DNS ataklarını gerçekleştirmek kolay mı?

DNS Atakları

DNS (Domain Name System) sistemleri günümüz internet alt yapısında temel ancak çok önemli bir görev üstlenmektedirler. İnsanların sayısal hafızalarının sözel hafızalarına oranla daha sınırlı olmasından dolayı rakamsal IP adreslerini ezberlemek yerine kısa kelimelerden oluşan adresleri akılda tutmalarının daha kolay olduğu mantığıyla geliştirilmişlerdir. DNS’lerin temel görevi isim adresleri, sayısal adreslere çevirmektir. Örneğin, www.ornek.com.tr yi 192.168.10.5 e dönüştürmek gibi. Neredeyse bütün kullanıcılar hedef uygulamalarına erişebilmek için DNS servislerinden faydalanırlar. Eğer DNS servisinde bir problem yaşanırsa tüm veri merkezi işlemleri durma noktasına gelebilir. Tek hedefe gerçekleştirilecek bir atakla bütün sistemi durdurabilme ihtimalinin olması DNS’leri sürekli atak altında olmasına yol açmaktadır. Hatta kimi zaman atakların temel hedefleri DNS olmamasına karşın dolaylı yoldan etkilenmektedirler. Şöyle ki eğer saldırganlar atak yapacakları sisteme isimden erişmeyi deniyorlarsa (www.ornek.com.tr şeklide), yaptıkları her istekte öncelikle DNS isteği gerçekleşeceği için öncelikle DNS sunucularına bilerek ya da bilmeyerek saldırmış olmaktalar.

DNS protokolünün UDP (connectionless) temelli olmasından dolayı, DNS ataklarının iki temel karakteri bulunmaktadır. 1. DNS ataklarını gerçekleştirmek kolaydır. 2.DNS ataklarını savunmak zordur.

UDP Floods: DNS protokolünün UDP temelli olduğundan ve bu nedenle atak oluşturmanın kolay olduğundan bahsetmiştim. Bir DNS kendisine gelen her paketi değerlendirmek, incelemek zorundadır. Bir UDP Flood atağı yaşandığı zaman CPU’su şişecek ve bu durumdan kurtulması için kendisine iki seçenek kalacaktır. Ya sistemi yeniden başlatacak ya da kendisine gelecek yeni paketleri incelemeyecektir. Hangi seçeneği seçmiş olursa olsun sistem sekteye uğrayacaktır.

NSQUERY: Bir DNS sunucusu kendisine yapılan bir sorguyu cevaplayabilmek için, birden fazla sunucuyla iletişime geçmesi gerekebilir. Yani kullanıcıdan yapılan tek bir istek arka tarafta yapılacak olan dört ya da beş isteğe dönüşebilir. DNS sisteminin bu çalışma mantığı saldırganlarca kullanılmaktadır.

NXDOMAIN: DNS ataklarının en gelişmiş formudur. Temel mantığı aslında hiç olmayan bir adres sorgusunu DNS sunucularına sorgulatmaktan geçer. DNS sunucusu kendi kayıtlarında bulunmayan bu isteği aramaya başlar. Kendi cache’ini, database’ini inceler eğer bulamazsa başka bir servise yönlendirir ve tabi buda ekstra performans demektir.