1$ = 1.00
Recursive DNS Nedir? Tehlikeleri ve Korunma Yöntemleri

İçindekiler

Güvenlik

Recursive DNS Nedir? Tehlikeleri ve Korunma Yöntemleri

Recursive DNS, internette alan adı çözümlemesi için kritik bir hizmettir. Ancak yanlış yapılandırıldığında ciddi güvenlik açıklarına yol açabilir. Bu yazıda recursive DNS'in ne olduğunu, saldırganların bunu nasıl kullandığını ve nasıl korunacağınızı öğrenin.

Doğuş ŞEKERCİ

Doğuş ŞEKERCİ

Founder & CEO

30 Ocak 2025
12 dk okuma

Recursive DNS Nedir?

DNS (Domain Name System), internetin telefon rehberi gibi çalışan bir sistemdir. İnsanların hatırlaması kolay alan adlarını (örneğin netlen.com.tr) bilgisayarların anlayabileceği IP adreslerine (örneğin 185.x.x.x) dönüştürür.

Recursive DNS (Özyinelemeli DNS), bir DNS sorgusu aldığında cevabı bulmak için gerekli tüm adımları sizin yerinize yapan bir DNS sunucu türüdür. Sorguyu alır, kök DNS sunucularından başlayarak yetkili sunuculara kadar tüm hiyerarşiyi dolaşır ve sonucu size geri döndürür.

Önemli Uyarı: IP adresinizde recursive DNS açık mı kontrol etmek için RTBH Network Tools adresini kullanabilirsiniz. Bu kontrol, potansiyel güvenlik açıklarını tespit etmenize yardımcı olacaktır.

Recursive DNS Nasıl Çalışır?

code
Kullanıcı: "netlen.com.tr IP adresi nedir?"
      |
      v
[Recursive DNS Sunucu]
      |
      +--> Kök DNS Sunucusu (.): ".com yetkili sunucusuna sor"
      |
      +--> .com TLD Sunucusu: "netlen.com.tr yetkili sunucusuna sor"
      |
      +--> netlen.com.tr Yetkili Sunucu: "IP adresi 185.x.x.x"
      |
      v
Kullanıcıya Cevap: "netlen.com.tr = 185.x.x.x"

Recursive DNS vs Authoritative DNS

ÖzellikRecursive DNSAuthoritative DNS
**Görev**Sorguları çözer, cevap ararKendi zone dosyalarına cevap verir
**Önbellek**Var (caching)Genellikle yok
**Hedef Kitle**Son kullanıcılarDiğer DNS sunucuları
**Örnek**Google DNS (8.8.8.8)Domain'in NS sunucuları

Recursive DNS'in Tehlikeleri

Açık (open) recursive DNS sunucuları, siber saldırganlar için son derece değerli hedeflerdir. İşte başlıca tehlikeler:

1. DNS Amplification (Yükseltme) Saldırıları

Bu, en yaygın ve tehlikeli saldırı türüdür. Saldırgan, küçük bir sorgu göndererek çok daha büyük bir cevap üretir ve bunu kurbanın IP adresine yönlendirir.

Nasıl Çalışır:

code
1. Saldırgan, kaynak IP'yi kurbanın IP'si olarak taklit eder (IP Spoofing)
2. Açık recursive DNS sunucusuna "ANY" sorgusu gönderir
3. DNS sunucusu büyük bir cevap üretir (60-70 kat amplifikasyon)
4. Cevap kurbanın IP adresine gider
5. Binlerce açık DNS ile bu yapıldığında kurban DDoS'a maruz kalır

Amplifikasyon Oranları:

Sorgu TürüAmplifikasyon
ANY28-54x
TXT (SPF)2-10x
DNSSEC40-70x

2. DNS Cache Poisoning (Önbellek Zehirleme)

Saldırgan, recursive DNS'in önbelleğine sahte kayıtlar enjekte ederek kullanıcıları zararlı sitelere yönlendirebilir.

Senaryo:

  • Kullanıcı "bankaniz.com" adresine gitmek ister
  • Zehirlenmiş DNS, sahte IP döndürür
  • Kullanıcı farkında olmadan phishing sitesine yönlenir

3. Kaynak Tüketimi

Açık recursive DNS sunucuları:

  • Bant genişliği tüketir
  • CPU ve RAM kaynaklarını harcar
  • ISP tarafından kara listeye alınabilir
  • Yasal sorumluluk doğurabilir

4. Bilgi Sızdırma

Recursive DNS sorguları loglandığında, kullanıcıların hangi siteleri ziyaret ettiği görülebilir. Bu bir mahremiyet sorunu oluşturur.

Saldırganlar Recursive DNS'i Nasıl Kullanır?

