CyberFlow Logo CyberFlow BLOG
Dns Pentest

DNS Amplification DDoS Zafiyeti: Saldırıların Arka Planı ve Savunma Yöntemleri

✍️ Ahmet BİRKAN 📂 Dns Pentest

DNS Amplification DDoS zafiyeti siber güvenlikte önemli bir tehdit. Bu yazıda, saldırı yapısı ve koruma yollarını keşfedin.

DNS Amplification DDoS Zafiyeti: Saldırıların Arka Planı ve Savunma Yöntemleri

DNS Amplification DDoS zafiyeti, siber saldırganların bant genişliğini tüketmeyerek hedefe saldırmasını sağlıyor. Saldırının mantığı, uygulama ve savunma yöntemleri hakkında bilgi edinin.

Giriş ve Konumlandırma

DNS amplifikasyonu, siber güvenlik alanındaki en önemli DDoS (Distributed Denial of Service - Dağıtık Hizmet Reddi) saldırı tekniklerinden biridir. Bu teknik, özellikle iki faktörün bir araya gelmesiyle yüksek etki alanı yaratır: asimetrik saldırı mantığı ve DNS sunucularının tasarımındaki zayıflıklar. DNS amplifikasyon saldırılarında, saldırgan, DNS sorguları aracılığıyla hedefe büyük hacimli yanıtlar yönlendirerek bant genişliğini aşındırmayı amaçlar. Çoğu zaman, bu saldırılar sonucu hedef sistemin kaynakları tıkanır ve hizmet veremez hale gelir.

Saldırı Mekanizması

DNS amplifikasyon saldırısının temel mantığı, saldırganın sunduğu verinin (sorgunun) sunucudan aldığı veriden (yanıtın) çok daha küçük olmasıdır. Örneğin, sadece birkaç bayt boyutunda bir sorguya, birkaç kilobayt büyüklüğünde bir yanıt dönebilir. Bunun anlamı, saldırganın geniş bant genişliği gereksinimi olmadan, hedef sistemini trafik bombardımanına tutabilmesidir. Saldırganın DNS sunucusuna gönderdiği sorgu, gerçek IP adresi yerine kurbanın IP adresiyle değiştirilir. Bu sayede, yanıt doğrudan kurbana ulaşır ve saldırı gerçekleştirilmiş olur.

IP Spoofing ve UDP

DNS protokolünün temelini oluşturan UDP (User Datagram Protocol) hatasız, hızlı ve verimsiz bir taşıma protokolüdür. TCP'deki el sıkışma sürecinin olmaması, IP sahteciliği (spoofing) uygulamak için uygun bir zemin sağlar. Yani, bir saldırgan, açık DNS sunucusunu kullanarak hedef IP'ye büyük yanıtlar göndermekte özgürdür.

Bu durum, siber güvenlik camiasında büyük bir tehdit unsurudur. Saldırının verimliliği, yanıt boyutunun sorgu boyutuna oranının hesaplanmasıyla belirlenir. Bazı DNS kayıt türleri, sorgulara verilen yanıtları hemen 70 katına kadar artırma potansiyeline sahiptir. Örneğin, bir sorguya karşılık 3200 baytlık bir yanıt alınması, bu saldırının ne denli etkili olabileceğini gözler önüne serer.

Kritik Kayıtlar ve Infrastrüktür Zayıflıkları

Saldırganların, maksimum amplifikasyon etkisini sağlamak için belirli kayıt türlerini tercih ettiğini belirtmek önemlidir. ANY gibi kayıt türleri, tüm bilgileri döndürerek yanıtları büyütme potansiyelini artırır. Bu tür saldırılarda DNS sunucusunun yanıt boyutunu artırma için EDNS0 gibi standartlardan da yararlanılmaktadır. Kullanılan standart, normalde 512 byte olan DNS paket sınırlarını 4096 byte'a kadar çıkarabilir ve bu da saldırgan için daha büyük bir "silah" demektir.

