SlideShare una empresa de Scribd logo
1 de 9
Descargar para leer sin conexión
DNS
Amplification
2
Nedir?
DNS Amplification recursion adını verdiğimiz metot ile, saldırganın yolladığı küçük
request’lere daha büyük cevap beklenir.
Dışarıya açık olan servislerin arka planda DNS gibi önemli servisi kullanması ve zorunlu
olaraktan DNS’imizin de internete açık olduğu durumlar olur. Bu tür durumlarda DNS
üzerindeki yapılandırma çok dikkatli yapılmalıdır. Böyle durumlarda DNS üzerinde yapılan
hatalardan bir tanesi DNS recursion devre dışı bırakılmamasıdır. DNS recursion sorgusunu
açık bırakarak kötü niyetli kişilerin yapımızda bulunan DNS'lerimizi kullanmasına izin vermiş
oluyoruz. Profesyonel bir saldırı tekniği olan DNS Amplification saldırıları, yapımızda bulunan
DNS serverı kullanarak yönlendirilmiş hedefe bizim üzerinden paketler göndererek saldırı
düzenler (1 DNS paketi 50 byte ise bu pakete dönecek cevap 10x olacaktır yani 500byte).
Böylece saldırgan bizim bantgenişliğimizi kullanmakla kalmaz aynı zamanda kendi gizliliğini
de sağlamış olur, saldırgan bizmişsiniz gibi algı oluşturur.
Ayrıca saldırı sırasında tek bilgisayar yerine onlarca hatta yüzlerce bilgisayarın kullanılması
daha etkili olur. Bu işlem için de Zombi yazılımlar devreye girecektir. Örnek olarak saldırganın
xx.xx.x.x adlı bir yere saldırı yapacağını varsayalım. Saldırgan birden fazla bilgisayar ile, daha
fazla etkili olmak maksadıyla, geneli şirket bilgisayarları, üniversite bilgisayarları olmak üzere
hedef bilgisayar seçtikten sonra DNS DDOS Spy’ları bu bilgisayarlara enjekte edecektir.
3
Reflective DNS Amplification DDoS Saldırısı
Şekil.1
1.Adım: Saldırgan recursion sorguya açık DNS sunucu bulur ve daha önce hazırladığı özel
alan adını sorgulatır.Bu isteğin boyutu 3 Mbps tutmaktadır.
2. Adım: Ara DNS sunucu kendi ön belleğinde olmayan bu isteği gidip ana DNS sunucuya
sorar(3Mbps)
3.Adım: Ana DNS sunucu test.com.tr için gerekli cevabı döner (300Mbps)
4. Adım: Ara DNS sunucu cevabı ön belleğine alarak bir kopyasını Saldırgana döner. Burada
amaç ARA DNS sunucunun dönen 300Mbps’lik cevabı ön belleğe almasını sağlamaktır.
4
5.Adım: Test kullanıcısı (saldırganın kontrolünde) test.com.tr alan adını sorgular ve cevabın
cachede olup olmadığını anlamaya çalışır.
6.Adım: Ara DNS sunucu ön belleğinden 300Mbps cevap döner.
7.Adım: Saldırgan Kurban’ın IP adresinden geliyormuş gibi sahte DNS paketleri
gönderir. DNS paketleri test.com.tr’i sorgulamaktadır (ortalama 100.000 dns q/s).
8.Adım: Ara DNS sunucu gelen her paket için 300Mbps’lik cevabı Kurban sistemlere dönmeye
çalışacaktır. Böylece Ara DNS sunucu 100.000X300 Mbps trafik üreterek saldırganın kendi
