Windows için DNS Rekürsif Sorgu (Recursion Query) Güvenlik Açığından Korunmak

by

DNS Recursion özelliğinin açık olması, “dns amplification attack” grubundaki saldırılara maruz kalmanıza neden olur ve sunucu networkünü sature ederek, network performansının düşmesine neden olur.

Aynı zamanda sunucunuzdan aşırı trafik çıkmasına neden olacağı için, yüksek trafik maliyetleri karşınıza çıkabilir.

Bu açık kapatılmadığı sürece sunucunuza DNS saldırısı yapılabilir, veya sunucunuz üzerinden DNS saldırısı yapılabilir.

Öncelikle DNS sunucunuzdaki açığı tespit etmek için Command Prompt (cmd.exe)‘yi açın ve nslookup -q=a google.com 127.0.0.1 komutunu çalıştırın. Bu komut “127.0.0.1 ip adresine google.com nerede barınmaktadır?” sorgusunu göndermektedir. (Bu IP adresi yerine sunucunuzun IP adresini yazmanız gerekiyor.)

cmd.exe -> nslookup -q=a google.com SunucuIPAdresi

Eğer işlem sonucu olarak “google.com öğesini bulamıyor: Non-existent domain” gibi bir mesaj dönüyorsa sorun yok, fakat böyle bir mesaj dönmüyor, root sunuculara istekte bulunuyorsa bir an önce aşağıdaki işlemleri gerçekleştirin.

Birinci adım, DNS Manager programında DNS sunucusu üzerinde sağ tıklayıp Properties penceresini açın. Advanced sekmesindeki Disable Recursion seçeneğini işaretlemeniz gerekiyor.

DNS Manager -> Properties -> Advanced -> Disable Recursion

İkinci adım olarak root sunucularını silmeniz gerekiyor. Bu işlemi yine Properties penceresindeki Root Hints sekmesindeki kayıtları silerek veya Forward Lookup Zones‘a . (nokta) isimli yeni bir Primary Zone ekleyerek gerçekleştirebilirsiniz.

DNS Manager -> Forward Lookup Zones -> New Zone -> Primary Zone -> Zone Name : .

Sadece bir taslak, ilk fırsatta güncellenecek.

İlgilenenler Checklist: Secure Your DNS Server bağlantısını inceleyebilir.