Güvenlik Önlemleri ve Savunma Stratejileri

Siber güvenlik açısından DNS amplifikasyon saldırılarına karşı çeşitli savunma stratejileri geliştirilmiştir. Bunlardan biri, DNS sunucularında Response Rate Limiting (RRL) gibi tekniklerin uygulanmasıdır. Bu teknik, sunucunun belirli bir hızdan fazla yanıt vermesini kısıtlayarak müzakereleri engellemektedir. Ayrıca, internet servis sağlayıcılarının (ISS) ağlarından çıkan paketlerin gerçek kaynak IP adreslerini kontrol etmesi, IP sahteciliğini (spoofing) azaltmada kritik bir öneme sahiptir.

Etkili Analiz ve İzleme

Bir siber güvenlik uzmanı olarak, DNS amplifikasyon saldırılarının etkilerini azaltmak için sürekli izleme ve analiz gerçekleştirmek gerekmektedir. Açık DNS sunucularının düzenli olarak taranması, potansiyel zayıflıkları ortaya çıkarmak ve gerekli önlemleri almak amacıyla kritik bir adımdır. Bu tür zayıflıkları raporlarken, etkilerin boyutunun net kanıtlarla desteklenmesi önemlidir.

Sonuç olarak, DNS amplifikasyon DDoS saldırılarına karşı etkin bir siber savunma geliştirmek için altyapının sürekli gözden geçirilmesi, zayıflıkların tespit edilmesi ve güncel güvenlik standartlarının uygulanması hayati önem taşır. Bu yazının devamında, DNS amplifikasyon saldırılarının detayları, amplifikasyon faktörleri ve etkili savunma yöntemleri üzerinde durulacaktır.

Teknik Analiz ve Uygulama

Asimetrik Saldırı Mantığı

DNS amplification saldırıları, saldırganın DNS sorgusu aracılığıyla hedefe trafik yönlendirmesini sağlayan asimetrik bir yapı taşır. Bu tür saldırılar, gönderilen isteklerin yanıt boyutunun çok daha fazla olduğu durumlarda etkili olur. Örneğin, kullanıcıdan yalnızca 64 byte’lık bir sorgu gönderilirken, DNS sunucusu bu sorguya karşılık olarak 3200 byte’a kadar yanıt gönderebilir. Bu fark, saldırganın hedefini aşırı trafik ile inundate etmesine olanak tanır.

IP Spoofing: Kimlik Sahteciliği

Saldırının temelinde yatan bir diğer önemli teknik, IP spoofing'dir. Saldırgan, DNS sunucusuna gönderdiği paketin 'Kaynak IP' kısmında kendi IP adresi yerine hedefin IP adresini yazar. Bu şekilde, hedefin DNS sunucusu yanıtı kurbana gönderir. Sonuç olarak, saldırganın kendi bant genişliği üzerinde yük olmadığı gibi, kurban aşırı bir trafikle karşılaşır.

UDP Protokolü Zayıflığı

DNS'in en temel zayıflığı, UDP protokolünün kullanılmasıdır. UDP, bağlantı oluşturma işlemi gerektirmediğinden, IP sahteciliğini kolaylaştırır. TCP'de bir el sıkışma işlemi bulunurken, UDP'de bu mekanizma yoktur. Bu, saldırganların hedef sistem üzerinde kolayca işlem yapmasına neden olur.

Amplifikasyon Faktörü Hesaplama

Saldırıların etkinliğini değerlendirmek için amplifikasyon faktörünü hesaplamak önemlidir. Bu faktör, yanıt boyutunun sorgu boyutuna bölünmesiyle elde edilir. Örneğin:

Yanıt boyutu: 3200 byte
Sorgu boyutu: 64 byte
Amplifikasyon faktörü = Yanıt boyutu / Sorgu boyutu = 3200 / 64 = 50

Bu örnekte, saldırgan 50 kat daha fazla veri elde etmiştir. Bu oran, saldırının verimliliğini ve potansiyel etkisini gözler önüne serer.

Kritik Kayıt Seçimi: ANY ve TXT

Saldırganlar, en yüksek amplifikasyon etkisini elde etmek için yanıt boyutunu artıran kayıt türlerini seçerler. Özellikle ANY ve TXT kayıtları, kapsamlı bilgi dökümleri sunarak bu konuda etkili olur. 

dig ANY example.com

Yukarıdaki komut, belirtilen domain için maksimum yanıt boyutunu almak amacıyla sorgu yapılmasını sağlar.

