İçerikler

DNS Amplification

DNS amplifikasyon saldırısı nedir?

DNS amplifikasyonu, saldırganın DNS sunucularındaki güvenlik açıklarından yararlanarak başlangıçta küçük sorguları kişinin sunucularını çökertmek için kullanılan çok daha büyük yüklere dönüştürdüğü bir DDoS saldırısıdır.

DNS amplifikasyonu, genel olarak erişilebilen DNS leri manipüle ederek, onları büyük miktarlarda UDP paketleriyle bir hedefi sel haline getiren bir yansıma saldırısı türüdür. Failler, çeşitli büyütme tekniklerini kullanarak bu UDP paketlerinin boyutunu “şişirebilir”, bu da saldırıyı en sağlam İnternet altyapısını bile çökertecek kadar güçlü hale getirir.

DNS amplifikasyonu, diğer amplifikasyon saldırıları gibi, bir tür yansıma saldırısıdır. Bu durumda yansıma, bir DNS çözümleyicilerinden sahte bir IP adresine bir yanıt elde edilerek gerçekleştirilir.

Bir DNS güçlendirme saldırısı sırasında, fail açık bir DNS çözümleyicisine sahte bir IP adresi içeren bir DNS sorgusu göndererek bu adrese bir DNS yanıtıyla yanıt vermesini ister. Gönderilen çok sayıda sahte sorgu ve eşzamanlı olarak yanıt veren birkaç DNS çözümleyiciyle, kurbanın ağı, çok sayıda DNS yanıtından kolayca etkilenebilir.

Yansıma saldırıları güçlendirildiğinde daha da tehlikelidir. “Yükseltme”, gönderilen orijinal paket talebiyle orantısız olan bir sunucu yanıtı ortaya çıkarmayı ifade eder.

Bir DNS saldırısını güçlendirmek için, her DNS isteği, büyük DNS mesajlarına izin veren EDNS0 DNS protokol uzantısı kullanılarak veya mesaj boyutunu artırmak için DNS güvenlik uzantısının (DNSSEC) şifreleme özelliği kullanılarak gönderilebilir. Tek bir istekte bir DNS bölgesi hakkındaki tüm bilinen bilgileri döndüren “HERHANGİ BİR” türünde sahte sorgular da kullanılabilir.

Bu ve diğer yöntemlerle, 60 baytlık bir DNS istek mesajı, hedef sunucuya 4000 bayttan fazla yanıt mesajı verecek şekilde yapılandırılabilir – bu da 70: 1 büyütme faktörüyle sonuçlanır. Bu, hedeflenen sunucunun aldığı trafik hacmini önemli ölçüde artırır ve sunucunun kaynaklarının tüketilme hızını artırır.

Dahası, DNS güçlendirme saldırıları genellikle DNS isteklerini bir veya daha fazla botnet aracılığıyla iletir – hedeflenen sunucuya veya sunuculara yönlendirilen trafik hacmini önemli ölçüde artırır ve saldırganın kimliğinin izlenmesini çok daha zor hale getirir.

Aşağıdaki komut ile DNS Recursion mevcut ayarlarını görüntüleyebiliriz.

DNS yükseltme saldırılarının etkisini önlemenin veya azaltmanın yaygın yolları arasında DNS sunucusu güvenliğinin sıkılaştırılması, belirli DNS sunucularının veya tüm açık özyinelemeli aktarma sunucularının engellenmesi ve hız sınırlandırılması yer alır.

Ancak, bu yöntemler saldırı kaynaklarını ortadan kaldırmaz ve ad sunucuları ile açık özyinelemeli sunucular arasındaki ağlar ve anahtarlar üzerindeki yükü azaltmaz. Ayrıca, açık özyinelemeli sunuculardan gelen tüm trafiğin engellenmesi, meşru DNS iletişim girişimlerine müdahale edebilir. Örnek olarak, bazı kuruluşlar, mobil çalışanların “güvenilir” bir ad sunucusundan çözümleyebilmesi için açık yinelemeli sunucuları bulundurur. Bu sunuculardan gelen trafiğin engellenmesi, erişimlerini engelleyebilir.

Recursive DNS: Nedir ve Neden Önemsemelisiniz?

E-ticaret, bankacılık veya diğer çevrimiçi hizmetler söz konusu olduğunda, DNS, başarılı bir web operasyonu için gereken en önemli teknik yönlerden biridir. DNS olmadan tüketiciler, çevrimiçi olarak bulunan web sitelerine veya hizmetlere erişemezler.

DNS’ye aşina olmayanlar için, bir alan adını (yani websayfaniz.com) bir IP adresine (yani 178.155.50.1) çevirmenin teknik işlemidir. Elbette bu basit bir açıklamadır; Çeviri sürecini çalıştırmak için perde arkasında çok daha fazlası vardır.

İş açısından bakıldığında, odak noktası Yetkili DNS olacaktır. Yetkili DNS, şirketlerin web varlıklarını seçtikleri bir alan adıyla (yani websayfaniz.com) kurmalarına olanak tanır. Alan adı, İnternet üzerindeki bir IP adresine eşlenecektir. İyi bir alan kurulumuna sahip olmak, pazarlama için harikadır ve tüketicilerin bir web sitesine kolayca erişmesine olanak tanır.

