DNS kuvvetlendirmeli DDOS saldırıları (DNS Amplification Attacks)

DNS kuvvetlendirmeli DDOS saldırıları haberlere konu oluyor, ve eminim ki bu satırları okuyorsanız bunun bir parçası olup olmadığınızı merak ediyorsunuzdur. Öncelikle DNS kuvvetlendirmeli DDOS saldırılarının nasıl gerçekleştirildiğini inceleyelim. En basit haliyle bu saldırı türünde, kurbanın IP adresi (IP Spoofing) ile DNS sunuculara sorgular gönderilir. Kurban gönderilen bu DNS sorgularının yanıtlarını alır. İlk başta problem değilmiş gibi görünüyor olabilir, gün içerisinde pek çok istemci ve sunucu yoğun DNS sorgu trafiği oluşturuyor. Bu senaryoda yaşanabilecek problemler, DNS sunucularının yapılandırmalarının yetersiz olması, kuvvetlendirmenin yapılıyor olması ve ISP lerin RFC leri tam uygulamıyor olmasından kaynaklanıyor.

Genel amaçlı kamusal DNS sunucu yönetmiyorsanız, sadece kendi alan adlarınızın veya müşterilerinizin IP adreslerinden gelen DNS sorgularını kabul etmelisiniz. Eğer DNS sunucunuz İnternet’e açıksa, recursion tipi DNS sorgularına yanıt vermemeli, sadece otoritesi olduğu alan adlarına ait sorguları yanıtlamalı. Saldırıyı gerçekleştiren taraf recursive DNS sunuculara değiştirilmiş kaynak IP li sorgular gönderir. Recursive DNS sunucu bu sorguların yanıtlarını kurbanın IP adresine döner.

Saldırgan küçük DNS sorguları gönderir, çok fazla DNS kaydı olduğu bilinen bir alanadı için “ANY” paremetresi kullanılarak tüm kayıtlar istenir. Sorgu paketleri 60byte seviyelerindeyken dönülen cevap 3-4kb seviyesinde olabilir. Buda yaklaşık 50-70 katı bir kuvvetlendirme sağlar. Saldırgan küçük DNS sorgularını fazla sayıda recursive DNS sunucuya gönderebilir, ve tüm sunucular kurbana yanıtları döner. Bu yöntem ile kısa süre içerisinde kurbana ezici bir trafik yönlendirilmiş olur.

ISPler, DNS kuvvetlendirme saldırısında da kullanılan kaynak IP değişimiyle gerçekleştirilen saldırıları engelleyebilirler. Internet Engineering Task Force (IETF) – Best Current Practices (BCP) dokümanı olarak Request for Comments (RFC) hazırlamakta. RFC 2827 – BCP 38 “Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing”. Bu dokümanda temel olarak, kaynak IP adresinin istemcinin bulunduğu aralıkta olmaması durumunda paketlerin nasıl düşürüleceği anlatılmakta. Eğer ISP lerin çoğunluğu bu BCP 38 de tanımlanan kurallara uyarsa, pek çok kaynak IP değişikliğine dayanan saldırının önü kesilmiş olacak.

IPv4 adreslerinin azlığından, ev ve iş bağlantılarının pek çoğu Address Translation (NAT) kullanarak Internet üzerindeki IP lere verimli erişim sağlıyor. NAT kullanımı aynı zamanda kaynak IP değişikliği yapılmasına da engel oluyor, çünkü kaynak IP adresi NAT cihazı tarafından yazılıyor. IPv6 yaygınlaştıkça NAT kullanımına duyulan ihtiyaç azalacak. Günümüzde olduğu gibi, IPSler BCP leri IPv6da da takip etmediği taktirde, kaynak IP adresi değişimine dayanan saldırılar artacaktır.

Ayr.bkz. “Yansıma DDOS Atakları (Reflection DDoS Attacks)”

Hamdi ÖZCAN – ozcan.com