DNS İstek Genişletme (Server Spoofed Request Amplification)
DDoS saldırıları, çok sık karşılaştığımız ve genellikle kurum, kuruluş ya da kullanıcı hizmetini engellemek amaçlı yapılan saldırılardır. Bir çok bilgisayarla olabileceği gibi tek bir bilgisayar kullanılarak da yapılabilmektedir.
DNS İstek Genişletme Nedir?
DNS sunucuları doğaları gereği bütün isteklere yanıt verir. Saldırgan bu sunucuların bu zafiyetinden yararlanarak çok sayıda ve çok büyük paketler göndererek sunucuları meşgul eder. Zamanla iş göremez hale getirir. Böylelikle DNS İstek Genişletme saldırısı gerçekleştirilebilir.
DNS İstek Genişletme Saldırıları Nasıl Gerçekleştiriliyor?
DNS İstek Genişletme bir yansıma saldırısıdır. Saldırgan tarafından erişilebilen tüm DNS sunucuları manipüle edilerek hedef sunucuya yüksek boyutlarda ve sayılarda UDP paketleri gönderilir. Gönderilen paket sayısının yoğunluğuna ve sayısına bağlı olarak kurban sistemin aşırı yüklenmesine neden olunarak sistemin işleyişi bozulur.
DNS İstek Genişletme (Server Spoofed Request Amplification) Saldırılarına Karşı Alınabilecek Önlemler
DNS İstek Genişletme DDoS saldırılarından korunmak için IP konfigürasyonlarının doğru şekilde yapılması gerekmektedir. Ayrıca alınabilecek diğer önlemler şu şekildedir:
- Sunucunun internetten erişilmesi gerekmiyorsa sadece müşteri ya da çalışanlarınızın erişebileceği şekilde IP kısıtlaması yapılmalıdır.
- İnternete açık sistemlerde recursion (özyinelemeli) DNS sunucularına yanıt verilmemelidir. Güvenliğin sağlanması için sistemin sadece kendi yetkisinin bulunduğu alan adları için sorgulara yanıt vermesi sağlanmalıdır.
- İnternet servis sağlayıcıları ile görüşüp IP adresleri değiştirilerek saldırılardan kaçınabilir. (BCP 38 de tanımlanan kurallara uyan İnternet servis sağlayıcıları bu saldırıları engellemekte başarılı olmaktadırlar).
- IPv6’nın kullanımının artmasıyla NAT’a olan gereksinim azalacak ve kaynak IP değişimi sağlanabileceği için bu tür saldırıların etkisi azaltılabilecektir.