DNS

DNS(Domain Name System), temelde TCP/IP kullanılan ağ ortamlarında isim-IP/IP-isim eşleşmesini sağlar ve e-posta trafiğinin sağlıklı çalışması için altyapı sunar. Günümüzde DNS’ siz bir ağ düşünülemez denilebilir. Her yerel ağda ve tüm internet ağında hiyerarşik bir DNS yapısı vardır. Mesela bir e-postanın hangi adrese gideceğine DNS karar verir. Bir web sayfasına erişilmek istendiğinde o sayfanın nerede olduğuna, nerede tutulacağına yine DNS üzerinden karar verilir. Bir sistemin DNS sunucusunu ele geçirmek o sistemi ele geçirmek gibidir.

DNS Protokol Detayı

DNS Paket Boyutu

DNS paketi denildiğinde akla DNS isteği ve DNS cevabı gelmektedir. Bir DNS istek paketinin ortalama boyutu 40-60 Byte civarında değişmektedir(alt protokol bilgileri dahil). DNS cevabı da yine sorgulanan domain ve kayda göre değişebilir ve 512 Byte’dan küçük olmalıdır.

DNS Kayıt Tipleri ve İşlevleri DNS Kayıt Tipi İşlevi Örnek Sorgulama
A Domain’in IP adresini gösterir. $dig A abc.com
MX Domain’e ait e-postaların adresini gösterir. $dig MX abc.com
NS İlgili domainden sorumlu DNS sunucuyu gösterir. $dig NS abc.com
TXT DNS’e ait çeşitli özellikleri gösterir. $dig TXT abc.com
PTR IP adresine ait domaini gösterir. $dig –x ip_adresi

DNS Sorgu Çeşitleri

Recursive DNS Sorgular

Recursive sorgulama tipinde istemci DNS sunucuya recursive bir sorgu gönderir ve cevap olarak sorgusuna karşılık gelen tam cevabı ya da bir hatayı bekler. DNS sorgulamaları için kullanılan “nslookup” komutu ön tanımlı olarak recursive sorgular gönderir, non-recursive sorgu göndermek için “nslookup” komutu “set norecurse” seçenekleri ile çalıştırılması gerekir. Genellikle son kullanıcı – DNS sunucu arasındaki sorgulamalar Recursive tipte olur.

Iterative DNS Sorgular

Iterative sorgu tipinde, istemci DNS sunucuya sorgu yollar ve ondan verebileceği en iyi cevabı vermesini bekler, yani gelecek cevap ya ben bu sorgunun cevabını bilmiyorum şu DNS sunucuya sor ya da bu sorgunun cevabı şudur şeklindedir. Genellikle DNS sunucular arasındaki sorgulamalar Iterative tipte olur.

Public DNS Sunucular Neden Güvenlik Açısından Risklidir?

Public DNS sunucuların özellikle DNS Flood saldırılarına karşı sıkıntılıdırlar. Saldırgan public DNS sunucuları kullanarak Amplification DNS Flood saldırılarında size ait DNS sunuculardan ciddi oranlarda trafik oluşturarak istediği bir sistemi zor durumda bırakabilir.

NOT: DNS sunucu olarak ISC BIND kullanılıyorsa aşağıdaki tanımla recursive DNS sorgularına yanıt vermesi engellenebilir.

options { allow-recursion { 127.0.0.1; };

Windows komut ortamıyla devre dışı bırakmak için aşağıdaki komutu kullanabilirsiniz.

dnscmd MAIL /Config /NoRecursion 1

MAIL: Server Name

1: Recursion devredışı

0: Recursion aktif

Bunun haricinde sizin belirlediğiniz IP veya networke göre sınırlandırmak isterseniz aşağıdaki gibi bir ACL (Access Control List) yazabilirsiniz,

acl internalnetworks {

    127.0.0.1/32;

    192.168.0.0/24;     };

DNS Sunucu Yazılımları

DNS hizmeti veren çeşitli sunucu yazılımlar bulunmaktadır. ISC Bind, DjbDNS, MaraDNS, Microsoft DNS yazılımları bunlara örnektir. Bu yazılımlar arasında en yoğun kullanıma sahip olanı ISC Bind’dır. İnternetin %80 lik gibi büyük bir kısmı BIND DNS yazılımı kullanmaktadır.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s