DNS Amplificaiton saldırı – OpenDNS Resolver Engelleme
DNS Open-Resolver nedir?
DNS Open-resolver, Sunucunuzun internet üzerinde farklı kaynakların gerçekleştireceği recursive query yani dış sorgu işlemlerine cevap vermesini sağlayan bir yapıdır.
Neden Kapatılmalıdır?
Bilginiz dışında sunucuların 2. bir kişi tarafından kullanılarak DDoS Reflection adı verilen saldırılarda kullanılmasına sebep olmaktadır.
Sunucumda DNS Open-Resolver aktif midir?
Sunucularınızda Open-Resolver yani DNS Recursion özelliğinin aktif olup olmadığını tespit etmek için dig komutunu kullanabilirsiniz. Bu alanda göstereceğimiz bütün komutlar Linux sunucular üzerinden sağlanmaktadır.
Örnek Komut: dig cert-bund.de @92.42.35.35
Komu işlendiğinde,
Çıktı:
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 60398
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0Şeklinde ise yani STATUS alanı REFUSED ya da SERVFAIL şeklinde değil ise Saldırıya açıksınız demektir.
Eğer komut çıktısı;
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 14200
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not availableŞeklinde ise yani status: REFUSED ya da SERVFAIL şeklinde ise problem olmadığı ve güvenli olduğunuz anlamına gelir.
DNS Recursion özelliğinin açık olması, “DNS Amplification Attack” grubundaki saldırılara maruz kalmanıza neden olmasının yanı sıra Open-Resolver saldırılarında rol oynamanız ile sonuçlanır ve sunucu networkünü sature ederek, network performansının düşmesine neden olur.
Aynı zamanda sunucunuzdan aşırı trafik çıkmasına neden olacağı için, yüksek trafik maliyetleri karşınıza çıkabilir.
Dns Recursion özelliği nasıl kapatılır?
Önemli: Sunucu yönetimi hakkında bilgi sahibi değilseniz, bu işlemin teknik ekibimiz tarafından yapılması daha doğru olacaktır. Tarafımıza ticket sistemimiz üzerinden sunucu şifrelerinizi ileterek, dns recursion özelliğinin kapatılmasını talep edebilirsiniz.
Bu soruya yanıt bulabilmemiz için, öncelikle hangi dns server yazılımını kullandığımızı bilmeliyiz.
Windows üzerinde genellikle Microsof DNS yada Bind kullanılır. Linux üzerinde ise genellikle Bind vardır.
Aşağıda bu versiyonar için dns recursion özelliğini kapatma yöntemlerini ayrı ayrı anlatacağız;
1) Microsoft DNS üzerinde, DNS Recursion özelliğini kapatma;
http://technet.microsoft.com/en-us/library/cc787602(v=ws.10).aspx
Arama çubuğunda “DNS” yazıp arattığımızda, Microsoft DNS servisi en üstte çıkacaktır. Servisin yönetim arayüzü açıldığında,
aşağıdaki ekran görüntüsünde olduğu gibi, Dns Server isminin üzerine sağ tıklayıp, Properties alanına giriyoruz.
Açılan properties alanında, “Advanced” sekmesini seçiyoruz ve “Disable rescursion” kutusunu işaretliyoruz.
Forwarders alanının boş olduğuna emin olmalıyız.
Son olarak ta Root Hints alanını tamamen boşaltmanız gerekmektedir.
Olması gereken;
Root Hints alanı için işlemi tamamladıktan sonra, DNS Servisini yeniden başlatmamız gerekiyor;
Bu işlemlerden sonra sunucunuz üzerindeki dns open resolver zafiyeti kapanmış olacaktır.
2) Windows Plesk Bind üzerinde, DNS Recursion özelliğini kapatma;
Bind Dns Servisinin kurulu olduğu yolu bulmalıyız. Genellikle konfigurasyon dosyası aşağıdaki ekran görüntüsündeki konumdadır;
named.user.conf dosyasını açarak allow-recursion {…} yada recursion yes; gibi bir satır varsa siliyoruz ve aşağıdaki gibi düzeliyoruz;
options{
allow-transfer {none;};
additional-from-cache no;
recursion no;
Aşağıda görebileceğiniz gibi, recursive özelliği açık gelmiş;
aşağıdaki satırı ekliyoruz;
additional-from-cache no;
recursion no;
