DNS Recursion neden tehlikeli?

Açık DNS recursion (Open Resolver), DDoS saldırılarında DNS amplification (Kuvvetlendirme) yöntemi olarak kullanılır. Saldırganlar küçük sorguları büyük yanıtlara dönüştürerek kurban sunucuyu çökertebilir.

Hangi IP'ler recursion'a izin vermeli?

Sadece güvenilir internal (yerel) ağlar (192.168.x.x, 10.x.x.x, 172.16-31.x.x) ve authenticate olmuş istemciler recursion kullanmalı. İnternete açık public IP'lerden gelen recursive sorguları asla kabul etmemelisiniz.

Open resolver nasıl kapatılır?

BIND9 sunucularda allow-recursion direktifi ile IP kısıtlaması yapın. Windows DNS'te recursion seçeneğini disable edin. Firewall üzerinde UDP 53 portunu sadece güvenilir IP'lere açın.

DNS amplification saldırısı nasıl tespit edilir?

Anormal DNS sorgu hacmi, çok büyük paket yanıtları, bilinmeyen dış IP'lerden gelen ANY kayıt sorgularındaki artış ve ani outbound (giden) trafik DNS amplification saldırısının işaretleridir.

DNS Recursion Checker - Recursive DNS Analiz Aracı

DNS Recursion Checker Nedir?

DNS Recursion Checker aracı, sunucunuzun (IP adresi) internete açık bir şekilde (Open Resolver) hizmet verip vermediğini tespit eder. Kötü yapılandırılmış DNS sunucuları siber saldırganlar tarafından "DNS Amplification (DDoS)" saldırılarında kuvvetlendirici olarak kullanılır.

DNS Recursion Nedir?

DNS Recursion, bir DNS sunucusunun istemci (Client) adına başka DNS sunucularına gidip sorgu göndermesi (çözümleme) özelliğidir. Normal şartlarda bu özellik sadece sizin şirket ağınızdaki cihazlara veya sunucunuzdaki müşterilere hizmet vermelidir. Eğer bu özellik tüm dünyaya açık bırakılırsa, sizin sunucunuz bir "Open Resolver" haline gelir.

Neden Tehlikelidir? (Güvenlik Riskleri)

DNS Amplification: Saldırganlar 60 byte'lık küçük bir sorgu gönderir, sizin açık sunucunuz hedefe 3000 byte'lık cevap atar. (DDoS silahı olursunuz).
Reflection Saldırıları: Kendi IP adreslerini gizleyen saldırganlar sizin üzerinizden başkalarına saldırır.
Kaynak Tüketimi (Resource Abuse): Sunucunuzun internet bant genişliği (Trafik kotası) ve işlemcisi tükenir.
DNS Zehirlenmesi (Cache Poisoning): Saldırganlar sahte DNS verilerini önbelleğinize yerleştirerek kullanıcılarınızı zararlı sitelere yönlendirir.

Güvenli Sunucu Yapılandırması

Restricted Access: Recursion özelliğini sadece Localhost ve kendi IP bloklarınıza açın.
Erişim Kontrolü (ACL): Access Control List tanımlamaları ile dış dünyayı engelleyin.
Hız Sınırlaması (Rate Limiting): Saniyede gelen sorgu sayısını limitleyerek saldırıları yavaşlatın.

Komut Satırından Manuel DNS Testleri

Linux/macOS "dig" Komutları

# Recursion (Yineleme) Testi
dig @8.8.8.8 google.com

# Recursion bayrağını zorla kapatarak test
dig @8.8.8.8 google.com +norecurse

# Detaylı Debug ve İzleme
dig @8.8.8.8 google.com +trace

Windows/Linux "nslookup" Komutları

# Tek satırda Recursion test komutu
nslookup google.com 8.8.8.8

# nslookup içine girerek detaylı sorgu
> nslookup
> server 8.8.8.8
> set norecurse
> google.com

DNS Sunucuları (BIND & Windows) Nasıl Güvenli Hale Getirilir?

Linux BIND9 Yapılandırması

/etc/bind/named.conf.options dosyasını düzenleyin:

options {
    // Sadece localhost ve kendi ağınıza izin verin
    allow-recursion { 
        127.0.0.1; 
        192.168.0.0/16;
        10.0.0.0/8;
    };
    
    // DDoS koruması için Rate limit
    rate-limit {
        responses-per-second 10;
        window 10;
    };
};

Windows Server DNS Yapılandırması

PowerShell üzerinden ACL kurallarını uygulayın:

# Recursion'ı genel olarak kapatmak
Set-DnsServerRecursion -Enable $false

# Sadece iç ağa (Internal) izin veren kural
Add-DnsServerQueryResolutionPolicy `
    -Name "Allow-Internal" `
    -Condition "And" `
    -ClientSubnet "EQ,192.168.0.0/16" `
    -Action Allow

# Hız sınırlaması (Rate limit)
Set-DnsServerResponseRateLimiting `
    -ResponsesPerSec 10

Sıkça Sorulan Sorular

Sadece güvenilir iç ağlar (Local Network - 192.168.x.x, 10.x.x.x vb.) ve sunucunuzda authenticate (doğrulanmış) olmuş istemciler recursion kullanmalıdır. İnternete açık Public IP'lerden gelen (Tüm dünyadan gelen) recursive sorguları asla kabul etmemelisiniz.

Eğer sunucunuzun hat (trafik) grafiğinde aniden Upload (Giden) trafiği tavan yapıyorsa ve DNS portu (UDP 53) üzerinden çok büyük "ANY" kayıt veya "DNSSEC" sorgu yanıtları dönüyorsa, sunucunuz birilerine DDoS saldırısı yapıyor demektir. Hemen Firewall üzerinden Port 53 dışarıya kapatılmalıdır.

Recursive DNS: Sizin (İstemcinin) adına internetteki diğer DNS sunucularını gezip domaini bulan ve cevabı size getiren sunucudur.
Authoritative DNS: Sadece kendi içine kaydedilmiş domainler için yetkili olan ve "Benim adım bu, IP adresim şu" diyen sunucudur. Başkası adına arama yapmaz. Güvenli bir yapıda bu iki servis ayrı sunucularda tutulmalıdır.

Google DNS, Cloudflare (1.1.1.1) ve OpenDNS gibi devasa hizmetler, bilerek halka açık "Public Recursive Service" sağlamak üzere özel olarak tasarlanmıştır. Bu firmalar milyarlarca dolarlık altyapıları ile çok güçlü DDoS koruma sistemlerine ve Rate Limiting (Sorgu Sınırlandırma) teknolojilerine sahip oldukları için bu riski güvenle yönetebilirler.

DNS Recursion Checker Aracı