Whois Sorgusu Nedir? Neden Yapılır?

Bilgi toplama ikiye ayrılmaktadır. Birincisi aktif bilgi toplama, ikincisi ise pasif bilgi toplamadır. Aktif bilgi toplarken hedef sistem ile doğrudan iletişime geçtiğin için bilgi toplama sırasında iz bırakmış olursun. Pasif bilgi toplamada ise böyle bir şey söz konusu değildir. Çünkü araya herhangi bir etmeni koyduğun için hedef ile doğrudan bir iletişim kurmuş olmazsın. İşte whois sorguları da pasif bilgi toplama aşamalarından birisidir.

Whois sorguları birçok yerde iki tane olarak anlatılsa da aslında üç tanedir. Bunlar;

  • Domain adresine yönelik whois sorgusu
  • IP adresine yönelik whois sorgusu
  • ASN (Autonomous System Number) kaydına yönelik whois sorgusudur.

Domain Adresine Yönelik Whois Sorgusu

Domain adresine yönelik whois sorguları çeşitli online servislerden veya Kali Linux içerisinde bulunan whois aracıyla gerçekleştirilir. İlk başta domain adresine yönelik whois sorgusu nasıl yapılır onları görelim daha sonrada bu sorgudan elde edilebilecek bilgileri ve bu bilgilerin ne işe yarayabileceğini öğrenelim.

Dediğim gibi whois sorgusu online servisler aracılığı ile yapılabilir. Bu online servislerden birisi who.is ‘ dir. Siteye girdikten sonra aşağıdaki resimde yer alan “Domain names or IP addresses…” kısmına domain adresini yazarak test edebilirsiniz.

Bir diğeri ise Kali Linux‘da bulunan whois aracıdır. Bu araç ile de aşağıdaki gibi sorgu gerçekleştirilir.

Domaine yapılacak olan whois sorgularında aşağıdaki bilgilerin toplanması amaçlanır.

  • Domain sahibinin adı ve soyadı nedir?
  • Adres bilgileri, telefon numarası vs nedir?
  • Domain alınırken hangi e-posta adresi kullanılmış?
  • Domain hangi firmadan alınmış?
  • DNS (Domain Name System) kayıtları nerede tutuluyor?

Peki bu bilgiler bir saldırganın ne işine yarıyor olabilir? ? O halde hemen bu bilgiler ne işe yarar onlara bir göz atalım.

Domain sahibinin adı ve soyadı saldırgan için neden önemlidir? Çünkü bu bilgiler doğrultusunda saldırgan hedeflediği kişinin sosyal medya hesaplarını araştırılıp, sosyal medya hesapları üzerinden çeşitli bilgileri elde edebilir. Örnek vermek gerekirse hedef kişinin telefon numarasını bulabilir, çalıştığı iş yerini bulabilir, hatta iş yeri çıkışında hedef kişiyi takip edip ev adresini dahi öğrenebilir. Bu bilgiler doğrultusunda iş yerinin yakınlarında yer alan çöp kutularını, atılan kağıtları vb kontrol edip çeşitli bilgilere ulaşabilir ya da hedefin evinin boş olduğu bir anı kollayıp, eve girip evden çeşitli bilgiler elde edebilir. O yüzden tatile gidip “Ben ve eşim çocuklarımızla birlikte tatildeyiz” diyip fotoğraf paylaşırsan evine hırsız girme olasılığı yüksektir. Bunun dışında “Canım dayıcığım” diye bir paylaşımda veya yorumda bulunursan annenin kızlık soyadını da saldırganın ellerine teslim etmiş olursun.

Adres bilgilerinin ne işe yaradığını yukarıda bahsettim. Telefon numarası ise hedeflenen kişinin adının soyadının bulunmasına yardımcı olabilir. Yine birçok kapı üstte yazdığım konulara çıkıyor ama bunun dışında “Caller ID Spoofing” saldırısına da maruz kalabilirsin. Peki bu Caller ID Spoofing saldırısı nedir?