trafiğinin 10 katı kadar çoğaltarak Kurban’a saldırıyor gözükecektir.
DNS Recursion Sorgusu
DNS serverımızın recursion sorgusuna açık olup olmadığını 2 şekilde öğrenebiliriz.
1. DNS serverımızın ayarlarını kontrol edebiliriz.
2. DNS serverımıza DNS recursion sorgusu yapabiliriz.
1.si için Microsoft DNS Server kullanıyorsak DNS serverımızda sağ tıklayıp Advanced altında
Server optionsta "Disable recursion" işaretli olup olmadığını kontrol ediyorsunuz. işaretli
değilse bu Dns serverımızın recursion sorgularına açık ve saldırı amaçlı kullanılabilir olduğunu
gösterir
5
Şekil.2
Eğer Bind DNS server kullanıyorsak global options içerisinde aşağıda belirtilen satırların olup
olmadığını kontrol edebilirsiniz.
options {
allow-query-cache { none; };
recursion no;
};
2. Seçenek için ise bu sorguyu yapan siteler aracılığıyla DNS'inizi kontrol ettirebilir yada
kendimiz bunu yapabiliriz.
6
Bu işlemi gerçekleştirmek için Nmap aracını kullancağız.
Aşağıdaki satırı terminal ekranına yazarak sorgumuzu gerçekleştirebiliriz.
nmap -sU -p 53 -sV -P0 --script "dns-recursion" 195.175.39.39 (DNS'inizin IP adresi)
Şekli.3
Yukarıda görüldüğü gibi DNS serverımızın DNS recursion sorgusu açık olduğunu görebiliriz.
DNS recursion sorgusunu kapatmak için terminale aşağıdaki komutu yazabiliriz.
dnscmd <ServerName> /Config /NoRecursion {1|0}
7
DNS Sunucusu Bulmak
Bir IP aralığındaki tüm public DNS sunucularını bulmak Nmap aracını kullanabiliriz.
Aşağıdaki kod satırını terminale yazdığımızda bir IP aralığındaki DNS sunucuları bize
gösterecektir.
nmap -PN -n -sU -p 53 –script=dns-recursion.nse xx.xx.x.x/28
Şekil.4
8
DNS Amplification Saldırı Aracı “Saddam”
Saddam DNS Amplification saldırısı için geliştirilmiş bir araçtır.
Python dosyasını indirmek için aşağıdaki linke tıklayabiliriz.
https://github.com/OffensivePython/Saddam
Kurulum için “Pinject.py” dosyasını python kütüphanesine eklemeliyiz.
https://github.com/OffensivePython/Pinject
Dosyayı kütüphaneye ekledikten sonra terminale yazıp çalıştırabiliriz.
Şekil.5
9
Bu script ile neler yapabiliriz;
1. DNS Amplification (Alan Adı Sistemi)
2. NTP Amplification (Ağ Zaman Protokolü)
3. SNMP Amplification (Ağ Yönetimi Protokolü)
4. SSDP Amplification (Hizmet Algılama Protokolü)
Saldırı yapabiliriz.
Saldırıdan Korunmak
Bu tip bir saldırıdan klasik yöntemleri çalıştırarak korunamayız. Saldırının amacı tamamen
hedef sistemin trafik akış kapasitesini doldurmak olduğu için DNS sunucuları daha güçlü ve
trafik akışı yüksek yerlerde host etmek veya çok daha zor ama %99 korunma sağlayacak
DNS anycast altyapısını kullanmak olmalıdır.

