DNS Amplifikasyon saldırısı nedir?

DNS Amplifikasyon saldırısı nedir?

DNS Amplifikasyonu, saldırganların başlangıçta küçük sorguları çok daha büyük, iletilen yüklere dönüştürmek için DNS (Etki Alanı Adı Sistemi) sunucularındaki güvenlik açıklarından yararlandığı bir Dağıtılmış Hizmet Reddi (DDoS) saldırısıdır ve kurbanın sunucusunu "kapatmak" için kullanılır.

DNS Amplifikasyonu, genel olarak erişilebilen DNS'leri manipüle ederek onları çok sayıda UDP paketi için hedef haline getiren bir tür yansıma saldırısıdır. Failler çeşitli teknikler kullanarak bu UDP paketlerinin boyutunu "şişirebilir" ve bu da saldırıyı en sağlam İnternet altyapısını bile yok edecek kadar güçlü hale getirebilir.

Saldırının açıklaması

DNS Amplifikasyonu, diğer amplifikasyon saldırıları gibi, bir tür yansıma saldırısıdır. Bu durumda, yansıtma, DNS çözümleyicisinden sahte bir IP adresine bir yanıt alınarak gerçekleştirilir.

DNS Yükseltme saldırısında, fail, açık bir DNS çözümleyiciye (kurbanın) sahte IP adresini içeren bir DNS sorgusu göndererek bu adrese bir DNS yanıtıyla yanıt vermesine neden olur. Çok sayıda sahte sorgunun gönderilmesi ve birden fazla DNS çözümleyicinin aynı anda yanıt vermesi nedeniyle, kurbanın ağı, kontrolsüz sayıdaki DNS yanıtları nedeniyle kolaylıkla "bunalabilir".

Karşı saldırılar güçlendirildiğinde daha da tehlikelidir. Buradaki "Güçlendirme", sunucu yanıtının gönderilen orijinal paket isteğiyle orantısız olmasını ifade eder.

Bunun gibi bir DNS saldırısını güçlendirmek için her DNS isteği, büyük DNS mesajlarına izin veren DNS uzantı protokolü EDNS0 kullanılarak gönderilebilir veya mesaj boyutunu artırmak için DNSSEC'nin (DNS güvenlik uzantısı) şifreleme özelliği kullanılabilir. DNS bölgesi hakkında bilinen tüm bilgileri tek bir istekte döndüren "HERHANGİ" türündeki sahte sorgular da kullanılabilir.

Bu ve diğer yöntemler aracılığıyla, boyutu yaklaşık 60 bayt olan bir DNS istek mesajı, hedef sunucuya 4000 baytın üzerinde bir yanıt mesajı gönderecek şekilde yapılandırılabilir; bu, ilk olarak 70'lik bir yükseltme faktörüyle sonuçlanır. Bu, hedef sunucu tarafından alınan trafik hacmini önemli ölçüde artırır ve sunucunun kaynaklarının tükenme oranını artırır.

Ayrıca, DNS Amplification saldırıları genellikle DNS isteklerini bir veya daha fazla botnet aracılığıyla iletir ; hedeflenen sunucuya/sunuculara giden doğrudan trafiği önemli ölçüde artırır ve saldırganın karakterinin izlenmesini zorlaştırır. Saldırganın karakteri çok daha zordur.

DNS Amplifikasyonu, Dağıtılmış Hizmet Reddi (DDoS) saldırısıdır

• Uygulama Katmanı Saldırısı Nedir?

DNS Yükseltme saldırılarının etkisini azaltma yöntemleri

DNS Yükseltme saldırılarının etkisini önlemenin veya en aza indirmenin yaygın yolları arasında DNS sunucusu güvenliğinin sıkılaştırılması, belirli DNS sunucularının veya tüm özyinelemeli geçiş sunucularının engellenmesi ve hız sınırlaması yer alır.

Ancak bu yöntemler saldırı kaynaklarını ortadan kaldırmadığı gibi ağ yükünü ve ad sunucuları ile açık özyinelemeli sunucular arasındaki geçişleri de azaltmaz. Ayrıca, açık özyinelemeli sunuculardan gelen tüm trafiğin engellenmesi, meşru DNS iletişim girişimlerini engelleyebilir. Örneğin, bazı kuruluşlar, mobil cihazlarda çalışan çalışanların "güvenilir" ad sunucularından çözümleme yapabilmesi için açık özyineleme sunucuları bulundurur. Bu sunuculardan gelen trafiğin engellenmesi erişimlerini engelleyebilir.

DNS Yükseltme saldırısı nasıl önlenir

Peki kuruluşunuzun bir DNS Yükseltme saldırısının kurbanı olmasını önlemek için ne yapabilirsiniz?

Çözümleyiciyi gizli ve korumalı tutun

Kendi çözümleyicinizi çalıştırıyorsanız, önbelleğinin kuruluş dışındaki bilgisayar korsanları tarafından kirletilmesini önlemeye yardımcı olmak için bu çözümleyicinin kullanımı ağınızdaki kullanıcılarla sınırlı olmalıdır. Harici kullanıcılara açılamaz.

Kötü amaçlı yazılımların önbelleğe bulaşmasına karşı koruma sağlamak için mümkün olduğu kadar güvenli olacak şekilde yapılandırın. Önbellek enfeksiyonlarına karşı koruma sağlayan DNS yazılımında yerleşik korumalar arasında, bilgisayar korsanlarının sahte yanıtlar almasını zorlaştırmak için giden isteklere değişiklikler eklenmesi yer alır. Bunun yapılabileceği yollar şunları içerir:

• Rastgele bir kaynak bağlantı noktası kullanın (UDP bağlantı noktası 53 yerine)
• Sorgu kimliğini rastgele seç
• Çözüm için gönderen alan adına büyük ve küçük harfleri rastgele yerleştirin. (Bunun nedeni, ad sunucusunun IP adreslerini çözümlerken example.com ve ExaMPle.com'u aynı şekilde ele alması, ancak orijinal sorguyla aynı yazımı kullanarak yanıt vermesidir).

DNS sunucusunu güvenli bir şekilde yönetin

Yetkili sunucular söz konusu olduğunda, bunları kendiniz mi barındıracağınıza yoksa bunu bir servis sağlayıcı veya alan adı kayıt şirketi aracılığıyla mı yapacağınıza karar vermeniz gerekir. Bir uzman şöyle diyor: "Kimse güvenliğinizi sizden daha fazla önemsemiyor; bu nedenle, eğer bunu yapacak beceriniz varsa, onu kendiniz barındırmalı ve yönetmelisiniz."

Eğer bu becerilere sahip değilseniz o zaman elbette bunu sizin için başkasının yapmasını sağlamak iyi bir fikirdir. Bu sadece bir uzmanlık meselesi değil aynı zamanda ölçek meselesidir çünkü birçok kuruluşun dünya çapında üç veya dört yerde DNS sunucularına sahip olması gerekir.