Bir üreticinin DNS engellemesini önleme yöntemi
Categories:
Son zamanlarda, DNS genel hizmetlerinde IP’nin anormal erişim davranışları olduğu fark edildi, saniyede onlarca kez aynı alan adını tekrar tekrar sorguladı ve DNS protokolünü tamamen ihlal etti, küresel yaşam süresi (TTL) değerine aldırmadı.
Başlangıçta bu IP’nin saldırgan olduğunu düşündüm, ancak trafik gözlemlendikten sonra, bu IP’nin çoğunlukla bir üreticinin uygulamasının DNS’ye çılgınca sorgu yaptığı ortaya çıktı. Arka uçta ayarlanan TTL=10, alınan DNS sorgu yanıtının yaşam süresinin 10 saniye olduğu anlamına gelir, bu 10 saniye içinde sorgulayanların bu dönüş değerini kullanması gerekir, DNS sunucusuna tekrar sorgu göndermemelidir. Ancak bu uygulama saniyede onlarca aynı istek gönderiyor, bu da bu uygulamanın DNS protokolüne uygun olarak TTL değerini doğru şekilde işlemediğini gösteriyor. Arka uç engellemelerindeki istatistiklerde, sorguların %90’ından fazlası bu alan adı sorguları.
Muhtemelen bu üretici DNS engelleme yöntemlerinin farkındadır ve bana erişime izin vermezsen, DNS sunucunuza doğrudan DoS saldırısı yapmam için kullanıcı uygulamasını gönderirim şeklinde bir yaklaşım benimsemiştir. Arka uç aynı zamanda saniyede sadece 20 ani isteğe izin verildiğini ayarladığı için, bu aceleci davranış aynı zamanda kullanıcının diğer normal DNS sorgularını etkileyebilir ve diğer uygulamaların normal kullanımını etkileyebilir.
Böylece tek IP’nin aynı alan adı için çılgınca sorgu göndermesi davranışını gören operatörler, izin vermek istemeseler de izin vermek zorunda kalır.