EDNS0 Standartı

EDNS0 (Extension Mechanisms for DNS), DNS paketlerinin boyutunu artırmak için kullanılan bir mekanizmadır. İlgili kayıtların kullanımını destekler ve 512 byte'lık sınırı 4096 byte’a kadar genişletebilir. Bu, saldırganlara daha büyük bir "silah" sunar.

Test ve Ölçüm: Dig Byte Kontrolü

Bir DNS sunucusunun yükseltme kapasitesini değerlendirmek için dig komutu kullanılabilir. Örneğin, yanıt paketi boyutunu öğrenmek için aşağıdaki komut kullanılabilir:

dig ANY google.com | grep SIZE

Bu komut sayesinde hedef sunucunun hangi boyutlarda yanıt verebildiği anlaşılarak, zafiyet durumu analiz edilebilir.

Savunma: Response Rate Limiting (RRL)

Saldırılara karşı uygulanabilecek en etkili yöntemlerden biri Response Rate Limiting'dir (RRL). Bu mekanizma, sunucunun aynı hedefe giden çok sayıda benzer yanıtı kısıtlamasına olanak tanır.

RRL yapılandırmasını kendine özgü bir şekilde sunucuda uygulamak mümkün olup, örnek bir yapılandırma şu şekildedir:

response-policy {
    zone "exmaple.com" policy {
        rate-limit 100; # Saniyede maksimum yanıt sayısı
    };
}

Bu şekilde, sunucu olası bir saldırıyı önceden önleyebilir.

Ağ Seviyesinde Filtreleme: BCP 38

İnternet servis sağlayıcıları, kendi ağlarından çıkan paketlerin kaynak IP adresi kontrollerini yaparak IP spoofing'in önlenmesini sağlamakla yükümlüdür. BCP 38 (Best Current Practice 38), bu konuda geniş kapsamlı bir standart sunmaktadır. Bu standarda uyum sağlayarak, sahte IP adresleri üzerinden gelen trafikleri azaltmak mümkün olabilir.

Nmap NSE: dns-brute ve Amplification

Nmap, DNS sunucularının amplifikasyon saldırılarında kullanılabilirliğini ölçmek için özel betiklere sahiptir. dns-recursion ve dns-brute gibi betikler kullanılarak hedef sunucunun durumu araştırılabilir. Kullanım örneği:

nmap -sU -p 53 --script dns-recursion 10.0.0.5

Bu komut hedef sunucunun rekürsif sorgulama özelliğini kontrol eder.

Analiz ve Raporlama

Siber güvenlik uzmanları, DNS amplification zafiyetlerini analiz ederken riskin boyutunu net kanıtlarla sunmalıdır. Yeterli delil ve analiz sonrasında hazırlanan rapor, olası zafiyetleri belgelemek ve savunma mekanizmalarını güçlendirmek açısından büyük önem taşır.

Altyapı Hijyeni

Son olarak, kurumların internete açık DNS sunucularını düzenli olarak kontrol etmesi, “Open Resolver” durumunun denetimi açısından oldukça kritiktir. Bu kontrol ile beraber potansiyel kaynakların kötüye kullanılmasını önlemek mümkündür. Bu tür bir izleme, siber hijyenin önemli bir parçasıdır ve süreklilik arz etmelidir.

Risk, Yorumlama ve Savunma

Risk Analizi ve Yorumlama

DNS Amplification DDoS saldırıları, asimetrik bir saldırı biçimi olarak, saldırganların çok daha düşük bant genişliği harcayarak kurbanları üzerinde büyük bir etki yaratmalarına neden olmaktadır. Bu tür bir saldırı uygulandığında, sorgu ve yanıt arasındaki güç dengesizliği, yük dağılımını değiştirmekte ve hedef sistemlerin hizmet dışı kalmasına yol açmaktadır. Bu nedenle, ağ güvenliği yöneticilerinin DNS altyapılarındaki zayıf noktaları belirleyip buna göre önlem alması son derece kritiktir.

Saldırganlar, açık DNS sunucularını kullanarak hedef sistemin IP'si yerine kendi IP'lerini sorgu mesajının ‘Kaynak IP’ kısmına yazarak yanıtları hedefe yönlendirme işlemini gerçekleştirirler. Bu durum, IP spoofing tekniğiyle mümkün hale gelir. UDP protokolünün doğası gereği, bağlantı kurma gerektirmeyen bu yapı, saldırganların DNS sorgularını manipüle etmesini kolaylaştırır.

