Recursive DNS Sunucuları, DNS Amplification ve Only Authoritative DNS Yapılandırması

İnternet altyapısında DNS sunucuları büyük önem taşır. Ancak bu sunucuların yapılandırılması eksik ya da hatalı yapılırsa, sistemler kötü niyetli kişilerce saldırı amacıyla kullanılabilir. Bu yazıda, “Recursive DNS” sunucularının oluşturduğu risklerden, DNS Amplification saldırılarından korunma yollarından ve özellikle “Only Authoritative DNS” yapılandırmasının öneminden bahsedeceğiz.

---

🔍 Recursive DNS Sunucuları ve DNS Amplification Nedir?

Recursive DNS sunucuları, kullanıcılardan gelen herhangi bir alan adı sorgusunu kendisi çözümleyip cevap verir. Yani kendi üzerinde tanımlı olmayan alan adları için de dış DNS sunucularına ulaşarak sonuca ulaşır.

Bu yapı, kolaylık sağlasa da ciddi güvenlik açıkları doğurabilir.

🛡️ DNS Amplification Saldırısı

DNS Amplification saldırısı, Recursive DNS sunucuların açık olmasından faydalanılarak yapılan bir DDoS türüdür. Saldırgan, sahte bir IP adresi (genellikle hedefin IP’si) üzerinden Recursive DNS sunucuya büyük bir sorgu gönderir. Sunucu, sorguya çok daha büyük bir yanıt döner ve bu cevap doğrudan hedef IP’ye gider. Bu yöntemle hedefe yönelik büyük miktarda trafik yaratılarak sistemler çökertilebilir.

---

🔒 Only Authoritative DNS Nedir?

“Only authoritative” DNS sunucusu, yalnızca kendi barındırdığı alan adları için sorgulara yanıt verir. Kendi üzerinde tanımlı olmayan domain’ler için sorgulama yapmaz (yani recursive işlemler devre dışıdır). Bu sayede DNS Amplification gibi saldırılara karşı savunmasız olmaz.

Bu yapı, dışa açık DNS sunucular için en güvenli yapılandırmalardan biridir.

---

🧰 Windows ve Linux’ta Only Authoritative DNS Yapılandırması

✅ Linux (BIND) Ayarları

Eğer Linux sunucunuzda BIND (named) servisi kullanıyorsanız, aşağıdaki adımları izleyerek sunucunuzu recursive özelliği kapalı şekilde yalnızca authoritative olarak yapılandırabilirsiniz:

# /etc/named.conf dosyasında:
options {
    recursion no;
    allow-query { any; };
};

• recursion no; ile sunucuya gelen recursive sorgular reddedilir.
• allow-query ile hangi IP’lerin zone sorgusu yapabileceği tanımlanabilir.

✅ Windows Server (DNS Manager)

Windows sunucularda DNS recursive özelliğini kapatmak için şu adımları izleyin:

1. DNS Manager‘ı açın.
2. Sol menüden DNS sunucunuzu seçin.
3. Sağ tıklayın > Properties > Advanced sekmesine geçin.
4. “Disable recursion (also disables forwarders)” kutucuğunu işaretleyin.
5. Uygula > OK.

---

🌐 Özel NS (Name Server) Adresleri Kullananlar Dikkat!

Eğer sunucunuzda:

ns1.domainadresi.com
ns2.domainadresi.com

gibi özel NS adresleri kullanıyorsanız, Only Authoritative ayarı bu sistemleri olumsuz etkilemez.

Bu ayar, yalnızca dışarıdan gelen recursive sorgulara yanıt verilmemesini sağlar. Sunucunuzda barındırılan alan adları için NS ve zone yapılandırmaları doğruysa, alan adlarınız sorunsuz çalışmaya devam eder.

---

🌍 Web Sitelerin Açılması Etkilenir mi?

Kısa cevap: Hayır.
Recursive DNS özelliğinin kapatılması, sitelerinizin yayını veya dışarıdan erişimi açısından herhangi bir olumsuzluk yaratmaz. Çünkü:

• Web sitelerinin yayını web sunucusu (Apache, Nginx, IIS) tarafından yapılır.
• DNS recursive özelliği, sadece dışarıdan gelen sorgular için çözüm yapma özelliğidir.
• Zaten authoritative olarak barındırılan domain’ler için cevap verilmeye devam edilir.

---

✅ Recursive DNS Sorunu Tamamen Çözülür mü?

Evet.
Sunucunuzu yalnızca authoritative olarak yapılandırdığınızda:

• Recursive sorgular engellenir.
• TRNOG gibi kuruluşlardan gelen “recursive DNS sunucunuz var” uyarıları ortadan kalkar.
• Sunucunuz, DNS Amplification saldırılarında bir saldırı aracı olarak kullanılmaz.

---

🔚 Sonuç

Özellikle dışa açık DNS servislerine sahip sistem yöneticileri, recursive DNS özelliğini kapatmalı ve yalnızca authoritative yapılandırma ile çalışmalıdır. Bu yapılandırma:

• Web sitelerin çalışmasını engellemez,
• Özel NS adreslerinizi olumsuz etkilemez,
• Güvenlik açısından kritik öneme sahiptir.