Ancak, DNS tartışması söz konusu olduğunda bazen ihmal edilen önemli bir faktör var. Bu faktör Recursive DNS dir. Recursive DNS, kullanıcıların şirketlerin kurduğu alan adlarını bulmasını sağlayan parçadır. Tüketiciler bunun farkında olmayabilir, ancak haberleri okumak, banka hesaplarına erişmek ve hatta bu blogu okumak için bilgisayarlarına veya telefonlarına her girdiklerinde, yinelemeli DNS hizmetlerini kullanıyorlar.

RECURSIVE (Yinelemeli) DNS NEDİR - VE NASIL ÇALIŞIR?

Yinelemeli DNS, bir şirketin alanlarını ve bir alan adıyla ilişkili IP adreslerini barındıran Yetkili DNS sunucuları ile tüketici arasındaki aracıdır. Yinelemeli DNS iki ana görevi yerine getirir:

Bir kullanıcı web tarayıcısında bir URL yazdığında, URL önce özyinelemeli DNS sunucusuna gönderilir. Özyinelemeli DNS sunucusunun yaptığı ilk görev, istenen URL için IP adresinin önceden depolanmış olup olmadığını görmek için önbelleğini kontrol etmektir. IP adresi bilgisi halihazırda bellekte ise, o zaman yinelemeli DNS sunucusu IP adresini derhal tarayıcıya geri verecek ve kullanıcı web sitesine yönlendirilecektir.

Özyinelemeli DNS sunucusunun hafızasında IP adresi yoksa, IP adresini alma sürecinden geçecek (“DNS ağacında gezinme” olarak adlandırılır) ve kullanıcıya iade edecektir. Yinelemeli DNS sunucusu daha sonra IP adresini belirli bir süre bellekte saklar.

Gördüğünüz gibi, Çevrimiçi olarak web sitelerine ve diğer e-ticaret hizmetlerine erişen kullanıcılar söz konusu olduğunda Yinelemeli DNS çok önemlidir.

EKRARLANAN DNS VE DDoS SALDIRILARI

Yinelemeli DNS, İnternette gezinen kullanıcılar için önemli olsa da, kötü niyetli saldırganlar, DDoS saldırılarını başlatmak için DNS’nin nasıl çalıştığının birkaç yönünden yararlanmıştır. Bu DDoS saldırıları, DNS Yükseltme saldırıları olarak bilinir

Kötü niyetli saldırganların istismar ettiği DNS’nin ilk yönü, açık özyinelemeli DNS sunucuları konseptiydi. Açık özyinelemeli sunucu, hiçbir güvenlik denetimi veya IP erişim listesi etkin olmayan bir sunucudur. Bu, İnternet’teki herkesin kötü niyetli saldırganlar da dahil olmak üzere yinelemeli DNS sunucusunu kullanmasını sağlar.

Saldırganların manipüle ettiği ikinci DNS istismarı, ilk sorgu paketinden daha büyük olan DNS yanıt paketleriydi (özellikle HERHANGİ veya DNSSEC kayıt türlerini sorgularken). Orijinal DNS sorgu paketi boyutu, alınan DNS yanıt paketi ile karşılaştırılırken çeşitli çalışmalar 25x ila 40x büyütme faktörünü tahmin etmiştir.

Kötü niyetli saldırganlar, belirli bir ana bilgisayar veya etki alanı adı için açık yinelemeli bir DNS sunucusuna birden çok sorgu gönderir. Bununla birlikte, kötü niyetli saldırgan, kendi kaynak IP adresini kullanmak yerine, kaynak IP adresini taklit eder ve hedeflenen kurbanının IP adresini girer. DNS için yanıt paketleri büyük bir faktörle güçlendirilebildiğinden, kötü niyetli saldırgan, yinelemeli DNS kullanarak etkili bir şekilde büyük bir DDoS saldırısı oluşturmuştur.

Yinelemeli DNS sunucuları genellikle DDoS saldırılarını başlatmak için kullanılsa da, doğrudan DDoS saldırısına da açık olabilirler. Ve haberlerin çoğu web sitelerine ve yetkili DNS sunucularına yönelik DDoS saldırılarına odaklansa da, yinelemeli bir sunucuya yönelik bir saldırı, kullanıcının İnternet’e yönelik herhangi bir web sitesine veya hizmete erişme yeteneğini teorik olarak engelleyebilir.

Özyinelemeli DNS sunucularının saldırıya açık olmasının nedeni, birçok sunucunun (özellikle İnternet Servis Sağlayıcıları tarafından dağıtılanların) tek noktaya yayın şeklinde dağıtılmasıdır. Bu, sunucuların, yük devretme veya yedeklilik için çok az veya hiç dikkate alınmadan bağımsız bir şekilde dağıtıldığı anlamına gelir. Dolayısıyla, bir saldırı, söz konusu özyinelemeli DNS sunucusunu kullanan herkesin İnternet’te istediği web sitesine veya hizmete ulaşmasını engelleyebilir. Bilgili ve teknik İnternet kullanıcıları, yinelemeli DNS hizmetleri için başka seçeneklere sahip olduklarını bileceklerdir, ancak düzenli, teknik olmayan müşteri olmayabilir ve bu, hem kullanıcı hem de bir satışı kaçıran potansiyel işletme için sinir bozucu olabilir.