"DNS Amplification" (DNS Reflection) Saldırısı

"DNS Amplification" saldırısı; çok fazla sayıdaki DNS sorgusu cevabını hedef sisteme yönlendirerek, hedef sistemi işlemez hale getirmeyi, hedefleyen bir servis dışı bırakma (DoS - Denial of Service) saldırısıdır. Gerçekleştirmesi oldukça kolay bir saldırı olduğundan dolayı sistemler için ciddi bir tehlike arz etmektedir.

Yazıyı okuyan kişilerin servis dışı bırakma (DoS - Denial of Service) saldırılarının ve DNS'nin temel mantıklarını ve bildiklerini kabul ediyoruz.

Şimdi ayrıntılara geçelim:

DNS sunucusuna gönderilen küçük boyutlu bir sorguya DNS sunucusundan oldukça büyük boyutlu bir cevap alınabilir. "ANY" DNS sorgusunu buna bir örnek verebiliriz. "ANY" DNS sorgusunda, DNS sunucusuna 64 baytlık bir istek gönderilirken, bu isteğe DNS sunucusundan gelen cevap 3000 bayt civarındadır. Yani yapılan isteğin yaklaşık 50 katı kadar büyük bir cevap DNS sunucusundan istemciye dönmektedir. Teorik olarak internet bağlantı hızı 100Mbps olan bir istemci, DNS sunucusundan 5Gbps boyutunda bir DNS cevabı alabilecektir.

Bu cevabın boyutunun ne kadar olduğu aşağıdaki komutla görülebilir. Aşağıdaki komutla 8.8.8.8 IP adresli DNS sunucusundan www.abidikgubidik.org adresine ait tüm DNS kayıtları istenmektedir.
dig ANY www.abidikgubidik.org @8.8.8.8

("Scapy", "Mz", "hping" ve "netstress" gibi araçlarla istenilen boyutta ve türde DNS paketleri üretilebilir.)

Peki bu özellik bir servis dışı bırakma saldırısında nasıl kullanılabilir? Bunu bir senaryoyla anlatmaya çalışalım:

Saldırganımızın IP adresi 192.168.34.34, hedefimizin IP adresinin de 172.16.1.111 olduğunu düşünelim. Saldırganımız 8.8.8.8 IP numaralı DNS sunucusunda "ANY" sorgusu yapar. Bu sorguyu yaparken de DNS sorgu paketinin içerisindeki kaynak IP adresini hedef bilgisayarın IP adresi olarak değiştirir. (IP Spoofing)

Bu durumda DNS sunucusu, DNS sorgusunun cevaplarını 192.168.34.34 adresine değil de hiçbir şeyden haberi olmayan 172.16.1.111 IP numaralı hedefimizin adresine gönderecektir. Çünkü kendisine gelen sorgudaki kaynak IP adresi hedefin IP adresi olan 172.16.1.111'dir. Sadece 64 baytlık sorgulara karşılık DNS sunucusundan bunun 50 katı kadar DNS cevapları alabildiğimize göre yukarıda da bahsedildiği gibi teorik olarak 100Mbps'lık bir bant genişliği kullanılarak hedef sisteme 5Gbps'lık bir DNS trafiği oluşturulabilir. Bu saldırı bir den fazla bilgisayardan, botnet ağları üzerinden yapıldığı takdirde hedef sisteme yönlendirilebilecek DNS cevap trafiğinin boyutu da astronomik olarak artacaktır.

Küçük boyutlu sorgulara büyük boyutlu cevaplar döndürülebildiği için bu saldırı türüne genel olarak "amplification (yükseltme)" saldırıları denmektedir.