DİKKAT: Recursive DNS kapalı olsa bile, root servers ve forwarder servers ekli olduğu sürece, sunucu DNS Amplificaiton saldırı kaynağı olacaktır. Bu nedenle sadece recursive dns'i kapatmanız yeterli değildir. Lütfen aşağıdaki makalede belirtildiği gibi, root ve forwarder bölümlerini de siliniz.
DNS Open-Resolver nedir?
DNS Open-resolver, Sunucunuzun internet üzerinde farklı kaynakların gerçekleştireceği recursive query yani dış sorgu işlemlerine cevap vermesini sağlayan bir yapıdır.
Neden Kapatılmalıdır?
Bilginiz dışında sunucuların 2. bir kişi tarafından kullanılarak DDoS Reflection adı verilen saldırılarda kullanılmasına sebep olmaktadır.
Sunucumda DNS Open-Resolver aktif midir?
Sunucularınızda Open-Resolver yani DNS Recursion özelliğinin aktif olup olmadığını tespit etmek için dig komutunu kullanabilirsiniz. Bu alanda göstereceğimiz bütün komutlar Linux sunucular üzerinden sağlanmaktadır. Windows üzerinden, buraya tıklayarak sizler için hazırladığımız terminalde IP adresinizi aratarak dig'i kullanabilirsiniz.
NOT: Netdirekt terminali üzerinde sadece IP adresi yazmanız yeterlidir.
Örnek Komut: dig cert-bund.de @93.187.207.237
Çıktısı:
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 60398
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
Şeklinde ise yani STATUS alanı REFUSED ya da SERVFAIL şeklinde değil ise Saldırıya açıksınız demektir.
Eğer komut çıktısı;
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 14200
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available
Şeklinde ise yani status: REFUSED ya da SERVFAIL şeklinde ise problem olmadığı ve güvenli olduğunuz anlamına gelir.
DNS Recursion özelliğinin açık olması, "DNS Amplification Attack" grubundaki saldırılara maruz kalmanıza neden olmasının yanı sıra Open-Resolver saldırılarında rol oynamanız ile sonuçlanır ve sunucu networkünü sature ederek, network performansının düşmesine neden olur.
Aynı zamanda sunucunuzdan aşırı trafik çıkmasına neden olacağı için, yüksek trafik maliyetleri karşınıza çıkabilir.
Dns Recursion özelliği nasıl kapatılır?
Önemli: Sunucu yönetimi hakkında bilgi sahibi değilseniz, bu işlemin teknik ekibimiz tarafından yapılması daha doğru olacaktır. E-destek sistemimiz üzerinden sunucu şifrelerinizi ileterek, dns recursion özelliğinin kapatılmasını talep edebilirsiniz.
Bu soruya yanıt bulabilmemiz için, öncelikle hangi dns server yazılımını kullandığımızı bilmeliyiz.
Windows üzerinde genellikle Microsof DNS yada Bind kullanılır. Linux üzerinde ise genellikle Bind vardır.
Aşağıda bu versiyonar için dns recursion özelliğini kapatma yöntemlerini ayrı ayrı anlatacağız;
1) Microsoft DNS üzerinde, DNS Recursion özelliğini kapatma;
http://technet.microsoft.com/en-us/library/cc787602(v=ws.10).aspx
Arama çubuğunda "DNS" yazıp arattığımızda, Microsoft DNS servisi en üstte çıkacaktır. Servisin yönetim arayüzü açıldığında,
aşağıdaki ekran görüntüsünde olduğu gibi, Dns Server isminin üzerine sağ tıklayıp, Properties alanına giriyoruz.
Açılan properties alanında, "Advanced" sekmesini seçiyoruz ve "Disable rescursion" kutusunu işaretliyoruz.
Forwarders alanının boş olduğuna emin olmalıyız.
Son olarak ta Root Hints alanını tamamen boşaltmanız gerekmektedir.
Olması gereken;
Root Hints alanı için işlemi tamamladıktan sonra, DNS Servisini yeniden başlatmamız gerekiyor;
İşlem bittikten sonra, mutlaka recursive özelliğinin kapalı olduğunu test etmelisiniz, aşağıda test yöntemleri ayrıca anlatılacaktır.
2) Windows Plesk Bind üzerinde, DNS Recursion özelliğini kapatma;
Bind Dns Servisinin kurulu olduğu yolu bulmalıyız. Genellikle konfigurasyon dosyası aşağıdaki ekran görüntüsündeki konumdadır;
named.user.conf dosyasını açarak allow-recursion {...} yada recursion yes; gibi bir satır varsa siliyoruz ve aşağıdaki gibi düzeliyoruz;
options{
allow-transfer {none;};
additional-from-cache no;
recursion no;
};
Gerekli düzenlemeyi yaptıktan sonra, DNS Servisini yeniden başlatıyoruz.
İşlem bittikten sonra, mutlaka recursive özelliğinin kapalı olduğunu test etmelisiniz, aşağıda test yöntemleri ayrıca anlatılacaktır.
3) Linux Bind üzerinde, DNS Recursion özelliğini kapatmak;
Öncelikle named.conf dosyamızı, tercih ettiğiniz text editörü ile açıyoruz.
nano -w /etc/named.conf
Aşağıda görebileceğiniz gibi, recursive özelliği açık gelmiş;
recursion yes yada allow-recursion ile ilgili tüm satırları siliyoruz yada // koyarak yorum satırı haline getiriyoruz ve
aşağıdaki satırı ekliyoruz;
allow-transfer {none;};
additional-from-cache no;
recursion no;
DNS servisini yeniden başlatıyoruz.
DNS Recursion özelliğinin açık olup olmadığını nasıl test edebiliriz?
Linux sunucu üzerinden test etme;
Linux sunucularda "dig" komutu ile DNS Recursion özelliğini test edebiliriz. Aşağıdaki komut
"77.223.129.52" ip adresine "google.com nerede barınmaktadır?" sorusunu gönderiyor.
Bu soruya "Status:REFUSED ya da SERVFAIL yanıtı alırsak DNS Recursion özelliği kapalı demektir,
"Status:NOERROR" yanıtı alırsak, DNS Recursion özelliği açık demektir ve derhal bu özellik kapatılmalıdır.
İyi Çalışmalar dileriz.