Mehmet, Ahmet ve Ayşe isminde üç tane karakterimiz olsun. Bunlardan Ahmet ve Ayşe arkadaş, Mehmet‘te saldırgan olsun. Mehmet doğal olarak Caller ID Spoofing saldırısını Ayşe’nin üzerinde deneyecektir. Caller ID Spoofing yaparak sanki Ahmet Ayşe’yi arıyormuş gibi gösterip istifini bozmadan Ayşe ile sohbet edebilir. Ayşe’nin telefonu çaldığında telefonunda “Ahmet Arıyor” yazısını göreceği için hiçbir şeyden şüphelenmeden saldırgan olan Mehmet ile konuşabilir. Eğer Ahmet birtakım bilgileri Ayşe ile paylaşmışsa, Ayşe’de bunları Mehmet ile paylaşabilir.

Domain alınırken kullanılan e-posta adresinin önemi ise şöyledir. E-posta adresi ele geçirilmeye çalışılır çünkü e-posta adresi ele geçirildiği zaman doğal olarak domain adresi de ele geçirilecektir. Saldırgan e-posta adresine yönelik çeşitli parola denemeleri yapabilir, e-posta adresine çeşitli phishing saldırıları gönderebilir veya e-posta adresini kullanan kişiye çeşitli sosyal mühendislik saldırıları yapıp bu adresi ele geçirmeye çalışabilir.

Domainin hangi firmadan alındığı da saldırgan için önemlidir. Bu bilgiye ulaşan saldırgan domain adresinde herhangi bir açık bulamadığı taktirde servis sağlayıcıda açık bulmaya çalışacaktır. Eğer servis sağlayıcıda istediği açığı bulursa doğal olarak hedeflediği kişinin domain adresini de ele geçirecektir.

Domain Name System kayıtlarının önemi de oldukça büyüktür. DNS’i kısaca özetlemek gerekirse browser’a yazdığımız alan adlarının IP adreslerini browser’a bildirir ve böylelikle gitmek istediğimiz web sitesine gitmiş oluruz. Peki bu saldırganın ne işine yarar diye soracak olursan şöyle bir şey hayal edebilirsin. Eğer saldırgan DNS’e kaldıramayacağı kadar DDoS atağı gerçekleştirirse, web sitesine gitmek isteyen herhangi bir kullanıcı web sitesini görüntüleyemeyecektir.

IP Adresine Yönelik Whois Sorgusu

Bu whois sorgusunda ağ aralığının öğrenilmesi amaçlanır. Ağ aralığı öğrenildikten sonra hangi IP adreslerinin DOWN, hangi IP adreslerinin UP olduğuna bakılır. Daha sonra ayakta olan IP adresleri hakkında çeşitli bilgiler toplanmaya başlanır. Zafiyet bulunduğu taktirde istismar edilebilir. IP Adresine yönelik whois sorgusunu yine Kali Linux’da yer alan whois aracı ile gerçekleştirebilirsin.

İlk başta alan adının hangi IP adresi üzerinde yer aldığını bulmak için domaine ping atılır.

Daha sonra whois sorgusuna bu IP adresi yazılıp sorgulama gerçekleştirilir.

ASN (Autonomous System Number) Kaydına Yönelik Whois Sorgusu

ASN, IP adreslerinin tek bir idari varlık veya alan adına toplandığı açıkça tanımlanan bir koleksiyondur. Alan adlarının özerk bölgeleri de diyebiliriz. Bu sorgunun yapılabilmesi için aşağıdaki adımlar takip edilir.

İlk önce alan adına ait IP adresinin öğrenilebilmesi için alan adına ping atılır.

Daha sonra whois aracı kullanılarak “origin” değeri öğrenilir.

Daha sonra da yine whois aracı kullanılarak ASN kaydına ulaşılır.

Yukarıdaki resimde de görüldüğü gibi facebook şirketine ait  IP adreslerini görmüş olduk. İşte yukarıda resimde görülen IP adreslerinin oluşturduğu alan facebook’un özerk bölgesidir.

Peki bu kayıtlar nasıl gizlenir?

Bu kayıtlar hizmet aldığın firmaya söylediğin taktirde gizlenebilir veya gizlemen için sana yol gösterebilirler. Bunun dışında Cloudflare gibi servislerden de yararlanılabilir.