DNS Amplification Attack

Merhaba,

Bu yazımda kişisel bir hosting sunucunuz var ise ve bu hat üzerinde bir DNS sunucunuz var ise er yada geç karşılaşacağınız bir sorunu anlatmaya çalışacağım. Bu soruna genelde Windows DNS sunucularında rastladım tam anlamıyla engellemenin bir çözümü yok gibi konu ile ilgili birçok makale okudum fakat hepsinin çözümü ya yetersiz yada varolan çözüm işe yaramıyor. DNSSEC bi nebze koruyor ama oda çözüm değil. Linux tabanlı sunucularda şu ana kadar bu sorun ile karşılaşmadım ama linux DNS saldırıları için çözümler mevcut. Bu yüzden ben çözüm olarak DNS sunucu kullanıyorsanız kesinlikle linux bir sistem kullanmanızı öneriyorum.

Bu atak aslında sizin DNS sunucunuzun çalışmana zarar vemiyor, yani DNS sunucunuz normal bir şekilde çalışıyor. Sorun şuki Sınırlı bir bandwith’iniz var ise bu bandwith’in kısa bir sürede dolmasını sağlıyor. Örneğin 100 GB Adil kullanım kotalı sınırsız bir internetiniz var. Bu internet üzerinde de bir DNS sunucunuz var. Aylık kullanım bilgilerinize bakarsanız bu kotanın daha ayın 4 veya 5 inde dolduğunu farkedersiniz veya hızınıza bağlı olarak bu aysonu olmadan kotanızın dolmasına neden olur. Eğer kotalı bir internet kullanıyorsanız durum daha vahim zira aştığınız kota faturanızda ciddi bir artışa neden olabilir.

DNS Amplification Attack

Yukarıdaki grafikte görüldüğü gibi 1 MB ye yakın sadece DNS Upload trafiği görülmektedir. DNS sunucu kapatıldığında Upload ( Grafikte Out ) trafik normale dönüyor…

Buda DNS sunucuza yapılan Query bilgisi malesef her istek farklı ip adreslerinde geliyor yani bloke etmeye çalışsanızda sayı saniyeler içerisinde 10 binlerce Query’ye çıkıyor.

DNS Query

Microsoft DNS sunucularda bunun önlenmesi için önerilen işlem Recursion özelliğinin Disable edilmesi. Bu işlem tüm bloglarda var çoğuda Microsoft’un kendi sitesinden alınmış ama önerilen işlemlerin hiçbiri benim sorunumu çözemedi.

Yada internal DNS kullanıyorsanız ve DNS sunucunuza size ait IP adreslerinden Query çekilmesine izin veriyorsanız Microsoft Firewall üzerinden DNS UDP kuralına ip tanımlarını girmeniz gerekiyor. Public DNS kullanıyorsanız bu işlem DNS trafiğinizi durduracaktır.

FW USDP Rule

Sonuç olarak Microsoft DNS’in Public yapılarda kullanılması pek güvenli değil. Yönetim bakımından kolay olmasına karşın malesef güvenlik konusunda pekte güvenilir değil. MS DNS yapısını DNSSEC ile daha güvenli halae getirmeye çalışıyorum olumlu sonuç alırsam bu yazıma ileve edeceğim.

Teknolojik-Blog.Com
Aziz Ozdemiroglu


Bir yanıt yazın

Connect with: