CyberFlow Logo CyberFlow BLOG
Dns Pentest

Açık Resolver DNS Sunucuları: Güvenlik Riskleri ve Önlemler

✍️ Ahmet BİRKAN 📂 Dns Pentest

Açık Resolver DNS sunucularının güvenlik açıkları ve siber saldırıların etkilerini önlemek için alınacak önlemler üzerine kapsamlı bir rehber.

Açık Resolver DNS Sunucuları: Güvenlik Riskleri ve Önlemler

Açık Resolver DNS sunucuları, siber saldırganlar için büyük bir tehdit oluşturmaktadır. Bu blog yazısında, açık resolvers'ın risklerinden ve güvenlik önlemlerinden bahsedeceğiz.

Giriş ve Konumlandırma

Açık Resolver Tanımı

Açık Resolver DNS sunucuları, internet üzerindeki herhangi bir istemciden gelen DNS sorgularını yanıtlayabilen sunuculardır. Normalde, bir DNS sunucusu yalnızca kendisine ait domainlerin (yetki alanlarının) kayıtlarını çözümlemelidir. Ancak açık resolvers bu kuralı ihlal ederek, yalnızca kendi domainlerine değil, dünya genelindeki her türlü DNS sorgusuna yanıt verir. Bu özellik, söz konusu sunucuları hem kullanıcılar hem de siber saldırganlar için potansiyel bir tehdit haline getirir.

Neden Önemli?

Açık resolver'lar, saldırganlar için son derece cazip bir hedef sunmaktadır. Zira bu sunucular, IP Spoofing gibi teknikler kullanılarak kimlik bilgileri kopyalanan kurbanlara devasa miktarda yanıt gönderme imkanı tanır. Saldırganlar, DNS Amplification saldırıları gibi yöntemlerle bu tür sunucuları kullanarak, belirli bir hedefe yönelik büyük ölçekli DDoS (Dağıtık Hizmet Reddi) saldırıları düzenleyebilir.

Bu tür saldırılar, hedef sistemin kaynaklarını tüketerek, meşru kullanıcıların hizmete erişimini engelleyebilir. Sonuç olarak, açık resolver'lar yalnızca kendi güvenlikleriyle sınırlı kalmaz; üçüncü tarafları da etkileyen riskler taşımaktadır. Özellikle büyük ölçekli şirketler ve kamu kurumları, bu gibi saldırılara karşı daha hassas oldukları için bu konuda dikkatli olmalıdırlar.

Siber Güvenlik ve Pentest Bağlamında

Siber güvenlik alanında, açık resolver DNS sunucularının bulunması, sistemlerin güvenliğini tehlikeye atabilir. Güvenlik uzmanları ve penetrasyon testi (pentest) yapan profesyoneller, ağlarının açık resolver barındırmadığından emin olmalıdır. Ancak açık resolver'ları tespit etmek ve bu riskler üzerine analiz yapmak son derece kritik bir adımdır.

Pentest uygulamalarında, Nmap gibi araçlar kullanılarak açık resolver tespiti yapılabilir. Örneğin, bir DNS sunucusunun açık olup olmadığını tespit etmek için aşağıdaki Nmap komutu kullanılabilir:

nmap -sU -p 53 --script dns-recursion <Hedef_IP>

Bu komut, belirli bir IP adresinde DNS portunu tarar ve eğer bu sunucu bir açık resolver ise, potansiyel zayıflığını ortaya koyar. Güvenlik uzmanları, bu tür analizlerle ağlarını güvence altına almakta, saldırganların olası yöntemlerini önlemek için proaktif adımlar atmaktadır.

Teknik İçeriğe Hazırlık

Açık resolver DNS sunucuları ile ilgili detaylı bir inceleme yapalım. Öncelikle, DNS Amplification mekanizmasının nasıl çalıştığını anlamak önemli. Temel olarak, saldırganlar, küçük sorgu paketleri göndererek açık resolver'ları kandırır ve yanıt olarak devasa büyüklükteki veri paketlerini tek bir kurban adresine yönlendirebilirler. Bu tür bir saldırı, geniş bant genişliği tüketimi ve kaynak yetersizliği gibi sorunlara yol açar. Ayrıca, DNS protokolünün kaynak IP adreslerini doğrulamadığını düşünmek, bu tür saldırıların büyümesini tetikleyen başlıca sebeplerden biridir.

Bir açık resolver'ın varlığını tespit etmek için kullanılabilecek bir dizi komut ve analiz işlemine yer vereceğiz. Bunun yanı sıra, potansiyel savunma önlemleri ve hardening (güçlendirme) yöntemlerini de ele alacağız. Siber güvenlik stratejileri, bu tür açıkların varlığı ile birlikte nasıl evrileceğini anlamak ve buna göre hareket etmek için büyük bir öneme sahiptir.

Sonuç olarak, açık resolver DNS sunucuları, hem bireysel kullanıcıları hem de organizasyonları tehdit eden bir zayıflık oluşturur. Bu nedenle, açık resolver'ların varlığını tespit etmek, kullanımlarını önlemek ve gerekli güvenlik önlemlerini almak kritik öneme sahiptir. Bu yazının devamında, karşılaşılabilecek saldırı türleri, analizi ve savunma yöntemleri üzerinde duracağız.