Más contenido relacionado

La actualidad más candente

Domain name server
Domain name serverDomain name server
Domain name serverMobile88
 
Temel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve KomutlarıTemel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve KomutlarıAhmet Gürel
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ BGA Cyber Security
 
Linux Networking Explained
Linux Networking ExplainedLinux Networking Explained
Linux Networking ExplainedThomas Graf
 
Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
Temel Kavramlar, DoS/DDoS Saldırıları ve ÇeşitleriTemel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
Temel Kavramlar, DoS/DDoS Saldırıları ve ÇeşitleriBGA Cyber Security
 
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma YöntemleriDoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma YöntemleriBGA Cyber Security
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm
 
Yeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
Yeni Nesil DDOS Saldırıları ve Korunma YöntemleriYeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
Yeni Nesil DDOS Saldırıları ve Korunma YöntemleriBGA Cyber Security
 
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Alper Başaran
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15BGA Cyber Security
 

La actualidad más candente (20)

Domain name server
Domain name serverDomain name server
Domain name server
 
Dns presentation
Dns presentationDns presentation
Dns presentation
 
Temel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve KomutlarıTemel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve Komutları
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
 
Linux Networking Explained
Linux Networking ExplainedLinux Networking Explained
Linux Networking Explained
 
slide on DNS
slide on DNSslide on DNS
slide on DNS
 
Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
Temel Kavramlar, DoS/DDoS Saldırıları ve ÇeşitleriTemel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
 
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma YöntemleriDoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
 
Apache ppt
Apache pptApache ppt
Apache ppt
 
Ansible tp
Ansible tpAnsible tp
Ansible tp
 
Linux Sistem Yönetimi
Linux Sistem YönetimiLinux Sistem Yönetimi
Linux Sistem Yönetimi
 
LLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS PoisoningLLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS Poisoning
 
DOS DDOS TESTLERİ
DOS DDOS TESTLERİ DOS DDOS TESTLERİ
DOS DDOS TESTLERİ
 
Yeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
Yeni Nesil DDOS Saldırıları ve Korunma YöntemleriYeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
Yeni Nesil DDOS Saldırıları ve Korunma Yöntemleri
 
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)
 
BackTrack Linux-101 Eğitimi
BackTrack Linux-101 EğitimiBackTrack Linux-101 Eğitimi
BackTrack Linux-101 Eğitimi
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
 
DNS Presentation
DNS PresentationDNS Presentation
DNS Presentation
 
Ceph on arm64 upload
Ceph on arm64   uploadCeph on arm64   upload
Ceph on arm64 upload
 

Destacado

DNS Security
DNS SecurityDNS Security
DNS Securityinbroker
 
CNIT 40: 1: The Importance of DNS Security
CNIT 40: 1: The Importance of DNS SecurityCNIT 40: 1: The Importance of DNS Security
CNIT 40: 1: The Importance of DNS SecuritySam Bowne
 
Pseudo Random DNS Query Attacks and Resolver Mitigation Approaches
Pseudo Random DNS Query Attacks and Resolver Mitigation ApproachesPseudo Random DNS Query Attacks and Resolver Mitigation Approaches
Pseudo Random DNS Query Attacks and Resolver Mitigation ApproachesAPNIC
 
Water Torture: A Slow Drip DNS DDoS Attack on QTNet by Kei Nishida [APRICOT 2...
Water Torture: A Slow Drip DNS DDoS Attack on QTNet by Kei Nishida [APRICOT 2...Water Torture: A Slow Drip DNS DDoS Attack on QTNet by Kei Nishida [APRICOT 2...
Water Torture: A Slow Drip DNS DDoS Attack on QTNet by Kei Nishida [APRICOT 2...APNIC
 
Drilling Down Into DNS DDoS
Drilling Down Into DNS DDoSDrilling Down Into DNS DDoS
Drilling Down Into DNS DDoSAPNIC
 
Avoiding dns amplification attacks
Avoiding dns amplification attacksAvoiding dns amplification attacks
Avoiding dns amplification attacksLucas Kauffman
 
Introduction of Mirai Translate, Inc.
Introduction of Mirai Translate, Inc. Introduction of Mirai Translate, Inc.
Introduction of Mirai Translate, Inc. Osaka University
 
Dns reflection attacks webinar slides
Dns reflection attacks webinar slidesDns reflection attacks webinar slides
Dns reflection attacks webinar slidesMen and Mice
 
The Other Advanced Attacks: DNS/NTP Amplification and Careto
The Other Advanced Attacks: DNS/NTP Amplification and CaretoThe Other Advanced Attacks: DNS/NTP Amplification and Careto
The Other Advanced Attacks: DNS/NTP Amplification and CaretoMike Chapple
 
