DNS Amplification Saldırısı Nedir ve Nasıl Korunulur?
DNS Amplification (DNS Yükseltme) Saldırısı, siber saldırganların açık durumdaki DNS sunucularını (Open Resolver) kullanarak hedef bir sistemi devasa bir trafik altında bırakıp çökertmeyi amaçladığı bir DDoS (Dağıtık Hizmet Engelleme) türüdür.
DNS Amplification Saldırısı Nasıl Gerçekleşir?
Saldırganlar, bu saldırıyı başarıyla yürütmek için adım adım şu organizasyonu gerçekleştirirler:
-
Açık DNS Sunucularını (Open Resolver) Tespit Eder: Saldırganlar, interneti tarayarak DNS Recursion özelliği herkese açık bırakılmış, savunmasız DNS sunucularını listeler. Bu sunucular, saldırganın ana silahı haline gelecektir.
-
Sahte IP (Spoofed IP) ile Sorgu Gönderir: Saldırgan, hedef aldığı kurban sistemin IP adresini taklit ederek (IP Spoofing yöntemiyle) açık DNS sunucularına sorgu gönderir. Bu sorgular özellikle standart bir web sitesi adresi yerine, geriye çok büyük boyutlu veri döndürecek özel kayıtları (örneğin
ANYveyaTXTkayıtları) talep eder. -
DNS Yanıtları Doğrudan Hedefe Yönlenir: Açık DNS sunucusu, gelen sorgunun sahte bir IP’den geldiğini anlayamaz. Görevi gereği isteği işler ve ürettiği devasa boyutlu yanıt paketlerini, sorguyu gönderen saldırgana değil, taklit edilen IP adresine (yani hedef sisteme) postalar.
-
Hedef Sistem Trafik Altında Ezilir: Aynı anda binlerce açık DNS sunucusundan hedef sisteme doğru akan bu devasa boyutlu yanıt paketleri, hedef sistemin ağ hatlarını saniyeler içinde kilitler.
Saldırının Etkileri Nelerdir?
-
Bant Genişliğinin (Bandwidth) Tıkanması: Saldırı sırasında üretilen veri miktarı, gelen sorgunun onlarca katı büyüklükte olduğu için hedef ağın kapasitesini (saturasyon) tamamen doldurur.
-
Hizmet Kesintisi (DDoS): Meşru ve gerçek kullanıcılar, bant genişliği tamamen sahte DNS yanıtlarıyla dolu olduğu için sisteme veya web sitesine erişemez hale gelir.
-
Zincirleme Hizmet Kayıpları: Ağ hatlarının kilitlenmesi, sadece DNS veya web sunucusunu değil, aynı veri merkezinde veya aynı ağ altyapısında bulunan diğer tüm kritik servisleri de (e-posta, API, veritabanı vb.) etkileyerek uzun süreli ve maliyetli kesintilere yol açar.
DNS Amplification Saldırısından Nasıl Korunulur?
Hangi platformu veya kontrol panelini kullanıyorsanız, aşağıdaki adımları sırasıyla takip ederek DNS Recursion özelliğini güvenli bir şekilde kapatabilirsiniz.
1. Windows Server ile Recursion Kapatma
-
DNS Manager’ı Açın: Başlat menüsünü açıp arama çubuğuna
DNSyazarak Microsoft DNS yönetim ekranını açın.
-
Özelliklere Girin: Sol tarafta bulunan sunucu adınıza sağ tıklayın ve Properties (Özellikler) seçeneğine tıklayın.

-
Recursion’ı Devre Dışı Bırakın: Üst sekmelerden Advanced (Gelişmiş) bölümüne geçin. Seçenekler listesinde yer alan “Disable recursion (also disables forwarders)” kutucuğunu işaretleyin.

-
Servisi Yeniden Başlatın: Değişikliklerin aktif olması için sol menüdeki sunucu adınıza tekrar sağ tıklayın, All Tasks > Restart seçeneğini seçerek DNS servisini yeniden başlatın.

3. Linux (BIND DNS) ile Recursion Kapatma
-
Sunucuya Bağlanın: Terminal üzerinden SSH ile sunucunuza
rootolarak yetki sağlayın. -
Konfigürasyon Dosyasını Açın: Aşağıdaki komutu kullanarak BIND yapılandırma dosyasını nano editörüyle açın:
nano /etc/named.conf -
Parametreyi Güncelleyin: Dosya içinde hızlıca arama yapmak için
CTRL + Wtuş kombinasyonunu kullanın verecursionkelimesini aratın. Eğerrecursion yes;şeklinde bir satır varsa bunu şu şekilde değiştirin:recursion no; -
Kaydedin ve Çıkın: Düzenlemeyi bitirdikten sonra
CTRL + Xtuşlarına basın, gelen soruyaY(Evet) yanıtını veripEnterile dosyayı kaydedin. -
Servisi Yeniden Başlatın: Değişiklikleri sunucuya yansıtmak için DNS servisini yeniden başlatın:
service named restart(Görsel: serkan.tr/gorseller/9_9.webp)
Yapılan İşlemin Test Edilmesi (Açık mı, Kapalı mı?)
Yaptığınız değişikliklerin başarılı olup olmadığını doğrulamak için aşağıdaki iki yöntemden birini kullanabilirsiniz:
Yöntem A: Windows CMD (Komut Satırı) ile Test
Bilgisayarınızda komut istemini (CMD) açın ve aşağıdaki nslookup komutunu yazarak sorgulama yapın:
DOS
nslookup -q=a trnog.net 1.1.1.1
-
Güvenli Sonuç (Recursion Kapalı): Çıktı olarak “Query refused” (Sorgu reddedildi) veya benzeri bir engelleme uyarısı alıyorsanız işlem başarıyla tamamlanmıştır. Sunucunuz dışarıya kapatılmıştır.
-
Riskli Sonuç (Recursion Açık): Eğer
trnog.netadresine ait IP adresleri listeleniyorsa, sunucunuz hala dış sorgulara yanıt veriyor demektir. Adımları tekrar kontrol etmelisiniz.
Yöntem B: Online Dış Servis ile Test
Tarayıcınız üzerinden intoDNS web sitesine giriş yapın. Kendi alan adınızı (domain) yazarak sorgulatın. Sayfa üzerinde yer alan DNS analizi alanından sunucunuzun harici sorgulara açık olup olmadığını (Open Resolver durumunu) kolayca kontrol edebilirsiniz. (Görsel: serkan.tr/gorseller/9_9.jpg)
⚠️ Önemli Not: DNS Recursion özelliğinin dış dünyaya (public) tamamen açık olması, sunucunuzun bir DNS Amplification saldırısında köprü olarak kullanılmasına yol açar. Güvenli yapılandırma için bu özellik yalnızca yerel istemcilerin (
localhostveya iç ağınız) kullanımıyla sınırlandırılmalıdır.