Teknik Analiz ve Uygulama

Open Resolver Tanımı

Açık resolver, yalnızca kendi yetki alanındaki DNS kayıtlarına yanıt vermekle kalmayıp, internetteki herhangi bir domaini sorgulayan yabancı istemcilere de yanıt veren DNS sunucularıdır. Bu durum, kötü niyetli kullanıcılar için bir fırsat yaratır; çünkü açık resolver’lar, bu saldırganların büyük miktarda yanıt veri trafiği oluşturup, kurbanın kaynaklarını aşırı şekilde tüketmelerine olanak tanır.

DNS Amplification Mekanizması

DNS amplification (yükseltme) saldırısı, bir saldırganın küçük bir sorgu gönderip, yanıtta çok daha büyük bir veri paketi alması fikrine dayanır. Bu, saldırganın belirli bir IP adresini (genellikle bir kurbanın IP'si) sahteleyerek (IP Spoofing) açık resolver’dan gelen yanıtları o adrese yönlendirmesi ile gerçekleşir. Böylece, minimal bir girişimle (örneğin bir 60 byte'lık sorgu) çok daha büyük bir yanıt (örneğin 4000 byte) elde etmiş olur.

Yükseltme Katsayısı

Bu oran, yanıt paketi boyutunun sorgu paketine bölünmesiyle elde edilir ve DNS saldırılarında bu oran genellikle 50 ile 100 katı arasında değişir. Saldırganlar, daha büyük boyutlu yanıtlar dönen kayıtları hedef alarak amplifikasyon etkisini artırmaya çalışır.

Rekürsiyon Kontrolü (Dig)

Bir DNS sunucusunun 'open resolver' olup olmadığını anlamanın en teknik yolu, dönen yanıttaki 'RA' (Recursion Available) bayrağını kontrol etmektir. Aşağıda, bir DNS sunucusunun rekürsiyon desteğini test etmek için kullanılan dig komutu örneği verilmiştir:

dig @10.0.0.5 google.com A

Bu komut, belirtilen IP adresindeki DNS sunucusuna "google.com" kayıtları için bir sorgu gönderir. Eğer yanıt olarak 'RA' bayrağı set edilmişse, bu sunucu rekürsiyon desteği sağlıyor demektir.

En Çok 'Yükselten' Kayıtlar

Saldırganlar, genellikle büyük boyutlu yanıtlara sahip kayıtları (örneğin TXT kayıtları ve DNSSEC kayıtları) hedef alır. Bu kayıt türleri, saldırının etkisini büyük ölçüde artırma potansiyeline sahiptir. Bunların arasındaki en yüksek amplification etkisini tetikleyen sorgular genellikle ANY sorgularıdır:

dig ANY google.com @10.0.0.5

Bu sorgu, ilgili domainin tüm kayıtlarını döker ve genellikle yüksek boyutlu bir yanıt oluşturur.

Nmap NSE: dns-recursion

Nmap aracıyla, bir DNS sunucusunun açık resolver olup olmadığını tespit etmek mümkün. Bunun için aşağıdaki komut kullanılabilir:

nmap -sU -p 53 --script dns-recursion 10.0.0.5

Bu komut, 10.0.0.5 adresindeki sunucunun 53 numaralı portunu tarar ve rekürsiyon açık mı değil mi olduğunu otomatik olarak belirler.

Saldırı Etkisi ve Zarar

Open resolver zafiyeti, hem sunucunun kendisini hem de üçüncü taraf kurbanları doğrudan etkileyebilir. Saldırganlar, hem kaynak tükenmesi (Resource Exhaustion) hem de bant genişliği tüketimi (Bandwidth Exhaustion) yoluyla kurbanın hizmetlerini zorlayabilir. Açık resolver IP'si, sahte IP adresleri ile birlikte kara listelere girebilir, bu da sunucu yöneticileri için ekstra bir tehdit oluşturur.

Taşıma Katmanı Zayıflığı

DNS'in saldırılarda kullanılmasının ana nedeni, bu protokolün kaynak IP doğrulaması yapmamasıdır. Bunun sonucunda, her türlü IP adresinin kullanılabilmesi saldırganlar için büyük bir avantaj sağlar. Özellikle EDNS desteği, UDP paketlerinin 512 byte sınırını aşmasına olanak tanıyarak saldırıların etkisini daha da büyütmektedir.

Savunma ve Hardening

Sunucu yöneticileri, açık DNS resolver olmaktan korunmak için bir dizi güvenlik önlemi almalıdır. Gelen her DNS sorgusu, sıkı bir güvenlik filtresinden ve yetkilendirme kontrolünden geçirilmelidir. Açık resolver zafiyetini önlemek adına etkili yöntemler arasında:

  • Access Control List (ACL): Rekürsiyon hizmetini sadece belirli güvenilir iç ağ IP bloklarına kısıtlamak.
  • Response Rate Limiting (RRL): Aynı IP'ye veya hedefe giden yanıt hızını kısıtlayarak saldırının etkisini azaltmak.
  • Rekürsiyon Kapama: Dışarıdan gelen rekürsif sorguları kapatmak.

