DNS Amplification Fırtınası — Port 53'e 3.9 Milyon Saldırı
Honeypot ağımızda 5 günde 3.9 milyon DNS amplification probe tespit edildi. Toplam trafiğin %82'si tek bir porta yoğunlaşıyor. GoDaddy, Vietnam ve İngiliz VPS altyapısı kaynaklı devasa reflektör avcılığı kampanyası.
TL;DR
5–9 Nisan 2026 arasında honeypot ağımıza gelen 4.78 milyon event’in 3.91 milyonu (%82) port 53 UDP’ye düştü. Bu oran beş gün boyunca sabit kaldı: rastgele arka plan gürültüsü değil, tek bir amaçla yürütülen bir reflektör avcılığı kampanyası. Üç ana kaynak küme öne çıktı: GoDaddy VPS (742K hit), INTERDIGI Vietnam (708K), WHG Hosting UK (375K). Suricata ET DOS DNS Amplification Attack Inbound imzası 2.468 kez tetiklendi. 8 Nisan’daki zirve, 5 Nisan seviyesinin 30 katıydı.
DNS Amplification Nedir?
DNS amplification, UDP protokolünün kaynak IP doğrulaması yapmamasını ve DNS yanıtlarının sorgulardan çok daha büyük olmasını birlikte sömürür. Saldırgan, kurbanın IP’sini kaynak adres olarak sahteleyerek (spoof) açık recursive DNS sunucularına ANY veya TXT sorgusu gönderir. DNS sunucu, küçük sorguya (60–100 bayt) yanıt olarak 3.000–4.000 bayta kadar ulaşabilen bir paket döndürür. Bu amplifikasyon faktörü 50–100× arasındadır: 1 Gbps giriş trafiği 50–100 Gbps DDoS çıkışına dönüşür.
Saldırının çalışması için iki koşul gerekir: dışarıdan recursive sorgu kabul eden bir DNS sunucu ve kaynak IP spoof’una izin veren bir ağ (BCP38 uygulanmamış ISP). Honeypot’lar bu zincirin ilk halkasında, yani reflektör adayı keşif aşamasında devreye girer.
Honeypot sistemlerimiz DNS sunucu değil; recursive sorgu yanıtlamıyor. Ancak port 53 açık göründüğü için otomatik tarayıcıların hedef listesine girdi. Her gelen probe "bu IP reflektör olarak kullanılabilir mi?" sorusunu test ediyor. Yanıt alamayan saldırgan IP'yi listeden düşürüyor; biz ise kaynak ve zamanlama verisini kayıt altına alıyoruz.
Kampanya Zaman Çizelgesi
| Tarih | Port 53 Event | Toplam Event | Port 53 Oranı |
|---|---|---|---|
| 5 Nisan 2026 | ~58.000 | 70.928 | %82 |
| 6 Nisan 2026 | ~364.000 | 443.426 | %82 |
| 7 Nisan 2026 | ~1.052.000 | 1.283.086 | %82 |
| 8 Nisan 2026 | ~1.750.000 | 2.133.808 | %82 |
| 9 Nisan 2026 | ~696.000 | 848.846 | %82 |
| Toplam | ~3.920.000 | 4.780.094 | %82 |
Port 53’ün toplam trafiğe oranı beş gün boyunca %82’de sabit kaldı. Bu sabitlik önemli bir sinyaldir: eğer organik arka plan taraması olsaydı oran günden güne dalgalanırdı. Sabit oran, kampanyanın tüm trafiği domine ettiğini ve diğer port taramalarının bu DNS operasyonuna paralel yürütülen ikincil görevler olduğunu gösteriyor.
6 Nisan’da hacim bir önceki güne göre 6× arttı. 7 Nisan’da yeniden 3× arttı. 8 Nisan zirveye ulaştı. 9 Nisan’da düşüş başladı ancak seviye hâlâ 5 Nisan’ın 12 katı üzerindeydi — kampanya bitmedi, yavaşladı.
