DNS Tabanlı Saldırılar Nedir?
- DNS Hijacking (DNS Kaçırma): Saldırganlar DNS kayıtlarını değiştirerek kullanıcıları meşru siteler yerine zararlı sitelere yönlendirir.
- DNS Cache Poisoning (Önbellek Zehirlenmesi): DNS çözümleyicilerin önbelleğine yanlış bilgiler gönderilerek kullanıcıların yönlendirilmesi sağlanır.
- DNS Amplification (Yükseltme): Küçük sahte sorgularla büyük DNS yanıtları üretilir ve hedef sunucu aşırı yüklenir.
- DNS Tunneling (DNS Tünelleme): DNS sorguları veya yanıtları içinde veri şifrelenerek güvenlik duvarları aşılır ve veri sızdırılır.
- DNS Flooding (DNS Taşkını): Hedef sunucuya aşırı DNS sorgusu gönderilerek hizmet kesintisi yaratılır.
DNS Tunneling ile Veri Sızdırma
DNS Tunneling, saldırganların DNS protokolünü kötüye kullanarak kurum dışına gizli veri çıkarması veya Command & Control (C2) iletişimi kurması yöntemidir.
Çalışma Mantığı:
- Zararlı yazılım, veriyi Base64, Hex veya özel encoding yöntemleriyle DNS sorgu adlarının içine gömer.
- DNS isteği, saldırganın kontrolündeki kurum dışı DNS sunucusuna gönderilir.
- Yetkili DNS sunucusu bu veriyi çözer ve yanıt döner.
- Bu yapı, iki yönlü ve gizli bir iletişim kanalı oluşturur.
Kullanım Amaçları:
- Hassas verilerin kurum dışına sızdırılması
- Firewall ve proxy gibi güvenlik kontrollerinin aşılması
- Uzun süreli gizli C2 bağlantılarının kurulması (APT saldırıları)
Tespit Yöntemleri:
- Normalden uzun ve anlamsız subdomain isimleri
- Yüksek hacimli ve sık DNS sorguları
- TXT veya NULL kayıtlarının olağandışı kullanımı
- Aynı domaine sürekli tekrar eden DNS istekleri
Korunma Yöntemleri:
- DNS trafiğinin loglanması ve anomali analizi yapılması
- IDS/IPS ve SIEM sistemleri üzerinden DNS davranışlarının izlenmesi
- Bilinmeyen veya şüpheli domainler için DNS filtering ve sinkhole kullanımı
- Endpoint tarafında EDR çözümlerinin devreye alınması
NXDOMAIN ve Random Subdomain Saldırıları
Bu saldırılar, DNS sunucularını meşgul ederek hizmet veremez hâle getirmeyi amaçlayan DDoS türlerindendir.
- Amaç veri çalmak değil, sunucu kaynaklarını tüketmektir.
NXDOMAIN Saldırısı:
- NXDOMAIN, DNS üzerinde kayıtlı olmayan bir alan adı sorgusuna verilen yanıttır.
- Saldırganlar, botnet kullanarak binlerce geçersiz alan adı sorgusu gönderir.
- Sonuç: Sunucu kaynakları tükenir ve gerçek kullanıcı sorgularına yanıt veremez.
Random Subdomain Saldırısı:
- NXDOMAIN saldırısının geliştirilmiş bir versiyonudur.
- Hedef domainin önüne rastgele karakterler eklenerek benzersiz alt domain sorguları oluşturulur (ör. asdf123.sirket.com).
- Sunucunun önbellek mekanizması devre dışı kalır; her sorgu ayrı işlem gerektirir.
- Amaç: Sunucu yükünü artırmak, yanıt sürelerini yavaşlatmak veya alt domain yapılarını test etmek.
İlişki ve Etki:
- Random Subdomain saldırılarında çoğu sorgu geçersiz olduğu için NXDOMAIN ile sonuçlanır.
-
Bu durum sunucuda yüksek işlem yükü, dolan loglar ve hizmet kesintisine yol açar.
Kurumsal Sistemlere DNS Saldırılarının Etkileri
- İş Sürekliliği ve Erişim Kesintileri:
-
DNS Flood ve Amplification saldırıları, web siteleri, e-posta servisleri ve bulut uygulamalarının erişilemez hâle gelmesine yol açar ve iş süreçlerini durdurur.
-
DNS Flood ve Amplification saldırıları, web siteleri, e-posta servisleri ve bulut uygulamalarının erişilemez hâle gelmesine yol açar ve iş süreçlerini durdurur.