Monitoring for DNS Security
Monitoring for DNS SecurityMonitoring for DNS Security
Monitoring for DNS SecurityThousandEyes
 
Finding Evil In DNS Traffic
Finding  Evil In DNS TrafficFinding  Evil In DNS Traffic
Finding Evil In DNS Trafficreal_slacker007
 
IoT DDoS Attacks: the stakes have changed
IoT DDoS Attacks: the stakes have changed IoT DDoS Attacks: the stakes have changed
IoT DDoS Attacks: the stakes have changed Great Bay Software
 
Security Onion Conference - 2016
Security Onion Conference - 2016Security Onion Conference - 2016
Security Onion Conference - 2016DefensiveDepth
 
Network Security in 2016
Network Security in 2016Network Security in 2016
Network Security in 2016Qrator Labs
 
MIRAI: What is It, How Does it Work and Why Should I Care?
MIRAI: What is It, How Does it Work and Why Should I Care?MIRAI: What is It, How Does it Work and Why Should I Care?
MIRAI: What is It, How Does it Work and Why Should I Care?Memoori
 
How IoT Is Breaking The Internet
How IoT Is Breaking The InternetHow IoT Is Breaking The Internet
How IoT Is Breaking The InternetCarl J. Levine
 
State of the Internet: Mirai, IOT and History of Botnets
State of the Internet: Mirai, IOT and History of BotnetsState of the Internet: Mirai, IOT and History of Botnets
State of the Internet: Mirai, IOT and History of BotnetsRahul Neel Mani
 
Dns security overview
Dns security overviewDns security overview
Dns security overviewVladimir2003
 

Destacado (20)

DNS Security
DNS SecurityDNS Security
DNS Security
 
CNIT 40: 1: The Importance of DNS Security
CNIT 40: 1: The Importance of DNS SecurityCNIT 40: 1: The Importance of DNS Security
CNIT 40: 1: The Importance of DNS Security
 
Pseudo Random DNS Query Attacks and Resolver Mitigation Approaches
Pseudo Random DNS Query Attacks and Resolver Mitigation ApproachesPseudo Random DNS Query Attacks and Resolver Mitigation Approaches
Pseudo Random DNS Query Attacks and Resolver Mitigation Approaches
 
Water Torture: A Slow Drip DNS DDoS Attack on QTNet by Kei Nishida [APRICOT 2...
Water Torture: A Slow Drip DNS DDoS Attack on QTNet by Kei Nishida [APRICOT 2...Water Torture: A Slow Drip DNS DDoS Attack on QTNet by Kei Nishida [APRICOT 2...
Water Torture: A Slow Drip DNS DDoS Attack on QTNet by Kei Nishida [APRICOT 2...
 
Drilling Down Into DNS DDoS
Drilling Down Into DNS DDoSDrilling Down Into DNS DDoS
Drilling Down Into DNS DDoS
 
Avoiding dns amplification attacks
Avoiding dns amplification attacksAvoiding dns amplification attacks
Avoiding dns amplification attacks
 
Introduction of Mirai Translate, Inc.
Introduction of Mirai Translate, Inc. Introduction of Mirai Translate, Inc.
Introduction of Mirai Translate, Inc.
 
Dns reflection attacks webinar slides
Dns reflection attacks webinar slidesDns reflection attacks webinar slides
Dns reflection attacks webinar slides
 
The Other Advanced Attacks: DNS/NTP Amplification and Careto
The Other Advanced Attacks: DNS/NTP Amplification and CaretoThe Other Advanced Attacks: DNS/NTP Amplification and Careto
The Other Advanced Attacks: DNS/NTP Amplification and Careto
 
Monitoring for DNS Security
Monitoring for DNS SecurityMonitoring for DNS Security
Monitoring for DNS Security
 
