İlgili Makaleler
Araştırmacı Dan Kaminsky, 2008 yılında internet tarihindeki en önemli güvenlik açıklarından birini ortaya çıkardı. DNS sunucularını yanlış yönlendirebilen ve bilinen bir web sitesini saldırganın belirttiği IP adresine yeniden yönlendirebilen bu sorun, DNS Önbellek Zehirlenmesi olarak bilinir. DNS sunucuları, en basit ifadeyle, kullanıcının tarayıcısına girilen internet adresini bir IP adresi ile ilişkilendirmek için kullanılır. Bunu güvenli protokoller üzerinden yapan DNS sunucuları, böylece girilen adresin ortada kalmamasını sağlar. Bu sistem, e-posta gibi diğer birçok alanda kullanılmaktadır. DNS sunucuları ilişkili IP adresini önbelleğinde depolar ve isteğe hızlı bir şekilde yanıt verir. Aksi takdirde bu kez onaylanan sunucuları indeksleyerek IP adresini analiz eder ve ilişkilendirir. Daha sonra önbelleğe alır. DNS sunucuları bu yöntemde şifre kullanmadığı için yetkisiz bir işlem söz konusudur. Sunucu, IP adresini bulmak için kullanıcı veri bloğu protokollerini içeren paketleri gönderir. Bu tek yönlü UDP iletişiminde zehirlenme hareketleri de yaşanmaktadır. DNS yöntemini geliştirirken, mühendisler her bir talebi 16 bitlik kimliklerle eşleştirdiler ve böylece sertifikalı sunucular bu kimliğe göre işlendi. Kaminsky'nin yöntemi, sunuculara sürekli istekler göndererek bu kimliği yakalamaya çalışıyordu. Kullanıcıların farkında olmadan aynı adrese sahip saldırganlar tarafından oluşturulan sahte bir siteye yönlendirilmeleri, örneğin bir bankanın resmi sitesini varsayarak, büyük riskler getirdi. Bu açığın ardından çok sayıda sektör bir araya gelerek DNS yönlendirme sorununu çözecek bir çözüm buldu.
Bu çözümde sabit 53. bağlantı noktası yerine her kimliğe rastgele bir bağlantı noktası eklenmiş ve böylece milyarlarca olasılığın matematiksel olarak çözülmesi imkansız hale gelmiştir. Bununla birlikte, Çinli ve ABD'li araştırmacılar, bu yöntemi yanıltabilecek bir güvenlik açığı buldular. Yeni yöntemde sunucuların kontrol mesajı protokolü hedeflenmektedir. Normalde, sunucular bant genişliğini verimli kullanmak için saniyede belirli sayıda isteğe yanıt verir. Bu sayı, Linux platformunda saniyede 1000 ile sınırlıdır. Saldırgan, her seferinde farklı bağlantı noktalarından sunucunun saniyede 1000 sınırını doldurmaya çalışır. Yanlış bağlantı noktasından talep, limiti bir düşürür. Tüm portlar kapatılırsa ikinci limit tamamen dolar. Saldırgan, sürekli istek göndererek açık bağlantı noktasını bulmaya çalışıyor.
SAD DNS olarak adlandırılan bu yeni yöntem, Cloudflare'ye göre Kaminsky'nin yönteminden sonra bulunan en etkili yöntemlerden biridir. Ancak, Linux geliştiricileri talep sınırını saniyede 500-2000 arasında rastgele bir şekilde optimize ettiler. SAD DNS yönteminin bu şekilde bloke edilebileceği belirtiliyor. Cloudflare ayrıca DNS sunucusunu duruma bağlı olarak TCP'ye dönecek şekilde ayarladı. Bu etkili bir koruma yarattı. SAD DNS ile ilgili çalışmalar devam etmektedir.