CyberFlow Altın Kuralı

"Never Trust, Always Verify" ilkesi, DNS sunucularının güvenliğini artırmada kritik bir öneme sahiptir. Sunucunun yalnızca güvenilir kaynaklardan gelen sorgulara yanıt vermesi, potansiyel saldırıları büyük ölçüde en aza indirir. Açık resolver’ların riskleri göz önüne alındığında, bu prensip, siber güvenlik stratejilerinde temel bir yapı taşı olarak öne çıkmaktadır.

Risk, Yorumlama ve Savunma

Risk ve Yorumlama

Açık resolver DNS sunucuları, yalnızca kendi yetki alanındaki kayıtları değil, internetteki tüm alan adlarını sorgulayan yabancı istemcilere yanıt verebilen sunuculardır. Bu özellikleri nedeniyle, açık resolver'lar siber saldırganlar için büyük bir fırsat oluşturabilirler. Öncelikle, açık resolver'ların potansiyel risklerini ve bu risklerin etkilerini anlamak önemlidir.

Yanlış Yapılandırmalar ve Zafiyetler

Bir DNS sunucusunun yanlış yapılandırılması, açık resolver'ların devreye girmesine neden olabilir. Sunucunun internet üzerinde erişilebilir olması ve dışarıdan gelen rekürsif sorgulara yanıt vermesi, hizmetin kötüye kullanılması için fırsatlar yaratır. Saldırganlar, IP spoofing kullanarak, sahte kurban adreslerine devasa boyutlarda yanıt gönderilmesini sağlayabilir. Bu süreç, DNS amplification saldırılarının temelini oluşturur.

Yanlış yapılandırıldıysa, bir sunucu karşı tarafın IP adresini taklit ederek (IP Spoofing) sorgu paketlerini kabul etmektedir. Sorgu paketinin yanıta bölünmesiyle elde edilen amplification oranı, bu saldırılarda kritik bir parametredir. Şayet saldırgan küçük bir sorguda 'ANY' kayıt türünü kullanarak yanıt istiyorsa, yanıtın boyutu 4000 byte’a kadar çıkabilirken, sorgunun boyutu yalnızca 60 byte olabilir. Bu durum, kaynak tüketimi ve bant genişliği aşımına yol açarak saldırının etkisini artırır.

Sızan Veri ve Topoloji Analizi

Açık resolver'ların varlığı, sızdırılan verilerin toplamasıyla daha fazla risk doğurabilir. İnternet üzerindeki her istemciden gelen DNS sorgularını yanıtlayan bu sunucular, yanlış yapılandırmalar nedeniyle gizli bilgiler veya kurumlara ait kayıtları da açığa çıkarabilir. Örneğin, DNS sorguları yoluyla, bir kurumun iç yapısı, kullanılan hizmetler veya ağ topolojisi hakkında bilgi edinilebilir.

Savunma ve Hardening Stratejileri

Açık resolver zafiyetlerinin etkilerinden korunmak için, sunucu yöneticilerinin alabileceği çeşitli önlemler bulunmaktadır:

  1. Rekürsiyon Kontrolü: Sunucunun yalnızca belirli ve güvenilir IP adreslerinden gelen sorgulara yanıt vermesi sağlanmalıdır. Bu işlem için, Access Control List (ACL) kullanarak yalnızca güvenilir kaynakların kısıtlanması önerilir.

    allow { 192.168.1.0/24; }; // Güvenilir ağlardan gelen sorgular

  2. Response Rate Limiting (RRL): Aynı IP adresine veya hedefe giden yanıt hızını kısıtlayarak, DDoS saldırılarının etkisini azaltılabilir. Bu yöntem sayesinde sunucunun aşırı sorgulama yüküyle boğulması engellenebilir.

  3. Yanıt Boyutunu Kısıtlama: EDNS0 desteğiyle, yanıt boyutlarının kontrol altında tutulması ve gereksiz büyük yanıtlara izin verilmemesi önerilir.

  4. Güvenlik Kontrolleri: Gelen her DNS sorgusu, sunucu kaynaklarını tüketmeden önce sıkı bir güvenlik filtrelemesine tabi tutulmalıdır. Bu, sıklıkla kullanılan bir diğer güvenlik önlemidir.

  5. Yedekleme ve İzleme: Sunucu faaliyetlerine yönelik sürekli izleme ve yedekleme, herhangi bir olağandışı aktiviteyi erkenden tespit etmek için önemlidir.

Sonuç Özeti

Açık resolver DNS sunucuları, siber güvenlik açısından ciddi tehditler barındırmaktadır. Yanlış yapılandırmalar ve zafiyetler, saldırganların bu sunucuları araç olarak kullanmasına neden olabilir. Ancak alınacak profesyonel önlemler ve hardening stratejileri, sunucuların güvenliğinin artırılmasına yardımcı olacaktır. Tüm bu faktörlerin göz önünde bulundurulması, açık resolver'ların kötüye kullanımının önlenmesi açısından kritik önem taşıdığı söylenebilir.