Finding Evil In DNS Traffic
Finding  Evil In DNS TrafficFinding  Evil In DNS Traffic
Finding Evil In DNS Traffic
 
IoT DDoS Attacks: the stakes have changed
IoT DDoS Attacks: the stakes have changed IoT DDoS Attacks: the stakes have changed
IoT DDoS Attacks: the stakes have changed
 
Security Onion Conference - 2016
Security Onion Conference - 2016Security Onion Conference - 2016
Security Onion Conference - 2016
 
Dns tunnelling its all in the name
Dns tunnelling its all in the nameDns tunnelling its all in the name
Dns tunnelling its all in the name
 
Network Security in 2016
Network Security in 2016Network Security in 2016
Network Security in 2016
 
MIRAI: What is It, How Does it Work and Why Should I Care?
MIRAI: What is It, How Does it Work and Why Should I Care?MIRAI: What is It, How Does it Work and Why Should I Care?
MIRAI: What is It, How Does it Work and Why Should I Care?
 
Advanced DNS Protection
Advanced DNS ProtectionAdvanced DNS Protection
Advanced DNS Protection
 
How IoT Is Breaking The Internet
How IoT Is Breaking The InternetHow IoT Is Breaking The Internet
How IoT Is Breaking The Internet
 
State of the Internet: Mirai, IOT and History of Botnets
State of the Internet: Mirai, IOT and History of BotnetsState of the Internet: Mirai, IOT and History of Botnets
State of the Internet: Mirai, IOT and History of Botnets
 
Dns security overview
Dns security overviewDns security overview
Dns security overview
 

Similar a Dns Amplification Zafiyeti

Garnizon dns guvenligi
Garnizon dns guvenligiGarnizon dns guvenligi
Garnizon dns guvenligiAlper Başaran
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?BGA Cyber Security
 
Small Business Server 2008 Üzerinde DNS Server Yönetimi
Small Business Server 2008 Üzerinde DNS Server Yönetimi Small Business Server 2008 Üzerinde DNS Server Yönetimi
Small Business Server 2008 Üzerinde DNS Server Yönetimi Mustafa
 
DDOS Saldırıları ve Korunma Yolları
DDOS Saldırıları ve Korunma YollarıDDOS Saldırıları ve Korunma Yolları
DDOS Saldırıları ve Korunma Yollarınetsec
 
Netscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıNetscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıBGA Cyber Security
 
Windows Server 2012 Network ve File System Yenilikleri
Windows Server 2012 Network ve File System YenilikleriWindows Server 2012 Network ve File System Yenilikleri
Windows Server 2012 Network ve File System YenilikleriMustafa
 
Windows Server 2012 Network ve Dosya Sistemi Yenilikleri
Windows Server 2012 Network ve Dosya Sistemi YenilikleriWindows Server 2012 Network ve Dosya Sistemi Yenilikleri
Windows Server 2012 Network ve Dosya Sistemi YenilikleriMSHOWTO Bilisim Toplulugu
 

Similar a Dns Amplification Zafiyeti (14)

Dns güvenliği
Dns güvenliğiDns güvenliği
Dns güvenliği
 
Dns security
Dns securityDns security
Dns security
 
Garnizon dns guvenligi
Garnizon dns guvenligiGarnizon dns guvenligi
Garnizon dns guvenligi
 
DNS güvenliği
DNS güvenliğiDNS güvenliği
DNS güvenliği
 
DNS Güvenliği
DNS GüvenliğiDNS Güvenliği
DNS Güvenliği
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
 
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
 
Small Business Server 2008 Üzerinde DNS Server Yönetimi
Small Business Server 2008 Üzerinde DNS Server Yönetimi Small Business Server 2008 Üzerinde DNS Server Yönetimi
Small Business Server 2008 Üzerinde DNS Server Yönetimi
 
