DNS Amplification DDOS Saldırıları

DNS Amplification DDoS saldırıları, bir saldırganın hedef sunucuyu veya ağı güçlendirilmiş trafiklerle boğmak için açık DNS çözümleyicilerinin işlevselliğinden yararlandığı bir DDOS saldırı türüdür. Yansıma tabanlı hacimsel dağıtılmış hizmet reddi (DDoS) saldırısı olarak da tanımlanır ve çevresindeki altyapı tamamiyle erişilemez hale gelir.

DNS Yükseltme Saldırısı Nasıl Yapılır?

Yükseltme saldırıları genel olarak bir saldırgan ile hedeflenen sunucu arasındaki bant genişliği tüketimindeki eşitsizliği kullanır. Bu noktada ortaya çıkan trafik hacmi ağ altyapısını dahi bozabilir. Kötü niyetli siber saldırganlar, büyük yanıtlarla sonuçlanan küçük sorgular göndererek daha büyük veri paketleri elde edebilirler. Bir botnetteki her botun benzer isteklerde bulunmasını sağlayarak bu büyütme oranını sağlayabilirsiniz. Siber saldırganın hem tespit edilmesi zorlaşır hem de büyük ölçüde artan saldırı trafiğinin faydalarından da yararlanabilir.

Saldırgan, büyük miktarda trafik oluşturmak için isteği, DNS çözümleyicilerinden olabildiğince büyük bir yanıt oluşturacak şekilde yapılandırır. Sonuç olarak, hedef, saldırganın ilk trafiğinin bir yükseltmesini alır ve ağı sahte trafikle doldurur. Sonucunda karşı sistemi önce zorlar sonra hizmet reddine neden olur. Bu saldırı tipinde DNS çözümleyiciler gelen bir pakete kat ve kat fazlası ile yanıt döndürebilir. Gelen paketteki kaynak ip adresi kurban ip adresi ile değiştirildiğinde sunucu kurbana büyük bir veri paketi döner. 

DNS Amplifikasyonu Aşamaları Nelerdir?

• Saldırgan, sahte IP adreslerine sahip UDP paketlerini bir DNS imlecine göndermek için güvenliği ihlal edilmiş bir uç nokta kullanır.
• Paketlerdeki sahte adres, kurbanın gerçek IP adresini işaret eder.
• UDP paketlerinin her biri, mümkün olan en büyük yanıtı almak için DNS çözümleyiciye bir istekte bulunur.
• İstekleri aldıktan sonra yanıt vererek yardımcı olmaya çalışan DNS çözümleyici, sahte IP adresine büyük bir yanıt paketi gönderir.
• Hedefin IP adresi yanıtı alır ve yüzbinlerce bottan gelen trafik sayesinde ağ altyapısı trafik yoğunluğuyla boğulur.
• Sonucunda sunucu cevap veremeyerek hizmet reddi meydana gelir.

DNS Güçlendirme Saldırıları Nasıl Azaltılır?

DNS güçlendirme saldırılarına karşı savunmada sunucunuz için yapılabilecek pek fazla seçenek bulunmamaktadır. Bu durum sunucu hedef olsa da, hacimsel bir saldırının ana etkisinin hissedildiği yer olmaması gerçeğinden kaynaklanmaktadır. Üretilen yüksek trafik miktarı nedeniyle, sunucuyu çevreleyen altyapı da etkiyi fazlasıyla hissedecektir. İnternet Servis Sağlayıcısı (ISP) veya altyapı sağlayıcıları, bu trafik altında kaldığı zaman sorun yaşayabilmekteler.

Sonuç olarak ISP, hedeflenen kurbanın IP adresine giden tüm trafiği kara delik haline dönüştürmek zorunda kalır ve diğer sistemlerinin etkilenmesini engellemeyi amaçlar. Elbette ki ilk tepki olarak ISP’ler kendilerini korumak zorundadır. Cloudflare DDoS koruması gibi site dışı koruma hizmetlerinin yanı sıra azaltma stratejileri çoğunlukla önleyici olabilmesi adına ISP veya altyapı üzerinden gerçekleştirilmelidir.

DNS yükseltme saldırılarının önemli bir bileşeni, açık DNS çözümleyicilere erişimdir. Kötü yapılandırılmış DNS çözümleyicilerini İnternet’e açık hale getirerek, bir saldırganın keşfetmesi için gereken tek şeydir.

İdeal olarak DNS çözümleyicileri, hizmetlerini yalnızca güvenilir bir etki alanından kaynaklanan aygıtlara sağlamalıdır. Yansımaya dayalı saldırılar durumunda, açık DNS çözümleyicileri herhangi bir yerden gelen sorgulara yanıt vererek kötüye kullanmaya izin vermektedir. DNS çözümleyicinin yalnızca güvenilir kaynaklardan gelen sorgulara yanıt verecek şekilde kısıtlanması, her tür yükseltme saldırısı için engellemenin ilk adımıdır.

Bir diğer çözüm olarak siber saldırganın botnet’i tarafından gönderilen UDP isteklerinin, kurbanın IP adresine sahte bir kaynak IP adresi iletmesi gerektiğinden, İnternet servis sağlayıcılarının herhangi bir dahili trafiği reddetmesi ile çözülebilir.

Sahte IP adresleri, paket ağın dışından geliyormuş gibi görünmesini sağlayan bir kaynak adresiyle ağın içinden gönderiliyorsa, muhtemelen sahte bir pakettir ve reddedilmelidir.