dns hijacking

(bkz: #41566387)

cal suna bi duduk

29.03.2014 17:57
bir sonraki aşama için lütfen(bkz: phishing)..

sanma seni unuttugumu kaderimin guzeli

29.03.2014 18:00
bunu fark etmenin yollarından biri, girilen sitelerin ip numaralarını bilip kontrol etmektir.

mesela eksisozluk.com için 188.132.x.x gibi bir ip görürseniz doğru siteye giriş yapıyorsunuz demektir. tabii bunun yanında sitede yer alan reklamların vs. bağlantıların da ip'lerini göreceksiniz.

ip'leri kontrol etmek için command prompt'u açıp en basitinden netstat -an komutunu girerseniz ip numaralarını ve ilgili portları görme imkanınız olur.

ayrıca (bkz: man in the middle attack)

edit: gece vakti fark edilmesini yazmışız ama nasıl korunabileceğimizden bahsetmemişiz.

yarı amatör bir bilgisayar kullanıcısı olarak şöyle bir yöntem önebilirim:

hani yasaklı sitelere girmek için hosts dosyası edit'liyorsunuz ya işte o mantıkla yani; xbankasi.com'a girmek istediğimiz zaman xbankasi'nin ip numarasını xbankasi.com alan adı ile birlikte hosts dosyamıza ekliyoruz.

böylece dns sorgulamasını yapmayıp doğrudan ip numarası ile adresi eşleştirmiş olduğundan bir nevi çözüm olabilir belki.

godot yu hacklerken

30.03.2014 00:44 ~ 06.04.2014 16:46
(bkz: türk halkının tcp/ip ile imtihanı)

manlyphall

30.03.2014 00:46

sagda solda hakkinda cesitli analojiler gordugum durum. "benim maasim da basbakana feda olsun" ve "gotunun giliyik" soylemlerinin vuku bulabildigi bir ortamda, ozetle bir kesimin kendi bireyliklerinden ve kendi bireylik haklarindan bihaber bir sekilde, tamamen biat temelli yasadigi bir ortamda analojinin kralini bile yapsan umurlarinda olur mu, supheliyim. cunku bu insanlar "yani bu olay birinin telefon rehberini degistirmesi gibi bir sey" soylemine "olsun yae, duzeltiriz" deyip gecer; o rehberin degistirilmis oldugu gerceginin teskil ettigi yanlisi dusunmezler bile.

bu sebeptendir ki uzun zamandir ilgili ve bilgili insanlar "dns ve vpn var yaeea" diyen insanlara "abi dns ve vpn ile girebiliyor olman bu engelleri makul kilmiyor ve gozardi etmene sebep olmamali" diye laf anlatmaya calisiyordu. simdi dns ve vpn ile de giremiyorsunuz. gayet mustehak bence. adina da derler touka kouka.

make the world go away

30.03.2014 20:54
tehlikelerine dair kısa bir makale için (bkz: http://disconnected.io/…8/how-i-hacked-your-router/)

cyrus

07.04.2014 13:54
bu ülkenin kanserlerinden biri. çok bilinmeyen bir dns bulunca bütün internet tekrardan sansürsüz oldu. sanırım ip filtering yapmayı bırakmış btk.

frosties

15.03.2022 19:58
tüm dünyadan farklı olarak dns hijacking ülkemizde takiple beraber, erişim engelleme amaçlı kullanılıyor.bir ip arkasında birden fazla site olabilir ayrıcacloudflare benzeri servislerin sunduğu dns güvenliği hizmetleri de var.bir ip'yi engellerseniz binlerce alanadı engellenmiş olabiliyor.https nedeniyle zaten bir sitenin kısmı engellenmesi sağlanamıyor, bütün browserlar varsayılan olarak önce https arıyor.şifrelenmiş dns sorguları inspect edilemez ise https trafiğide inspect edilemez.

entry'nin başında yazdığı gibi tüm dünyada kullanıcının hangi siteye girdiği takibi için dns hijacking yapılıyor, diğer türlü kullanıcının aynı ipdeki hangi siteye girdiği tespit edilemiyor, aynı ip üzerinde birden fazla sertifika karşınıza çıkabilir.ekşisözlük'te bu durumda, twitter, youtube, facebook gibi büyük sitelerin kendi ip blokları mevcut yani kabak gibi ortadalar.

