12 yıl öncesinin DNS yönlendirme kabusu geri döndü
Tam Boyutta Gör

2008 yılında araştırmacı Dan Kaminsky internet tarihinin en önemli açıklarından birisini ortaya çıkarmıştı. DNS sunucularını yanıltarak bilinen bir web sitesini saldırganın belirlediği IP adresine yöneltebilen bu problem DNS Ön bellek Zehirlenmesi olarak biliniyor.

Yeni bir açık bulundu

DNS sunucular en basit tabiriyle kullanıcının tarayıcısına girdiği internet adresini bir IP adresi ile ilişkilendirmeye yarıyor. Bunu güvenli protokoller üzerinden yapan DNS sunucular böylece girilen adresin ortada kalmamasını sağlıyor. Bu sistem email gibi diğer pek çok alanda kullanılıyor.

DNS sunucular ilişkili IP adresini ön belleğinde saklıyor ve hızlı bir şekilde talebe cevap veriyor. Yoksa bu kez onaylı sunucuları indeksleyerek IP adresini çözümlüyor ve ilişkilendiriyor. Sonrasında ön belleğe alıy

DNS sunucular bu yöntemde şifre kullanmadığı için yetkilendirilmemiş bir süreç yaşanıyor. Sunucu IP adresini bulabilmek için kullanıcı veri bloğu iletişim kurallarını barındıran paketler gönderiyor. Zehirleme hamleleri de bu tek yönlü UDP iletişiminde yaşanıyor.

DNS yöntemi geliştirilirken mühendisler 16-bitlik kimlikler ile her isteği eşleştirdi ve böylece onaylı sunucular bu kimliğe göre işlem yaptı. İşte Kaminsky’nin yöntemi sunuculara sürekli talepler göndererek bu kimliği ele geçirmeye çalışıyordu.

12 yıl öncesinin DNS yönlendirme kabusu geri döndü

Kullanıcıların farkında olmadan örneğin bir bankanın resmi sitesi zannederek aynı adresle saldırganların oluşturduğu sahte siteye yönlendirilmesi haliyle çok büyük riskleri de beraberinde getiriyordu. Sayısız sektör bu açık sonrasında bir araya gelerek DNS yönlendirme sorununu giderecek bir çözüm ortaya koymuştu.

Bu çözümde sabit 53. port yerine her kimliğe bir de rastgele port eklenmeye başladı ve böylece milyarlarca ihtimalin çözümlenebilmesi matematik olarak imkansız hale getirildi. Bununla birlikte Çinli ve ABD’li araştırmacılar bu yöntemi de yanıltabilecek bir açık bulmuş durumda.

Yeni yöntemde sunucuların kontrol mesaj protokolü hedefleniyor. Normalde sunucular bant genişliği verimli kullanabilmek için saniyede belirli bir talep sayısına cevap veriyor. Linux platformunda bu rakam saniyede 1000 olarak sınırlandırıldı.

12 yıl öncesinin DNS yönlendirme kabusu geri döndü

Saldırgan her seferinde farklı porttan olmak üzere sunucunun saniyedeki 1000 sınırını doldurmaya çalışıyor. Yanlış porttan gelen talep sınırı bir düşürüyor. Eğer tüm portlar kapalı ise saniyelik sınır tamamen doluyor. Saldırgan işte sürekli talepler göndererek açık portu bulmaya çalışıyor.

SAD DNS olarak adlandırılan bu yeni yöntem Cloudflare’e göre Kaminsky’nin yönteminden sonra bulunmuş en etkili yöntemlerden birisi. Bununla birlikte Linux geliştiricileri talep sınırını rastgele saniyede 500-2000 arasında değişecek şekilde optimize etmiş. Bu sayede SAD DNS yönteminin engellenebildiği ifade ediliyor. Cloudflare de duruma göre DNS sunucusunu TCP’ye dönecek şekilde ayarlamış. Bu da etkili bir koruma oluşturmuş. SAD DNS konusunda çalışmalar devam ediyor.