dns saldırısı alıyorum önüne gecemiyorum içeri lütfen

13-04-2025, 03:02:56

dns saldırısı alıyorum önüne gecemiyorum nereden vurdukları belli degil 2 çeşit saldırıda alıyorum çözüm yapbilicek biri varmı ?

Son 2 haftadır hizmet aldığımız sunucularda çok fazla d-dos saldırısı yaşanıyor
Lokasyon Yurt dışı
Ayrıca son iki gündür dns servislerinde dnsler'de sorun olmamasına rağmen bazı dns sorgu araçları hatalı bilgiler gösteriyor.
Bazen com.tr alan adlarında'da erişim sorunu yaşanıyor

13-04-2025, 03:20:56

#2

GLPanterShop

Ordu adlı üyeden alıntı: mesajı görüntüle

dns saldırısı alıyorum önüne gecemiyorum nereden vurdukları belli degil 2 çeşit saldırıda alıyorum çözüm yapbilicek biri varmı ?

Son 2 haftadır hizmet aldığımız sunucularda çok fazla d-dos saldırısı yaşanıyor
Lokasyon Yurt dışı
Ayrıca son iki gündür dns servislerinde dnsler'de sorun olmamasına rağmen bazı dns sorgu araçları hatalı bilgiler gösteriyor.
Bazen com.tr alan adlarında'da erişim sorunu yaşanıyor

Cloudflare kurabilirsin

13-04-2025, 03:24:25

#3

ultibil

Sunucuyu & mevcut ip adresini değiştirmeden cloudflare kurmak işe yaramaz. Önce sunucuyu değiştir daha sonra cloudflare kur

13-04-2025, 03:29:15

#4

klasweb

hocam ilk aklıma gelen rate sınırı koyman ve recursion kapatma

ve dns adece yerel ağa acık olmalı
named.conf dosyasında:
recursion no;

aklıma gelen bu bi dene istersen

13-04-2025, 03:32:46

#5

didobay

Sunucu firewall’unda (iptables, UFW, MikroTik, Fortinet vs.) IP bazlı sorgu sınırlaması koyun.

13-04-2025, 03:40:26

#6

baybars008

Şimdi hangi tip de saldırı geldiğini bilmediğim için farklı senaryolarda çözüm önerileri sunacağım.

DNS Tunneling veya Veri Sızdırma Varsa

Suricata, Zeek gibi IDS’lerle DNS trafiğini analiz et.
Anormal uzunlukta hostname’leri, sürekli sorgu atan IP’leri tespit et.
DNS paketlerinde base64 benzeri pattern aramaları yap
anomalin var mı tespit edersin

DNS Cache Poisoning Saldırısı ise:

DNS sunucunda DNSSEC etkinleştir.
Sadece güvenilir upstream DNS sunucularını kullan
üm DNS yazılımların (BIND, Unbound, PowerDNS vs.) güncel olduğundan emin ol

DNS Amplification veya Flood (Volumetrik) Saldırısı ise:

Firewall/IPS/IDPS kullan:
- Örneğin: iptables, ufw, pfSense, FortiGate vs.
- UDP 53 portunu dışardan gelen gereksiz istekleri filtrele.
Rate Limiting Ayarla (iptables ile)
- iptables -A INPUT -p udp --dport 53 -m limit --limit 20/second --limit-burst 40 -j ACCEPT
- iptables -A INPUT -p udp --dport 53 -j DROP
DNS sunucunu recursive sorgulara kapat:
- named.conf dosyanda:
- recursion no;

Genel Önerilerim ise

DNS sunucunu ayrı bir sunucuda tut
Log tutmayı etkinleştir ve analiz et (fail2ban gibi araçlar + SIEM varsa harika olur) - Bu konuda bilgin yoksa yardımcı olurum.
Anycast DNS gibi dağınık yapılara geç (Cloudflare DNS örneği gibi)
- Ama burada çok kritik bir konu var mevcut sunucuda geçersen gene bilgilerin leak olacak yeni sunucuya geçmen gerekli.

13-04-2025, 03:55:03

#7

Ordu

Hocam bu o**nun evladi cloudflare falan deliyor r10dan biri zaten sadece kotası doluyor 2 gün verdim düzelmezse fişini kendim cekegım zaten o süreçte yardımlarınıza ihtyiacim var bu saatten sonra zaten siteme gelen her saldırıda o sorumlu

13-04-2025, 03:59:31

#8

ultibil

Ordu adlı üyeden alıntı: mesajı görüntüle

Hocam bu o**nun evladi cloudflare falan deliyor r10dan biri zaten sadece kotası doluyor 2 gün verdim düzelmezse fişini kendim cekegım zaten o süreçte yardımlarınıza ihtyiacim var bu saatten sonra zaten siteme gelen her saldırıda o sorumlu

Cloudflare delemezler hocam, Sitenizin cloudflare bağlamadan önceki ip adresini buluyorlar, ordan doğrudan saldırıyı yapıyorlar. O yüzden sunucunuzu değiştirin. Yeni ip adresine bağlayın cloudflareyi hızlıca bağlayın saldırı kesilir

13-04-2025, 04:23:55

#9

veyselislm

önce sunucu değişimi sonra cloudflare kurulumu