lostyazilim
tr.link

Hijacking Nedir ? DNS ler neden artık işe yaramıyor ?

8 Mesajlar 3.348 Okunma
lstbozum
tr.link

Rekomedya Rekomedya Sms Onayı Gerekli Banlı Kullanıcı
  • Üyelik 12.02.2012
  • Yaş/Cinsiyet 38 / E
  • Meslek Grafiker
  • Konum Diğer
  • Ad Soyad C** Ş**
  • Mesajlar 1930
  • Beğeniler 1527 / 1150
  • Ticaret 25, (%100)
Arkadaşlar uzun uzun uzun yazabileceğim sadece anlayabildiklerim çünkü bu konunun uzmanı değilim , bir çok türkiyenin ileri gelen internet girişimcileri konu hakkında bilgi sahibi olan çoğumuzun tanıdığı isimler bir kaç saattir hatta sabahtan beri bunu tartışıyor ve şu an anlatmaya çalıştıklarını anlayabildim buraya sizlere de aktarıyım dedim . Daha detaylı durumu farkedenler burada konuya eklerse iyi olur .

Dnsler artık işe yaramıyor çünkü İran ve Çin ile benzer bir veri akışı sistemine geçildi internette , hijacking denen bir halt yeniyor , görselle ifade edelim :



İlk olarak inceleyen bir kaynağı ekliyorum ve teker teker Sedat Kapanoğlu gibi konu hakkında bilgi tecrübe sahibi isimlerinde twitter üzerinde ki fikir jimnastiklerini , ulaştıkları sonuçlarla beraber c/p yapıcam buraya.

İlk kaynak : http://turk-internet.com/portal/yazigoster.php?yaziid=46356



Başlık : 29 mart 2014 dns trafiğine müdahale edilmesi
Kaynaktan görmek isteyenler için link : https://eksisozluk.com/29-mart-2014-dns-trafigine-mudahale-edilmesi--4312258?p=1
Konu hakkında yazılan çizilen aşağıda

bugün itibariyle yasakları daha etkili yapabilmek için google dnsden dönen cevaplar intercept edilmekte.

örneğin youtube.com:

dig youtube.com @8.8.8.8:
youtube.com. 86394 ın a 195.175.254.2

google dns'den dönen cevap tib'in ip ile değiştirilmekte ve bu yapılan tabii ki illegal..
dns trafiğinizi izleyip müdahale etmelerini engellemek için çözüm gayet basit: (bkz: dnscrypt)

edit: an itibariyle opendns cevaplarına da müdahale edilmeye başlandı.
fatih83

kişi bu mesajı beğendi.

wmaraci
reklam

Metin Metin metinli.com Kullanıcı
  • Üyelik 28.03.2011
  • Yaş/Cinsiyet 30 / E
  • Meslek SEO Analisti ve Siber Güvenlik
  • Konum Ankara
  • Ad Soyad M** Y**
  • Mesajlar 1399
  • Beğeniler 61 / 582
  • Ticaret 18, (%94)
Şöyle bir açıklamayı da ben yapmak isterim.

X.X.X.X ip adresine sahip olan server üzerine facebook.com adresinin giriş ekranının kopyalandığını düşünelim. Bunu ortalama bir webmaster çok rahat bir şekilde yapar. Sosyal mühendislik olarak adlandırılan bu olay ile kaynak kodlarını kopyalayarak aynı giriş ekranını elde etmek mümkün.

DNS servisleri, domain adreslerini cevap vermesi amacıyla sunucu IP adreslerine yönlendirir. Yani bağlı olduğunuz servis sağlayıcıları wmaraci.com yazıldığı zaman arka taraftan google.com ip sistemine yönlendirmeyi rahatlıkla yapabilir. Tarayıcıdaki adres kısmı wmaraci.com iken google.com sistemini kullanmış olursunuz.

Kimi ülkeler bilgi edinmek amacıyla ilk paragrafta anlattığım methodu uygular. Siz facebook.com yazarsınız, servis sağlayıcısı ise arka planda X.X.X.X olarak salladığım ip adresine ilgili yönlendirmeyi yapar. Bilgilerinizi girdiğiniz anda veriler bir yere kaydedilir ve gerçek facebook.com adresine login post data işlemi gerçekleşir. İlk girdiğiniz ekran facebook.com değildir, giriş yaptıktan sonra ise gerçek sunuculara bağlanırsınız. Bunu tarayıcıdaki adres kısmından anlamak imkansızdır.

