Alt Alan Adı Taraması Nedir?
Alt alan adı bulucu; bir alan adının altında yayında olan yaygın alt alan adlarını (www, mail, vpn, api, portal, webmail vb.) sözlük tabanlı tarayarak A kaydı çözülenleri listeler. Wildcard DNS açık olan domainlerde yanlış pozitifleri eler.
Alt Alan Adı (Subdomain) Nedir?
Alt alan adı, ana alan adının önüne eklenen bir etikettir (örn. mail.example.com, vpn.example.com). Her biri ayrı bir hizmeti (web posta, VPN, API, panel) işaret edebilir. Saldırganlar saldırı yüzeyini haritalamak için ilk iş alt alan adlarını keşfeder; bu yüzden hangi alt alan adlarınızın internete açık olduğunu bilmek bir güvenlik gerekliliğidir.
Tarama Nasıl Çalışır?
Alan adınızı girin; SecRadar ~100 yaygın öneki alan adınıza ekleyip eşzamanlı olarak A kaydı sorgular ve çözümlenenleri IP'leriyle listeler. Önce 2-3 rastgele isim sorulur: eğer onlar da cevap veriyorsa domain 'wildcard DNS' kullanıyor demektir; bu durumda wildcard IP'sine eşit dönen adaylar elenir, yalnızca farklı IP'ye giden gerçek alt alan adları gösterilir.
Tüm Alt Alan Adları Bulunur mu?
Hayır — bu sözlük (yaygın önekler) tabanlı bir taramadır; alışılmadık isimler kaçabilir. Daha geniş kapsam için Sertifika Şeffaflığı (CT) loglarını tarayan 'Sertifika Geçmişi' aracıyla birlikte kullanın; CT logları geçmişte sertifika almış alt alan adlarını da ortaya çıkarır. İzlenen domainlerde SecRadar yeni alt alan adı belirdiğinde otomatik uyarı gönderebilir.
Alt Alan Adı Taraması Neden Önemli? (Saldırı Yüzeyi)
Bir kurumun internete açık her alt alan adı, potansiyel bir giriş noktasıdır; bunların toplamına 'saldırı yüzeyi' denir. Unutulmuş bir test sunucusu (test.example.com), eski bir panel (eski-panel.example.com) veya yamasız bir uygulama, ana siteniz kusursuz olsa bile saldırganın hedefi olabilir. Düzenli alt alan adı taraması, sahip olduğunuz ama unuttuğunuz varlıkları (shadow IT) ortaya çıkarır ve saldırgan bulmadan önce sizin görmenizi sağlar. Bu, sızma testlerinin ve varlık envanteri çalışmalarının ilk adımıdır.
Pasif ve Aktif Alt Alan Adı Keşfi Farkı
Pasif keşif, hedefe hiç dokunmadan kamuya açık kaynaklardan (CT logları, pasif DNS veritabanları, arama motorları) alt alan adı toplar; sessiz ve geniş kapsamlıdır. Aktif keşif ise sözlükteki önekleri doğrudan DNS'e sorarak (brute-force) çözümlenenleri bulur; pasif kaynaklarda olmayan ama yayında olan adları yakalar. En iyi sonuç ikisinin birleşiminden gelir: SecRadar sözlük tabanlı aktif taramayı, CT/pasif kaynaklardan beslenen Sertifika Geçmişi aracıyla tamamlamanızı önerir.
CT Logları ile Alt Alan Adı Keşfi
Bir alan adı için her SSL sertifikası düzenlendiğinde, kapsadığı alan adları (SAN) herkese açık Certificate Transparency loglarına yazılır. Bu loglar, sözlükte olmayan özgün isimli alt alan adlarını bile ortaya çıkaran çok zengin bir kaynaktır — çünkü bir alt alan adı HTTPS kullanıyorsa neredeyse kesinlikle bir CT kaydı vardır. SecRadar'ın Sertifika Geçmişi (CT) aracı bu logları tarar; alt alan adı bulucu ile birlikte kullanıldığında kapsamı ciddi şekilde genişletir.
Wildcard DNS Nedir, Sonuçları Nasıl Etkiler?
Wildcard DNS kaydı (`*.example.com`), tanımlanmamış her alt alan adının aynı IP'ye çözümlenmesini sağlar; yani var olmayan `rastgele123.example.com` bile cevap verir. Bu durum naif tarayıcılarda yüzlerce sahte (yanlış pozitif) sonuca yol açar. SecRadar önce 2-3 rastgele isim sorarak wildcard'ı tespit eder; eğer varsa, wildcard IP'sine düşen sentetik adayları eler ve yalnızca farklı IP'ye giden gerçek alt alan adlarını gösterir. Sonuçta wildcard durumu ayrıca işaretlenir.
Subdomain Takeover Riski Nedir?
Subdomain takeover, bir alt alan adının CNAME ile bir bulut hizmetine (GitHub Pages, S3, Heroku, Azure vb.) işaret etmesi ama o hizmetteki kaynağın artık var olmaması durumunda ortaya çıkar. Saldırgan o kaynağı kendi adına oluşturarak alt alan adınızın kontrolünü ele geçirir ve sizin markanız altında sahte içerik yayınlayabilir. Çözüm, kullanılmayan CNAME kayıtlarını DNS'ten silmektir. SecRadar taraması, bilinen hizmetlere işaret eden ama sahipsiz (dangling) görünen kayıtları takeover riski olarak işaretler.
Yeni Alt Alan Adlarını Sürekli İzleme
Saldırı yüzeyi statik değildir; ekipler sürekli yeni servisler yayınlar ve bunların bir kısmı güvenlik denetiminden geçmeden internete açılır. SecRadar'da bir alan adını kaydederek alt alan adı izlemesini açtığınızda, yeni bir alt alan adı belirdiğinde e-posta veya Telegram ile otomatik uyarı alırsınız. Böylece envanterinizi elle taramayı beklemeden güncel tutar, beklenmedik veya yetkisiz açılan servisleri erkenden fark edersiniz.