Sbs 2008 dns
Sbs 2008 dnsSbs 2008 dns
Sbs 2008 dns
 
DDOS Saldırıları ve Korunma Yolları
DDOS Saldırıları ve Korunma YollarıDDOS Saldırıları ve Korunma Yolları
DDOS Saldırıları ve Korunma Yolları
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
 
Netscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıNetscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS Ayarları
 
Windows Server 2012 Network ve File System Yenilikleri
Windows Server 2012 Network ve File System YenilikleriWindows Server 2012 Network ve File System Yenilikleri
Windows Server 2012 Network ve File System Yenilikleri
 
Windows Server 2012 Network ve Dosya Sistemi Yenilikleri
Windows Server 2012 Network ve Dosya Sistemi YenilikleriWindows Server 2012 Network ve Dosya Sistemi Yenilikleri
Windows Server 2012 Network ve Dosya Sistemi Yenilikleri
 

Dns Amplification Zafiyeti

  • 2. 2 Nedir? DNS Amplification recursion adını verdiğimiz metot ile, saldırganın yolladığı küçük request’lere daha büyük cevap beklenir. Dışarıya açık olan servislerin arka planda DNS gibi önemli servisi kullanması ve zorunlu olaraktan DNS’imizin de internete açık olduğu durumlar olur. Bu tür durumlarda DNS üzerindeki yapılandırma çok dikkatli yapılmalıdır. Böyle durumlarda DNS üzerinde yapılan hatalardan bir tanesi DNS recursion devre dışı bırakılmamasıdır. DNS recursion sorgusunu açık bırakarak kötü niyetli kişilerin yapımızda bulunan DNS'lerimizi kullanmasına izin vermiş oluyoruz. Profesyonel bir saldırı tekniği olan DNS Amplification saldırıları, yapımızda bulunan DNS serverı kullanarak yönlendirilmiş hedefe bizim üzerinden paketler göndererek saldırı düzenler (1 DNS paketi 50 byte ise bu pakete dönecek cevap 10x olacaktır yani 500byte). Böylece saldırgan bizim bantgenişliğimizi kullanmakla kalmaz aynı zamanda kendi gizliliğini de sağlamış olur, saldırgan bizmişsiniz gibi algı oluşturur. Ayrıca saldırı sırasında tek bilgisayar yerine onlarca hatta yüzlerce bilgisayarın kullanılması daha etkili olur. Bu işlem için de Zombi yazılımlar devreye girecektir. Örnek olarak saldırganın xx.xx.x.x adlı bir yere saldırı yapacağını varsayalım. Saldırgan birden fazla bilgisayar ile, daha fazla etkili olmak maksadıyla, geneli şirket bilgisayarları, üniversite bilgisayarları olmak üzere hedef bilgisayar seçtikten sonra DNS DDOS Spy’ları bu bilgisayarlara enjekte edecektir.
  • 3. 3 Reflective DNS Amplification DDoS Saldırısı Şekil.1 1.Adım: Saldırgan recursion sorguya açık DNS sunucu bulur ve daha önce hazırladığı özel alan adını sorgulatır.Bu isteğin boyutu 3 Mbps tutmaktadır. 2. Adım: Ara DNS sunucu kendi ön belleğinde olmayan bu isteği gidip ana DNS sunucuya sorar(3Mbps) 3.Adım: Ana DNS sunucu test.com.tr için gerekli cevabı döner (300Mbps) 4. Adım: Ara DNS sunucu cevabı ön belleğine alarak bir kopyasını Saldırgana döner. Burada amaç ARA DNS sunucunun dönen 300Mbps’lik cevabı ön belleğe almasını sağlamaktır.