Böylelikle insanların bilgileri istenildiği gibi toplanabilir, bu yönteme ihtiyaç duyulmadan servis sağlayıcıları gezinimler üzerinden zaten bilgi toplayabiliyorlar, ama hijacking methoduyla DNS servisini ele geçirdiğiniz sunucuları sizler de kontrol edebilirsiniz.

Alışveriş yaptığınız sitelerin https olması bu nedenle fazla bir şey ifade etmiyor, adres çubuğunu kontrol etmek bilgilerin güvende olduğunu sağlamak için yeterli değil.

Küçük bir fake DNS ip yönlendirmesini host dosyası değişimiyle sizler de bilgisayarlarınızda uygulayabilirsiniz.

>> https://www.google.com.tr/search?q=host+dosyası+nasıl+değiştirilir
Rekomedya

kişi bu mesajı beğendi.

Yazar, yazılım geliştirici, SEO Analisti ve siber güvenlik uzmanı.

Rekomedya Rekomedya Sms Onayı Gerekli Banlı Kullanıcı
  • Üyelik 12.02.2012
  • Yaş/Cinsiyet 38 / E
  • Meslek Grafiker
  • Konum Diğer
  • Ad Soyad C** Ş**
  • Mesajlar 1930
  • Beğeniler 1527 / 1150
  • Ticaret 25, (%100)

Metin adlı üyeden alıntı

Şöyle bir açıklamayı de ben yapmak isterim.

X.X.X.X ip adresine sahip olan server üzerine facebook.com adresinin giriş ekranının kopyalandığını düşünelim. Bunu ortalama bir webmaster çok rahat bir şekilde yapar. Sosyal mühendislik olarak adlandırılan bu olay ile kaynak kodlarını kopyalayarak aynı giriş ekranını elde etmek mümkün.

DNS servisleri, domain adreslerini cevap vermesi amacıyla sunucu IP adreslerine yönlendirir. Yani bağlı olduğunuz servis sağlayıcıları wmaraci.com yazıldığı zaman arka taraftan google.com ip sistemine yönlendirmeyi rahatlıkla yapabilir. Tarayıcıdaki adres kısmı wmaraci.com iken google.com sistemini kullanmış olursunuz.

Kimi ülkeler bilgi edinmek amacıyla ilk paragrafta anlattığım methodu uygular. Siz facebook.com yazarsınız, servis sağlayıcısı ise arka planda X.X.X.X olarak salladığım ip adresine ilgili yönlendirmeyi yapar. Bilgilerinizi girdiğiniz anda veriler bir yere kaydedilir ve gerçek facebook.com adresine login post data işlemi gerçekleşir. İlk girdiğiniz ekran facebook.com değildir, giriş yaptıktan sonra ise gerçek sunuculara bağlanırsınız. Bunu tarayıcıdaki adres kısmından anlamak imkansızdır.

Böylelikle insanların bilgileri istenildiği gibi toplanabilir, bu yönteme ihtiyaç duyulmadan servis sağlayıcıları gezinimler üzerinden zaten bilgi toplayabiliyorlar, ama hijacking methoduyla DNS servisini ele geçirdiğiniz sunucuları sizler de kontrol edebilirsiniz.

Alışveriş yaptığınız sitelerin https olması bu nedenle fazla bir şey ifade etmiyor, adres çubuğunu kontrol etmek bilgilerin güvende olduğunu sağlamak için yeterli değil.

Küçük bir fake DNS ip yönlendirmesini host dosyası değişimiyle sizler de bilgisayarlarınızda uygulayabilirsiniz.

>> https://www.google.com.tr/search?q=host+dosyası+nasıl+değiştirilir


Bunun ilk farkedilmesi seçim sisteminin internet üzerinden veri akışı yapacak olması ve acaba müdahale edilebilir mi düşüncesiydi , internet yavaşlayınca da bu durumun farkına varıldı.
 

 

JackkerL JackkerL WM Aracı Kullanıcı
  • Üyelik 01.05.2013
  • Yaş/Cinsiyet 27 / E
  • Meslek Öğrenci
  • Konum İstanbul Avrupa
  • Ad Soyad O** A**
  • Mesajlar 1868
  • Beğeniler 219 / 526
  • Ticaret 16, (%100)
Hiçbirşey anlamadım.
 

