DNS Spoofing Nedir DNS Spoofing Atağı Nasıl Gerçekleştirilir?

DNS(Domain Name System) Nedir?

DNS(Domain Name System), kullanıcıların browser’a girmiş olduğu alan adlarını bu alan adlarına ait IP adresleri ile eşler. Daha sonra girilen alan adının IP adresini browser’a bildirir ve böylelikle ulaşılmak istenen web sitesine ulaşılmış olunur. Aşağıdaki resimde basit bir iletişim anlatılmıştır.

DNS Spoofing Nedir?

DNS Spoofing, temel olarak bir saldırganın tüm DNS isteklerini ve dolayısıyla tüm trafiği kendi makinasına yönlendirmesidir. Saldırgan yönlendirme işlemi gerçekleştikten sonra verileri çalabilir.

Yukarıdaki resmi örnek alarak daha basit bir dilde olayı anlatmak gerekirse; Kullanıcının DNS’e “Google’un IP adresi nedir?” diye bir soru sorduğunu varsayalım. Eğer saldırgan DNS isteklerini kendi makinasına yönlendirmeyi başarmışsa size 172.217.17.165 IP adresini değil de kendisinin Google.com alan adına tanımlamış olduğu IP adresini bildirecektir. Böylelikle siz gerçek Google.com ‘ a değil de saldırganın yönlendirdiği bir IP adresine gitmiş olursunuz.

Şimdi yukarıdaki açıklamaları dikkate alarak yerel ağ’da DNS Spoofing atağı gerçekleştirelim.

Bu atağı Ettercap aracı ile gerçekleştireceğimiz için ilk önce etter.conf dosyasını düzenlememiz gerekmektedir. Bu dosyada [privs] kısmındaki ec_uid ve ec_gid değeri 0 yapılır. Daha sonra if you use iptables kısmındaki redir_command_on ve redir_command_off kısımlarının önündeki # işareti kaldırılır ve kaydedip çıkılır. Böylelikle etter.conf dosyasının düzenlenmesi bitmiş olur. Bu düzenlemeler aşağıdaki resimlerde gösterilmektedir.

Bu işlem bittikten sonra Ettercap aracı çalıştırılır. İlk önce bulunulan interface seçilir. Daha sonra yerel ağda bulunan bilgisayarların tespiti için tarama işlemi başlatılır. Bu işlemde yapıldıktan sonra bilgisayar listesi görüntülenir ve Add to Target 1 kısmına hedef alınan kişi (kurban) eklenir. Bu adımlar aşağıdaki resimlerde gösterilmektedir.

1-) Sniff -> Unified sniffing… > OK

2-) Hosts -> Scan for hosts

3-) Hosts -> Hosts list

4-) Kurbanın IP adresinin üzerine tıklanır ve Add to Target 1 ‘ e basılır.

Bu ayarlarda bittikten sonra sıra geldi etter.dns dosyasını düzenlemeye. Atağı facebook.com adresine gerçekleştireceğiz. Bunun için etter.dns dosyasına A kaydı oluşturuyoruz ve kaydedip çıkıyoruz.

Yukarıda oluşturduğumuz A kaydını açıklamak gerekirse; kullanıcı facebook.com adresine gitmek istediğinde ona 192.168.1.40 IP adresini söyle dedik. Bu IP adresi saldırganın IP adresidir.

Şimdi apache2 servisi başlatılmadan önce /var/www/html/ dizinindeki index.html dosyasını değiştirelim. Terminale leafpad /var/www/html/index.html yazarak index.html dosyası açılır. Burayı istediğiniz gibi değiştirebilirsiniz. Ben uyarı mesajı yayınlayacağım.

Şimdi saldırgan makinasından apache2 servisi terminale “service apache2 start” yazarak başlatılır.

Sıra geldi ARP poisoning işlemine. Sırasıyla;

  • Mitm tıkla.
  • ARP poisoning ‘ i seç.
  • Sniff remote connections işaretle ve OK ‘ a bas.
  • Mitm ‘ ye tıkladığın sırada Plugins yazar. Plugins ‘ e tıkla ve ardından Manage the plugins ‘ i seç.
  • dns_spoof yazısının hemen sol yanına çift tıkla ve işaretlemiş ol.
  • Mitm ‘ ye tıkladığın sıranın en başında Start var ona tıkla.
  • Start sniffing’i seç.

Böylelikle saldırı başlamış oldu. Hedef kişi facebook.com adresine gittiğinde bıraktığım notu görecektir.

Tabii ki hacker bu kadar insaflı olmaz. Büyük ihtimalle bu not yerine facebook sitesini kolonlayıp /var/www/html/ dizinine index.html olarak kaydedecekti ve sizde sanki facebook ‘ a giriş yapıyormuşsunuz gibi kullanıcı adı ve parola girecektiniz. Eeee sonrada bu bilgiler hacker’a gidecekti ?