Yüksek amplifikasyon oranları sayesinde, saldırganlar çok düşük bir veri miktarı ile hedef sisteme ciddi bir trafik yükü bindirebilir. Örneğin, 64 byte'lık bir sorguya 3200 byte yanıt alındığında, bu durumda amplifikasyon faktörü 50 kat gibi yüksek bir orana ulaşabilir. Kayıt türlerinin seçimi de saldırının verimliliğini etkileyen bir diğer kritik faktördür. Özellikle ANY ve TXT kayıtları, maksimum yanıt boyutunu sağladığı için saldırılar için sıklıkla tercih edilmektedir.

Yanlış Yapılandırmalar ve Zafiyetler

Eğer bir DNS sunucusu, open resolver olarak yapılandırılmışsa, yani DNS sorgularını her yerden yanıtlayabiliyorsa, bu durumda ciddi bir güvenlik açığı bulunmaktadır. Bu da saldırganların bu sunucuları kullanarak hedef sistemlere saldırmasına yol açmaktadır. Ayrıca, DNS yapılandırmasında yapılan hatalar; örneğin, EDNS0 kullanımı ile boyut sınırının arttırılması gibi özelliklerin yanlış yapılandırılması, amplifikasyon saldırılarının etkisini artırmaktadır.

Bir zafiyetin etkisini değerlendirirken, veri sızıntıları, hizmetin kesintiye uğraması ve hedef sistemin bant genişliğinin aşırı kullanımı gibi sonuçlar göz önünde bulundurulmalıdır. Sızan verilerin büyük bir bölümünün kullanıcı bilgileri, sistem kimlik bilgileri ya da hassas bilgileri içermesi, saldırının ciddiyetini artırmaktadır.

Profesyonel Önlemler ve Hardening Önerileri

DB adminleri ve ağ yöneticileri, DNS sunucularında uygulanacak birkaç temel hardening önlemi ile riskleri azaltabilir:

  1. Response Rate Limiting (RRL): Bu mekanizma, aynı hedefe giden yanıtları kısıtlayarak, bir DDoS saldırısının etkisini en aza indirmeyi hedefler. Örneğin, BIND DNS sunucusunda RRL yapılandırmak için aşağıdaki gibi bir ayar yapılabilir:

    rate-limit {
    responses-per-second 5; 
    clients { any; };
};

  2. BCP 38 Uygulaması: İnternet servis sağlayıcılarının (ISS), kendi ağlarından çıkan paketlerin kaynak IP adreslerini doğrulaması, IP sahteciliğini engellemek için etkili bir yöntemdir. Bu sayede, kötü niyetli trafik kontrol altına alınmış olur.

  3. Open Resolver Taraması: Kurumlar, açık DNS sunucularını düzenli olarak tarayarak herhangi bir güvenlik açığını belirlemelidir. Bunu yaparken nmap gibi araçlar kullanılarak sunucuların durumu tespit edilebilir:

    nmap -sU -p 53 --script dns-recursion 10.0.0.5

  4. DNSSEC Kullanımı: İmzalı kayıtların kullanılmasının, DNS paketlerinin boyutunu artırması ve yetkisiz değişikliklere karşı koruma sağlaması nedeniyle, DNSSEC’in etkinleştirilmesi önerilmektedir.

  5. Hizmet Dağıtımını Kısıtlama: Her DNS sunucusu sadece yetkili olduğu alanlar için hizmet verecek şekilde yapılandırılmalıdır. No Recursion ayarı ile gereksiz yanıtların engellenmesi sağlanabilir.

Sonuç Özeti

DNS Amplification DDoS saldırıları, kurbanların bant genişliğini azaltarak ciddi hizmet kesintilerine neden olabilir. Yanlış yapılandırmalar ve zafiyetler, bu saldırıların etkisini artırırken, doğru önlemler ve hardening stratejileri uygulanarak riskler minimuma indirilebilir. Sistem yöneticilerinin bu tür saldırılara karşı sürekli izleme ve güncellemeleri yapmaları gerekmektedir. DNS altyapısının etkili bir şekilde korunması, hem zamansal hem de maddi kayıpların önüne geçilmesinde kritik bir rol oynamaktadır.