DDoS Saldırı Senaryosu

bash
# Saldırganın yaptığı (basitleştirilmiş örnek)
# Kaynak IP: Kurban IP (spoofed)
# Hedef: Açık DNS sunucuları

for dns_server in $(cat open_dns_list.txt); do
    dig @$dns_server ANY hedef-domain.com
done

# Sonuç: Tüm cevaplar kurbanın IP'sine gider

Saldırı Adımları

  1. Keşif: Shodan, Censys gibi araçlarla açık DNS sunucuları bulunur
  2. Liste Oluşturma: Binlerce açık recursive DNS toplanır
  3. IP Spoofing: Kaynak IP olarak kurbanın IP'si kullanılır
  4. Saldırı: Tüm DNS sunucularına eşzamanlı sorgu gönderilir
  5. Amplifikasyon: Küçük sorgular dev cevaplara dönüşür
  6. DDoS: Kurban aşırı trafik altında ezilir

IP Adresinizi Kontrol Edin

Sunucunuzda recursive DNS açık mı kontrol etmek kritik öneme sahiptir.

Online Kontrol Araçları

RTBH Network Tools: https://rtbh.network/tools adresinden IP adresinizi sorgulayarak recursive DNS durumunuzu öğrenebilirsiniz.

Manuel Kontrol (Linux)

bash
# Dış bir IP'den sunucunuza DNS sorgusu gönderin
dig @SUNUCU_IP google.com

# Eğer cevap alıyorsanız, recursive DNS açıktır!
# "REFUSED" veya timeout almalısınız

Nmap ile Kontrol

bash
nmap -sU -p 53 --script dns-recursion SUNUCU_IP

Korunma Yöntemleri

1. Recursive DNS'i Kapatın veya Kısıtlayın

BIND için (/etc/named.conf):

code
options {
    // Sadece iç ağdan recursive sorgu kabul et
    allow-recursion { 127.0.0.1; 10.0.0.0/8; 192.168.0.0/16; };
    
    // Veya tamamen kapat
    recursion no;
};

PowerDNS Recursor için:

code
# /etc/pdns-recursor/recursor.conf
allow-from=127.0.0.0/8, 10.0.0.0/8, 192.168.0.0/16

Unbound için:

yaml
server:
    interface: 127.0.0.1
    access-control: 127.0.0.0/8 allow
    access-control: 10.0.0.0/8 allow
    access-control: 0.0.0.0/0 refuse

2. Response Rate Limiting (RRL)

DNS cevap hızını sınırlayarak amplifikasyon saldırılarını etkisiz hale getirin:

code
# BIND için
rate-limit {
    responses-per-second 10;
    window 5;
};

3. Firewall Kuralları

bash
# iptables - Sadece güvenilir IP'lerden DNS kabul et
iptables -A INPUT -p udp --dport 53 -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j DROP

# Veya rate limiting
iptables -A INPUT -p udp --dport 53 -m limit --limit 10/s -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j DROP

4. DNSSEC Kullanın

DNSSEC, DNS cevaplarının doğruluğunu kriptografik olarak doğrular ve cache poisoning saldırılarını önler.

5. Monitoring ve Alerting

bash
# DNS trafiğini izleyin
tcpdump -i eth0 port 53 -c 100

# Anormal trafik için alert kurun
# Örnek: 1 dakikada 1000'den fazla DNS sorgusu

En İyi Uygulamalar Özeti

UygulamaÖncelikAçıklama
Recursive kapatma/kısıtlama**Kritik**Sadece yetkili kullanıcılara izin verin
Firewall kuralları**Kritik**Port 53'ü filtreleyin
RRL etkinleştirme**Yüksek**Cevap hızını sınırlayın
DNSSEC**Yüksek**Cache poisoning'e karşı koruma
Düzenli kontrol**Orta**rtbh.network/tools ile periyodik test
Log analizi**Orta**Anormal sorguları tespit edin

Sonuç

Recursive DNS, internet altyapısının vazgeçilmez bir parçasıdır. Ancak yanlış yapılandırıldığında, sunucunuz farkında olmadan siber saldırılara alet olabilir ve ciddi hukuki sorumluluklar doğabilir.

Yapmanız Gerekenler:

  1. Hemen kontrol edin: RTBH Network Tools adresinden IP'nizi test edin
  2. Kısıtlayın: Recursive DNS'i sadece yetkili kullanıcılara açın
  3. Firewall: Port 53 trafiğini filtreleyin
  4. İzleyin: DNS trafiğinizi düzenli olarak kontrol edin

Güvenli bir internet altyapısı için proaktif önlemler almak, sonradan sorunlarla uğraşmaktan çok daha kolaydır.

Sunucu güvenliğiniz için Netlen Bulut Sunucu çözümlerimizi inceleyin! DDoS koruması ve güvenlik önlemleri dahil.

recursive dns
dns güvenliği
dns amplification
ddos saldırısı
open resolver
dns saldırı
siber güvenlik
sunucu güvenliği
ağ güvenliği

Bu yazıyı paylaşın

Doğuş ŞEKERCİ

Yazar Hakkında

Doğuş ŞEKERCİ

Founder & CEO

13 yıllık deneyimimle veri merkezi hizmetleri, fintech altyapıları, bulut sunucu teknolojileri ve siber güvenlik alanında çalışıyorum.

Yorumlar

Bu yazı hakkında okuyucu yorumları

İlgili Yazılar

Tüm Yazılar