  • 4. 4 5.Adım: Test kullanıcısı (saldırganın kontrolünde) test.com.tr alan adını sorgular ve cevabın cachede olup olmadığını anlamaya çalışır. 6.Adım: Ara DNS sunucu ön belleğinden 300Mbps cevap döner. 7.Adım: Saldırgan Kurban’ın IP adresinden geliyormuş gibi sahte DNS paketleri gönderir. DNS paketleri test.com.tr’i sorgulamaktadır (ortalama 100.000 dns q/s). 8.Adım: Ara DNS sunucu gelen her paket için 300Mbps’lik cevabı Kurban sistemlere dönmeye çalışacaktır. Böylece Ara DNS sunucu 100.000X300 Mbps trafik üreterek saldırganın kendi trafiğinin 10 katı kadar çoğaltarak Kurban’a saldırıyor gözükecektir. DNS Recursion Sorgusu DNS serverımızın recursion sorgusuna açık olup olmadığını 2 şekilde öğrenebiliriz. 1. DNS serverımızın ayarlarını kontrol edebiliriz. 2. DNS serverımıza DNS recursion sorgusu yapabiliriz. 1.si için Microsoft DNS Server kullanıyorsak DNS serverımızda sağ tıklayıp Advanced altında Server optionsta "Disable recursion" işaretli olup olmadığını kontrol ediyorsunuz. işaretli değilse bu Dns serverımızın recursion sorgularına açık ve saldırı amaçlı kullanılabilir olduğunu gösterir
  • 5. 5 Şekil.2 Eğer Bind DNS server kullanıyorsak global options içerisinde aşağıda belirtilen satırların olup olmadığını kontrol edebilirsiniz. options { allow-query-cache { none; }; recursion no; }; 2. Seçenek için ise bu sorguyu yapan siteler aracılığıyla DNS'inizi kontrol ettirebilir yada kendimiz bunu yapabiliriz.
  • 6. 6 Bu işlemi gerçekleştirmek için Nmap aracını kullancağız. Aşağıdaki satırı terminal ekranına yazarak sorgumuzu gerçekleştirebiliriz. nmap -sU -p 53 -sV -P0 --script "dns-recursion" 195.175.39.39 (DNS'inizin IP adresi) Şekli.3 Yukarıda görüldüğü gibi DNS serverımızın DNS recursion sorgusu açık olduğunu görebiliriz. DNS recursion sorgusunu kapatmak için terminale aşağıdaki komutu yazabiliriz. dnscmd <ServerName> /Config /NoRecursion {1|0}
  • 7. 7 DNS Sunucusu Bulmak Bir IP aralığındaki tüm public DNS sunucularını bulmak Nmap aracını kullanabiliriz. Aşağıdaki kod satırını terminale yazdığımızda bir IP aralığındaki DNS sunucuları bize gösterecektir. nmap -PN -n -sU -p 53 –script=dns-recursion.nse xx.xx.x.x/28 Şekil.4
  • 8. 8 DNS Amplification Saldırı Aracı “Saddam” Saddam DNS Amplification saldırısı için geliştirilmiş bir araçtır. Python dosyasını indirmek için aşağıdaki linke tıklayabiliriz. https://github.com/OffensivePython/Saddam Kurulum için “Pinject.py” dosyasını python kütüphanesine eklemeliyiz. https://github.com/OffensivePython/Pinject Dosyayı kütüphaneye ekledikten sonra terminale yazıp çalıştırabiliriz. Şekil.5
  • 9. 9 Bu script ile neler yapabiliriz; 1. DNS Amplification (Alan Adı Sistemi) 2. NTP Amplification (Ağ Zaman Protokolü) 3. SNMP Amplification (Ağ Yönetimi Protokolü) 4. SSDP Amplification (Hizmet Algılama Protokolü) Saldırı yapabiliriz. Saldırıdan Korunmak Bu tip bir saldırıdan klasik yöntemleri çalıştırarak korunamayız. Saldırının amacı tamamen hedef sistemin trafik akış kapasitesini doldurmak olduğu için DNS sunucuları daha güçlü ve trafik akışı yüksek yerlerde host etmek veya çok daha zor ama %99 korunma sağlayacak DNS anycast altyapısını kullanmak olmalıdır.