takibi edilmeyi engellemek için dnscrypt, dns over tls, dns over https, dns over quic gibi çözümler mevcut.bu protokollerin hiçbirisi sorgulama için kullandığınız sunucuya gerçekten erişip erişmediğinizi kontrol etmiyor.
örneğin siz android telefonunuda özel dns ayarı yapıpcloudflare dns sunucusuna dns over tls üzerinden eriştiğinizi zannederken cevap yamukcell ,yamukfone veya yamuk telekom uyumlu dns sunucusundan geliyor.sonuçta bu yazılımlar açık kaynak kodlu, herkes erişebiliyor.ordan gelsin hop yönlendirme.yasaklı olan siteyi anladık ama yasaklı olmayan bir sitenin dns sorgu cevabı acaba nereden dönüyor ??? bunu ayrıca irdelemek gerekiyor.

gelelim nasıl tespit edildiğine , bu protokoller genellikle rfc7858 dayandığı için 853 numaralı başka hiçbir iş için kullanılmayan bir portu hızlı olması için genelde udp ile birlikte kullanıyorlar, 443 nolu portu kullanıldığıda oluyor.sadece doh ilk versiyonunda 443 nolu port tcp ile kullanılıyormuş, buda performans açısından gecikmeye neden oluyor ama tespitini zorlaştırıyordu.853 , 443/udp gibi kullanımlar başka hiç bir serviste olmadığı için , hatta quic paketleri tabiri caizse ağ üzerinde bağıra bağıra "lanet olsun dostum ben bir websitesi ipsi arıyorum" diye yol aldıkları için içeriği dahi okunmadan iyot gibi rahatlıkla tespit edilebiliyorlar.

direk bu şifrelenmiş dns sunucularının engellemekte ülkemizin önde gelen bazı büyük isplerinin başvurduğu diğer bir yöntem, network yönetimi açısından daha doğru bir çözüm.çünkü her 443/udp paketini şifrelenmiş dns diye işlerseniz , bir müşterinin kullandığı hatta kendisinin yazdığı bir uygulamayı engellememek için ayrıca önlem alınmalı.

tespit edilememek için birinci kural kalabalığa karışmaktır, takip etmenin birinci kuralı da sessiz olmaktır.yeni adı kali linux olan backtrack dağıtımının sloganı olan `the quieter you become, the more you are able to hear` boşuna seçilmemiştir.trafik içinde kolaylıkla ayırt edilmeyen ve karşı tarafı doğrulayan, örneğin tcp paket tipinde sıradan bir https paketi ile oturum açıp ondan sonra sorgulamaya devam edilse, direk tcp tls ile kullanılabilir ancak tespit edilip incelenemese bile engellemesi daha kolay olacaktır.

( bu konuda bir xkcd karikatürü vardı, eleman networkteki gizli bilgileri içeren paketleri secret,confidential falan diye işaretliyordu, bulan bir zahmet yeşillendirsin).

edit:bu olayın nasıl yapıldığına dair yabancı bir youtuberın 10 aylık 339 izlenmesi olan daha önce bir videosu mevcuttu ama ne hikmetse ben paylaştıktan sonra kanal durmasına rağmen sadece o video kaybolmuş durumda.belki de bölgesel bir durum bilemiyorum.

67 dns over tls dot ınspection fortinet nse 4 fortios 7 x

büdüt:ilgili youtuber'ın bütün fortinet videoları kaldırılmış.

büdüt2:yamukcell'de bütün trafik proxy görevi gören belli bir ip üzerinden yönlendiriliyor, varsayılan dns sunucu ipleride proxy ile aynı çıkıyor.sadece yasaklı alan adlarına giden trafik boşa düşürülüyor.varsayılan dns ile reklamlar gözükürken reklam engelleme özelliği olan dns kullanılınca reklam çıkmıyor.yani trafik önce bızdıklanıyor sıkıntılı bir durum yoksa geçmesine izin veriliyor.

deathline

24.02.2023 12:13 ~ 26.02.2023 23:45