 

wmaraci
wmaraci

Metin Metin metinli.com Kullanıcı
  • Üyelik 28.03.2011
  • Yaş/Cinsiyet 30 / E
  • Meslek SEO Analisti ve Siber Güvenlik
  • Konum Ankara
  • Ad Soyad M** Y**
  • Mesajlar 1399
  • Beğeniler 61 / 582
  • Ticaret 18, (%94)
Ülkenin siyasi gündemi insani olarak hepimizi etkiliyor, ama işin teknik yönleri üzerinde durmak ise bir webmaster forumu olarak bizim görevimiz. Konunun farklı kişiler tarafından saptırılmaması için bunu belirtmek istedim.

Bu yöntem ise ciddi bir önem arz ediyor, geçtiğimiz senelerde Microsoft, Playstation, Linkedin gibi büyük firmalar bu tuzaklara düştüler.
Rekomedya

kişi bu mesajı beğendi.

Yazar, yazılım geliştirici, SEO Analisti ve siber güvenlik uzmanı.

Rekomedya Rekomedya Sms Onayı Gerekli Banlı Kullanıcı
  • Üyelik 12.02.2012
  • Yaş/Cinsiyet 38 / E
  • Meslek Grafiker
  • Konum Diğer
  • Ad Soyad C** Ş**
  • Mesajlar 1930
  • Beğeniler 1527 / 1150
  • Ticaret 25, (%100)

JackkerL adlı üyeden alıntı

Hiçbirşey anlamadım.


Yukarıda anlatımı var :) basit bir dille şu an kullandığım open dns görünüyor fakat birilerinin dns ye yönlendirilmiş veri alış verişi sahte bir 3. elin bağlantısı üzerinden internet kullanıyoruz.

yukarıda çok detaylı anlatımı var konunun ana mantığı noktasında bende uzun süre ne konuşuyor bu değişikler diye izledim yazışanları , sonradan anladım. Fake internetteyiz şu anda
 

 

JackkerL JackkerL WM Aracı Kullanıcı
  • Üyelik 01.05.2013
  • Yaş/Cinsiyet 27 / E
  • Meslek Öğrenci
  • Konum İstanbul Avrupa
  • Ad Soyad O** A**
  • Mesajlar 1868
  • Beğeniler 219 / 526
  • Ticaret 16, (%100)

LikeSend adlı üyeden alıntı

Yukarıda bilale anlatır gibi anlatımı var :) basit bir dille şu an kullandığım open dns görünüyor fakat tyyp dns ye yönlendirilmiş veri alış verişi sahte bir 3. elin bağlantısı üzerinden internet kullanıyoruz.

yukarıda çok detaylı anlatımı var konunun ana mantığı noktasında bende uzun süre ne konuşuyor bu değişikler diye izledim yazışanları , sonradan anladım. Fake internetteyiz şu anda


Hah bak, ilk cümle ne kadar güzel anlatıyor olayı tamamdır kavradım temel olarak saolasın :)
Rekomedya

kişi bu mesajı beğendi.

Rekomedya Rekomedya Sms Onayı Gerekli Banlı Kullanıcı
  • Üyelik 12.02.2012
  • Yaş/Cinsiyet 38 / E
  • Meslek Grafiker
  • Konum Diğer
  • Ad Soyad C** Ş**
  • Mesajlar 1930
  • Beğeniler 1527 / 1150
  • Ticaret 25, (%100)

Metin adlı üyeden alıntı

Ülkenin siyasi gündemi insani olarak hepimizi etkiliyor, ama işin teknik yönleri üzerinde durmak ise bir webmaster forumu olarak bizim görevimiz. Konunun farklı kişiler tarafından saptırılmaması için bunu belirtmek istedim.

Bu yöntem ise ciddi bir önem arz ediyor, geçtiğimiz senelerde Microsoft, Playstation, Linkedin gibi büyük firmalar bu tuzaklara düştüler.


Ama gerçekten çok tehlikeli bir durum değil mi bu ? Google güvenliğine güvenerek kullandığımız hattı devlet kafasına göre farklı bir hatta yönlendirmiş ve savunmalara ne derece karşı koyabileceği hakkında da hiç bir fikrimiz yok.
Arkaplanda ne dönüyor hiç bir fikrimiz yok , bütün veri akışını şu an başka bir ülke süzgeçten geçiriyor da olabilir yada a kişisi seni yada beni fake bir domaine yönlendirerek senin de söylediğin gibi fake bir facebook sayfasına sokup şifremi ele geçirip yada bankacılık bilgilerimi ele geçirip sonra al orjin facebook'a bağlan diye orjin siteye aktarabilir.
 

 

wmaraci
wmaraci
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al