-
Veri Güvenliği ve Kimlik Hırsızlığı:
-
DNS Spoofing, Cache Poisoning ve Tunneling teknikleriyle hassas veriler sızdırılabilir, kullanıcı adı ve şifreler ele geçirilebilir, güvenlik kontrolleri aşılabilir.
-
DNS Spoofing, Cache Poisoning ve Tunneling teknikleriyle hassas veriler sızdırılabilir, kullanıcı adı ve şifreler ele geçirilebilir, güvenlik kontrolleri aşılabilir.
-
Finansal ve Operasyonel Kayıplar:
-
Saldırılar, SLA ihlalleri, satış kayıpları, tazminat yükümlülükleri ve sistem kurtarma maliyetleri gibi finansal ve operasyonel sonuçlara yol açar.
-
Saldırılar, SLA ihlalleri, satış kayıpları, tazminat yükümlülükleri ve sistem kurtarma maliyetleri gibi finansal ve operasyonel sonuçlara yol açar.
-
İtibar ve Güven Kaybı:
- Müşteri güveni ve marka prestiji zarar görür; DNS üzerinden C2 iletişimi kötü amaçlı yazılımların ağ içinde kalıcı olmasını sağlar ve uzun vadeli riskler doğurur.

IDS/IPS ile DNS Trafik Analizi
IDS (Intrusion Detection System) ve IPS (Intrusion Prevention System) sistemleri, DNS trafiğini analiz ederek hem bilinen hem de bilinmeyen DNS tabanlı saldırıları tespit eder. IPS modunda şüpheli trafiği engelleyebilir, IDS ise alarm üretir.
DNS Trafiğinde Yaptıkları:
- DNS paketlerini gerçek zamanlı inceler.
- Şüpheli sorgu desenlerini ve anormal trafik davranışlarını tespit eder.
- Bilinen saldırı imzaları ile eşleşme yapar ve gerektiğinde saldırıyı durdurur.
Tespit Edilebilen Tehditler:
- DNS Tunneling (uzun ve anlamsız domain sorguları)
- DNS Amplification ve Flood saldırıları
- DGA (Domain Generation Algorithm) kullanan zararlılar
- Şüpheli TXT ve NULL kayıt kullanımı
- Bilinen C2 (Command & Control) domain’lerine yapılan sorgular
Analiz Yöntemleri:
- İmza Tabanlı Analiz: Bilinen saldırı kalıplarını veri tabanıyla karşılaştırır; protokol ihlallerini ve kötü amaçlı domainleri tespit eder.
- Davranışsal/Anomali Analizi: Sıfırıncı gün saldırıları ve anormal trafikleri yakalar; sorgu hızı, entropi analizi ve kaynak/hedef oranı kullanılır.
-
Tünelleme ve Veri Sızdırma Tespiti: DNS paketlerindeki TXT/NULL kayıtları, alışılmadık karakter setleri veya şifrelenmiş veriler analiz edilir.
DNS Flood ve DDoS Saldırıları
DDoS Nedir?
- Dağıtık sistemler (botnet’ler) üzerinden yapılan hizmet engelleme saldırısıdır.
- DNS Flood da bir DDoS türüdür.
DNS Amplification (Yükseltme) Saldırısı:
- Küçük boyutlu DNS sorguları gönderilir, ancak çok büyük yanıtlar alınır.
-
Sorgular, kurbanın IP adresi kaynak IP gibi gösterilerek gönderilir (IP spoofing)
DNS Flood ve DDoS Arasındaki Fark
- DNS Flood: Doğrudan hedef DNS sunucusuna yoğun sorgu gönderilir
-
DNS DDoS: Dağıtık kaynaklar (botnet) ve amplification teknikleri kullanılır
SONUÇ
DNS, internet altyapısının temel bileşeni olduğu için bu katmanda gerçekleşen saldırılar hizmet kesintilerine, veri sızıntılarına ve ciddi operasyonel kayıplara yol açabilir. DNS Flood, Amplification, NXDOMAIN, Random Subdomain ve DNS Tunneling gibi saldırılar, hem erişimi engellemek hem de güvenlik kontrollerini aşmak amacıyla DNS mekanizmalarını istismar eder. Bu saldırılar iş sürekliliğini, finansal yapıyı ve kurum itibarını doğrudan etkiler. Bu nedenle DNS trafiğinin IDS/IPS ve davranışsal analizlerle izlenmesi, kurumsal siber güvenliğin vazgeçilmez bir parçasıdır.
DNS Tabanlı Saldırılar ve Korunma Yöntemleri