OpenDNS Resolver Nedir ve Nasıl Devre Dışı Bırakılır?

NOT: Recursive DNS’in kapalı olması tek başına yeterli değildir. Eğer root servers ve forwarder servers ayarları duruyorsa, sunucunuz hâlâ DNS Amplification saldırılarına açık olabilir. Bu yüzden sadece recursive DNS’i kapatmak yerine, root ve forwarder bölümlerini de kaldırmalısınız.

DNS Open-Resolver Nedir?

DNS Open-Resolver sunucunuzun dış kaynaklardan gelen recursive sorgulara yanıt vermesine olanak tanır. Yani sunucunuz internet üzerindeki herhangi bir cihazın DNS isteğine cevap verebilir.

DNS Open-Resolver Neden Kapatılmalıdır?

Eğer DNS Open-Resolver aktifse, kötü niyetli kişiler sunucunuzu DDoS Reflection saldırılarında kullanabilir. Bu tür saldırılar sonucunda sunucunuz yüksek trafik üreterek şebekenizin çökmesine veya internet hızınızın düşmesine neden olabilir.

Sunucumda DNS Open-Resolver Aktif mi?

Bunu test etmek için dig komutunu kullanabilirsiniz. Linux sunucular üzerinden aşağıdaki komutu çalıştırarak Open-Resolver’in açık olup olmadığını kontrol edebilirsiniz:

dig cert-bund.de @SUNUCU_IP_ADRESİNİZ

Eğer çıktıda şu satırlar varsa sunucunuz saldırılara açıktır:

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 60398
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

Ancak aşağıdaki gibi bir çıktı alıyorsanız DNS recursion kapalıdır ve sunucunuz güvenli durumdadır:

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 14200
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

DNS Recursion Açık Olursa Ne Olur?

Eğer DNS Recursion özelliği açıksa sunucunuz DNS Amplification Attack gibi saldırılara maruz kalabilir. Aynı zamanda sisteminiz saldırılar için bir aracı hâline gelir ve farkında olmadan büyük çaplı DDoS saldırılarının bir parçası olabilirsiniz. Bu da sunucunuzun performansını olumsuz etkiler ve yüksek trafik maliyetleriyle karşı karşıya kalabilirsiniz.

DNS Recursion Nasıl Kapatılır?

Bu işlemi yaparken dikkatli olun. Eğer sunucu yönetimi konusunda yeterli bilginiz yoksa, teknik destek ekibinizden yardım almanız daha güvenli olacaktır.

Hangi DNS sunucu yazılımını kullandığınızı bilmeniz gerekir. Windows sunucu genellikle Microsoft DNS veya Bind, Linux ise genellikle Bind kullanır.

1) Microsoft DNS Üzerinde DNS Recursion Kapatma

• “DNS” yazıp aratarak Microsoft DNS Servisi yönetim panelini açın.
  
• DNS Server adına sağ tıklayıp Properties sekmesine girin.
  
• Advanced sekmesine gelin ve Disable recursion kutusunu işaretleyin.
  
• Forwarders alanının tamamen boş olduğuna emin olun.
  
• Root Hints bölümünü temizleyin.
  
• Son olarak DNS Servisini yeniden başlatın.

2) Windows Plesk Bind Üzerinde DNS Recursion Kapatma

Bind konfigürasyon dosyanızı açın ve aşağıdaki adımları takip edin:

1. named.user.conf dosyanızı bulun.
2. İçinde allow-recursion {…} veya recursion yes; gibi satırlar varsa bunları silin.
3. Şu satırları ekleyin:

options {
    allow-transfer {none;};
    additional-from-cache no;
    recursion no;
};

4. DNS servisini yeniden başlatın.

3) Linux Bind Üzerinde DNS Recursion Kapatma

Öncelikle named.conf dosyanızı açın:

nano -w /etc/named.conf

recursion yes veya allow-recursion ile ilgili satırları bulun ve silin veya başına // koyarak yorum satırı haline getirin. Ardından şu satırları ekleyin:

allow-transfer {none;};
additional-from-cache no;
recursion no;

Son olarak DNS servisini yeniden başlatın:

systemctl restart named

DNS Recursion Özelliğinin Kapalı Olduğu Nasıl Test Edilir?

dig google.com @SUNUCU_IP_ADRESİNİZ

• Status: REFUSED veya Status: SERVFAIL alırsanız, recursion kapalı demektir.
• Status: NOERROR alırsanız, recursion hâlâ açık ve kapatılması gerekiyor demektir.

DNS güvenliğini sağlamak için bu adımları dikkatlice uygulayın ve düzenli olarak test ederek sunucunuzun güvenli olduğundan emin olun.