıplar:
    • Saldırılar, SLA ihlalleri, satış kayıpları, tazminat yükümlülükleri ve sistem kurtarma maliyetleri gibi finansal ve operasyonel sonuçlara yol açar.

  4. İtibar ve Güven Kaybı:
    • Müşteri güveni ve marka prestiji zarar görür; DNS üzerinden C2 iletişimi kötü amaçlı yazılımların ağ içinde kalıcı olmasını sağlar ve uzun vadeli riskler doğurur.

IDS/IPS ile DNS Trafik Analizi

IDS (Intrusion Detection System) ve IPS (Intrusion Prevention System) sistemleri, DNS trafiğini analiz ederek hem bilinen hem de bilinmeyen DNS tabanlı saldırıları tespit eder. IPS modunda şüpheli trafiği engelleyebilir, IDS ise alarm üretir.

DNS Trafiğinde Yaptıkları:
  • DNS paketlerini gerçek zamanlı inceler.
  • Şüpheli sorgu desenlerini ve anormal trafik davranışlarını tespit eder.
  • Bilinen saldırı imzaları ile eşleşme yapar ve gerektiğinde saldırıyı durdurur.

Tespit Edilebilen Tehditler:
  • DNS Tunneling (uzun ve anlamsız domain sorguları)
  • DNS Amplification ve Flood saldırıları
  • DGA (Domain Generation Algorithm) kullanan zararlılar
  • Şüpheli TXT ve NULL kayıt kullanımı
  • Bilinen C2 (Command & Control) domain’lerine yapılan sorgular

Analiz Yöntemleri:
  1. İmza Tabanlı Analiz: Bilinen saldırı kalıplarını veri tabanıyla karşılaştırır; protokol ihlallerini ve kötü amaçlı domainleri tespit eder.
  2. Davranışsal/Anomali Analizi: Sıfırıncı gün saldırıları ve anormal trafikleri yakalar; sorgu hızı, entropi analizi ve kaynak/hedef oranı kullanılır.
  3. Tünelleme ve Veri Sızdırma Tespiti: DNS paketlerindeki TXT/NULL kayıtları, alışılmadık karakter setleri veya şifrelenmiş veriler analiz edilir.

DNS Flood ve DDoS Saldırıları

DDoS Nedir?

  • Dağıtık sistemler (botnet’ler) üzerinden yapılan hizmet engelleme saldırısıdır.
  • DNS Flood da bir DDoS türüdür.

DNS Amplification (Yükseltme) Saldırısı:

  • Küçük boyutlu DNS sorguları gönderilir, ancak çok büyük yanıtlar alınır.
  • Sorgular, kurbanın IP adresi kaynak IP gibi gösterilerek gönderilir (IP spoofing)

DNS Flood ve DDoS Arasındaki Fark

  • DNS Flood: Doğrudan hedef DNS sunucusuna yoğun sorgu gönderilir
  • DNS DDoS: Dağıtık kaynaklar (botnet) ve amplification teknikleri kullanılır

SONUÇ

DNS, internet altyapısının temel bileşeni olduğu için bu katmanda gerçekleşen saldırılar hizmet kesintilerine, veri sızıntılarına ve ciddi operasyonel kayıplara yol açabilir. DNS Flood, Amplification, NXDOMAIN, Random Subdomain ve DNS Tunneling gibi saldırılar, hem erişimi engellemek hem de güvenlik kontrollerini aşmak amacıyla DNS mekanizmalarını istismar eder. Bu saldırılar iş sürekliliğini, finansal yapıyı ve kurum itibarını doğrudan etkiler. Bu nedenle DNS trafiğinin IDS/IPS ve davranışsal analizlerle izlenmesi, kurumsal siber güvenliğin vazgeçilmez bir parçasıdır.

DNS Tabanlı Saldırılar ve Korunma Yöntemleri
Mehrinaz BOZ 25 Nisan 2026
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment