2008 yılında araştırmacı Dan Kaminsky internet tarihinin en kıymetli açıklarından birisini ortaya çıkarmıştı. DNS sunucularını yanıltarak bilinen bir web sitesini saldırganın belirlediği IP adresine yöneltebilen bu sorun DNS Ön bellek Zehirlenmesi olarak biliniyor.
Yeni bir açık bulundu
DNS sunucular en kolay tabiriyle kullanıcının tarayıcısına girdiği internet adresini bir IP adresi ile ilişkilendirmeye yarıyor. Bunu inançlı protokoller üzerinden yapan DNS sunucular böylelikle girilen adresin ortada kalmamasını sağlıyor. Bu sistem email üzere öbür pek çok alanda kullanılıyor.
DNS sunucular alakalı IP adresini ön belleğinde saklıyor ve süratli bir biçimde talebe karşılık veriyor. Yoksa bu kere onaylı sunucuları indeksleyerek IP adresini çözümlüyor ve ilişkilendiriyor. Sonrasında ön belleğe alıyor.
DNS sunucular bu sistemde şifre kullanmadığı için yetkilendirilmemiş bir süreç yaşanıyor. Sunucu IP adresini bulabilmek için kullanıcı bilgi bloğu bağlantı kurallarını barındıran paketler gönderiyor. Zehirleme atılımları de bu tek taraflı UDP bağlantısında yaşanıyor.
DNS tekniği geliştirilirken mühendisler 16-bitlik kimlikler ile her isteği eşleştirdi ve böylelikle onaylı sunucular bu kimliğe nazaran süreç yaptı. İşte Kaminsky’nin metodu sunuculara daima talepler göndererek bu kimliği ele geçirmeye çalışıyordu.
Kullanıcıların farkında olmadan örneğin bir bankanın resmi sitesi zannederek birebir adresle saldırganların oluşturduğu uydurma siteye yönlendirilmesi haliyle çok büyük riskleri de beraberinde getiriyordu. Sayısız bölüm bu açık sonrasında bir ortaya gelerek DNS yönlendirme meselesini giderecek bir tahlil ortaya koymuştu.
Bu tahlilde sabit 53. port yerine her kimliğe bir de rastgele port eklenmeye başladı ve böylelikle milyarlarca ihtimalin çözümlenebilmesi matematik olarak imkansız hale getirildi. Bununla birlikte Çinli ve ABD’li araştırmacılar bu tekniği de yanıltabilecek bir açık bulmuş durumda.
Yeni sistemde sunucuların denetim ileti protokolü hedefleniyor. Olağanda sunucular bant genişliği verimli kullanabilmek için saniyede muhakkak bir talep sayısına karşılık veriyor. Linux platformunda bu sayı saniyede 1000 olarak sonlandırıldı.
Saldırgan her seferinde farklı porttan olmak üzere sunucunun saniyedeki 1000 sonunu doldurmaya çalışıyor. Yanlış porttan gelen talep hududu bir düşürüyor. Şayet tüm portlar kapalı ise saniyelik hudut büsbütün doluyor. Saldırgan işte daima talepler göndererek açık portu bulmaya çalışıyor.
SAD DNS olarak isimlendirilen bu yeni usul Cloudflare’e nazaran Kaminsky’nin formülünden sonra bulunmuş en tesirli prosedürlerden birisi. Bununla birlikte Linux geliştiricileri talep sonunu rastgele saniyede 500-2000 ortasında değişecek halde optimize etmiş. Bu sayede SAD DNS tekniğinin engellenebildiği tabir ediliyor. Cloudflare de duruma nazaran DNS sunucusunu TCP’ye dönecek biçimde ayarlamış. Bu da tesirli bir müdafaa oluşturmuş. SAD DNS konusunda çalışmalar devam ediyor.
Kaynak: Donanimhaber