Bilgi Bankası

DNS Amplification Saldırısı Nedir?

DNS Amplification, bir DDoS (Distributed Denial of Service) yani Dağıtık Hizmet Reddi sınıfına giren bir siber saldırı türüdür. Bu saldırıda, çoğu zaman açık DNS sunucuları kullanılarak hedef sisteme aşırı yük bindirilir ve hizmetin yanıt veremez hale gelmesi sağlanır.

DNS Amplification sıkça UDP protokolü üzerinden gerçekleştirilen bir saldırı türüdür. Bunun temel sebebi, UDP'nin bağlantısız bir protokol olmasıdır. Bir istemci, DNS sunucusuna spoofed (sahte) IP adresiyle bir sorgu gönderdiğinde, DNS sunucusu yanıtı gerçek hedef olan spoofed IP adresine gönderir. İşte bu mekanizma, sıstematize edilerek büyük hacimli bir DDoS saldırısına dönüştürülebilir.

Saldırgan DNS Amplification'ı Nasıl Kullanır?

Bir saldırgan, DNS Amplification sırasında aşağıdaki adımları izler:

1. Açık DNS Sunucularını Tespit Eder: DNS servisi ücıncu taraflara (recursion enabled) yanıt veriyorsa, saldırganlar tarafından istismar edilebilir.
2. Spoofed IP ile DNS Sorgusu Gönderir: Saldırgan, sahte IP adresi (hedefin IP'si) ile DNS sunucularına gönderilecek özel olarak hazırlanmış büyük yanıtlar oluşturan sorgular yollar.
3. DNS Yanıtları Hedefe Gider: DNS sunucusu, gelen sorguya yanıt verir ve spoof edilen IP adresine (yani hedef sisteme) büyük boyutlu veriler yollar.
4. Hedef Sistem Yığılma Yaşar: Gelen DNS yanıt paketleri, bant genişliğini tüketerek sistemin yanıt veremez hale gelmesine sebep olur.

Saldırının Etkisi:

• DNS yanıtları çok büyük olduğu için hedef ağ bant genişliğini tüketir.
• Gerçek kullanıcılar hizmet alamaz hale gelir.
• Uzun süreli kesintilere neden olabilir ve sunucu üzerindeki diğer hizmetleri etkileyebilir.

DNS Amplification Saldırısından Nasıl Korunulur?

1. Windows Sunucular için Korunma Yöntemleri

• Recursive DNS Servisini Devre Dışı Bırakma:

  • dnscmd /Config /NoRecursion 1
  • Veya DNS sunucu ayarlarından recursion'u kapatın.

• Firewall Kuralları ile UDP 53 Portunu Filtreleme:

  • İzin verilen IP'ler dışından gelen DNS isteklerini engelleyin.
  • netsh advfirewall firewall add rule name="DNS Allow" protocol=UDP dir=in localport=53 action=allow
  • netsh advfirewall firewall add rule name="DNS Block External" protocol=UDP dir=in localport=53 action=block remoteip=any

• Rate Limiting Kullanın:

  • Microsoft Windows DNS sunucularında rate limiting ayarlayarak aşırı istekleri engelleyebilirsiniz.

• Güncellemeleri Takip Edin:

  • DNS sunucularınızın güvenlik açıklarının kapatılması için güncel yamaları uygulayın.

2. Linux Sunucular için Korunma Yöntemleri

• BIND DNS Recursive Access Kapatma:

  • /etc/named.conf dosyasında allow-recursion kısmını aşağıdaki gibi düzenleyin:
    

    options {
        allow-recursion { none; };
    };
    

  • Ardından servisi yeniden başlatın: systemctl restart named

• iptables ile UDP 53 Rate Limiting:

  iptables -A INPUT -p udp --dport 53 -m limit --limit 10/s --limit-burst 20 -j ACCEPT
  iptables -A INPUT -p udp --dport 53 -j DROP
  

• Fail2Ban Kullanarak DNS Flood Engelleme:

  [named-refuse-flood]
  enabled = true
  port = domain
  filter = named-refuse-flood
  logpath = /var/log/named/security.log
  maxretry = 5
  

  • Ardından servisi yeniden başlatın: systemctl restart fail2ban

• DNS Rate-Limiting Kullanma (BIND Rate-Limiting):

  options {
      rate-limit {
          responses-per-second 5;
      };
  };
  

• Güvenlik Duvarı Kuralları ile Engelleme:

  • Sadece belirli IP'lere izin vererek DNS sorgularının çoklu yönlendirilmesini engelleyin.

• Güncellemeleri Takip Edin:

  • Linux sunucularınızda BIND veya Unbound gibi DNS sunucu yazılımlarının güncellemelerini düzenli olarak yapın.

Sonuç

DNS Amplification saldırıları, sistemlere ağır bant genişliği yükü bindirerek hizmet dışı bırakabilir. Bu saldırılara karşı korunmak için DNS sunucularının çok dikkatli konfigüre edilmesi ve gereksiz DNS yanıtlarının engellenmesi gerekir. Windows ve Linux sunucular için yukarıdaki adımları uygulayarak DNS Amplification saldırılarına karşı etkili bir savunma oluşturabilirsiniz.