DNS Recursion Checker Nedir?
DNS Recursion Checker aracı, sunucunuzun (IP adresi) internete açık bir şekilde (Open Resolver) hizmet verip vermediğini tespit eder. Kötü yapılandırılmış DNS sunucuları siber saldırganlar tarafından "DNS Amplification (DDoS)" saldırılarında kuvvetlendirici olarak kullanılır.
DNS Recursion Nedir?
DNS Recursion, bir DNS sunucusunun istemci (Client) adına başka DNS sunucularına gidip sorgu göndermesi (çözümleme) özelliğidir. Normal şartlarda bu özellik sadece sizin şirket ağınızdaki cihazlara veya sunucunuzdaki müşterilere hizmet vermelidir. Eğer bu özellik tüm dünyaya açık bırakılırsa, sizin sunucunuz bir "Open Resolver" haline gelir.
Neden Tehlikelidir? (Güvenlik Riskleri)
- DNS Amplification: Saldırganlar 60 byte'lık küçük bir sorgu gönderir, sizin açık sunucunuz hedefe 3000 byte'lık cevap atar. (DDoS silahı olursunuz).
- Reflection Saldırıları: Kendi IP adreslerini gizleyen saldırganlar sizin üzerinizden başkalarına saldırır.
- Kaynak Tüketimi (Resource Abuse): Sunucunuzun internet bant genişliği (Trafik kotası) ve işlemcisi tükenir.
- DNS Zehirlenmesi (Cache Poisoning): Saldırganlar sahte DNS verilerini önbelleğinize yerleştirerek kullanıcılarınızı zararlı sitelere yönlendirir.
Güvenli Sunucu Yapılandırması
- Restricted Access: Recursion özelliğini sadece Localhost ve kendi IP bloklarınıza açın.
- Erişim Kontrolü (ACL): Access Control List tanımlamaları ile dış dünyayı engelleyin.
- Hız Sınırlaması (Rate Limiting): Saniyede gelen sorgu sayısını limitleyerek saldırıları yavaşlatın.
Komut Satırından Manuel DNS Testleri
Linux/macOS "dig" Komutları
# Recursion (Yineleme) Testi
dig @8.8.8.8 google.com
# Recursion bayrağını zorla kapatarak test
dig @8.8.8.8 google.com +norecurse
# Detaylı Debug ve İzleme
dig @8.8.8.8 google.com +trace
Windows/Linux "nslookup" Komutları
# Tek satırda Recursion test komutu
nslookup google.com 8.8.8.8
# nslookup içine girerek detaylı sorgu
> nslookup
> server 8.8.8.8
> set norecurse
> google.com
DNS Sunucuları (BIND & Windows) Nasıl Güvenli Hale Getirilir?
Linux BIND9 Yapılandırması
/etc/bind/named.conf.options dosyasını düzenleyin:
options {
// Sadece localhost ve kendi ağınıza izin verin
allow-recursion {
127.0.0.1;
192.168.0.0/16;
10.0.0.0/8;
};
// DDoS koruması için Rate limit
rate-limit {
responses-per-second 10;
window 10;
};
};
Windows Server DNS Yapılandırması
PowerShell üzerinden ACL kurallarını uygulayın:
# Recursion'ı genel olarak kapatmak
Set-DnsServerRecursion -Enable $false
# Sadece iç ağa (Internal) izin veren kural
Add-DnsServerQueryResolutionPolicy `
-Name "Allow-Internal" `
-Condition "And" `
-ClientSubnet "EQ,192.168.0.0/16" `
-Action Allow
# Hız sınırlaması (Rate limit)
Set-DnsServerResponseRateLimiting `
-ResponsesPerSec 10
Sıkça Sorulan Sorular
Sadece güvenilir iç ağlar (Local Network - 192.168.x.x, 10.x.x.x vb.) ve sunucunuzda authenticate (doğrulanmış) olmuş istemciler recursion kullanmalıdır. İnternete açık Public IP'lerden gelen (Tüm dünyadan gelen) recursive sorguları asla kabul etmemelisiniz.
Eğer sunucunuzun hat (trafik) grafiğinde aniden Upload (Giden) trafiği tavan yapıyorsa ve DNS portu (UDP 53) üzerinden çok büyük "ANY" kayıt veya "DNSSEC" sorgu yanıtları dönüyorsa, sunucunuz birilerine DDoS saldırısı yapıyor demektir. Hemen Firewall üzerinden Port 53 dışarıya kapatılmalıdır.
Recursive DNS: Sizin (İstemcinin) adına internetteki diğer DNS sunucularını gezip domaini bulan ve cevabı size getiren sunucudur.
Authoritative DNS: Sadece kendi içine kaydedilmiş domainler için yetkili olan ve "Benim adım bu, IP adresim şu" diyen sunucudur. Başkası adına arama yapmaz. Güvenli bir yapıda bu iki servis ayrı sunucularda tutulmalıdır.
Authoritative DNS: Sadece kendi içine kaydedilmiş domainler için yetkili olan ve "Benim adım bu, IP adresim şu" diyen sunucudur. Başkası adına arama yapmaz. Güvenli bir yapıda bu iki servis ayrı sunucularda tutulmalıdır.
Google DNS, Cloudflare (1.1.1.1) ve OpenDNS gibi devasa hizmetler, bilerek halka açık "Public Recursive Service" sağlamak üzere özel olarak tasarlanmıştır. Bu firmalar milyarlarca dolarlık altyapıları ile çok güçlü DDoS koruma sistemlerine ve Rate Limiting (Sorgu Sınırlandırma) teknolojilerine sahip oldukları için bu riski güvenle yönetebilirler.