5 Nisan'dan 8 Nisan'a port 53 trafiği 30 kat arttı. Organik botnet keşfi bu hızda büyümez. Bir operatörün IP bloğumuzu mevcut bir hedef listesine eklediğini ve botnet worker sayısını bu blok için artırdığını gösteriyor. 6 Nisan'daki ani sıçrama, listenin o gün dağıtıldığına işaret ediyor.
Kaynak Profilleri — Üç Büyük Küme
Küme 1: GoDaddy VPS — 742.109 Hit
107.180.114.199 — GoDaddy.com, LLC (AS26496, ABD). Tek bir IP’den 5 günde 742K probe; saatte yaklaşık 6.200 istek. Bu trafik hacmi manuel değil, tam otomasyonla yürütülen bir tarama aracını gösteriyor. GoDaddy $5/ay VPS fiyatlandırmasıyla botnet operatörleri için düşük maliyetli altyapı sunar. Şirketin abuse yanıt süresi sektörde yavaş olarak bilinir; bu IP muhtemelen raporlanmış ancak henüz askıya alınmamış.
Düşük maliyetli VPS + yavaş abuse yanıtı, botnet operatörleri için tercih edilen kombinasyon. GoDaddy kaynaklı port 53 probing bu hafta gözlemlediğimiz ilk vaka değil. Önceki raporlama dönemlerinde de AS26496 kaynaklı tarama aktivitesi kaydedildi.
Küme 2: INTERDIGI Vietnam — 708.272 Hit
36.50.177.198 — INTERDIGI JOINT STOCK COMPANY (Vietnam). FPT Telecom (42.119.236.237, 335K) ile birlikte Vietnam kaynaklı traffic bu haftanın ülke sıralamasında birinci. Tek bir ASN’den 700K+ hit iki senaryoya işaret eder: ya ISP ağında yayılmış enfeksiyon (müşteri cihazları zombileştirilmiş), ya da ISP’nin abuse raporlarına müdahalesiz kaldığı VPS altyapısı. INTERDIGI ölçeği ikinci senaryoyu daha olası kılıyor.
Küme 3: WHG Hosting UK — 375.484 Hit
209.42.22.207 — WHG Hosting Services Ltd. (İngiltere). 5 günde 375K probe; günlük 75K. İngiliz barındırma sağlayıcısından bu hacim, müşteri sunucusunda çalışan bir DNS tarama aracına işaret ediyor. Hosting hesabı yasal içerik barındırıyor görünse de arka planda port 53 taraması yürütüyor olabilir (compromised server senaryosu).
Diğer Önemli Kaynaklar
| ASN / Sağlayıcı | Ülke | Hit | Not |
|---|---|---|---|
| Hostinger | ID/LT | 252.000 | Çoklu IP, ucuz VPS |
| Contabo GmbH | DE/FR | 194.000 | Bilinen abuse kaynağı |
| PT Aplikanusa Lintasarta | ID | 177.000 | ISP müşteri enfeksiyonu |
| Neue Medien Muennich (all-inkl.com) | DE | 174.000 | Paylaşımlı hosting |
| Virtuaal.com OU | EE | 244.000 | Estonya VPS |
| Chinanet | CN | 193.000 | Devlet altyapısı |
Suricata İmza Analizi
Suricata IDS bu kampanya süresince aşağıdaki imzaları tetikledi:
| İmza | Tetiklenme | Anlam |
|---|---|---|
| ET DOS DNS Amplification Attack Inbound | 2.468 | Doğrudan amplification pattern tespiti |
| SURICATA Ethertype unknown | 121.523 | Anomali / malformed paket |
| GPL ICMP PING | 33.493 | Hedef canlı mı kontrolü |
| ET SCAN Potential SSH Scan | 8.241 | Paralel SSH taraması |
| ET DROP Spamhaus DROP Listed | 4.102 | Bilinen kötü IP |
SURICATA Ethertype unknown sayısının yüksekliği dikkat çekici. DNS probe botları zaman zaman malformed Ethernet frame gönderiyor — kasıtlı (IDS kaçınma) veya botnet yazılımının bug’ı nedeniyle. Suricata bu paketleri Ethertype tanımsız olarak işaretliyor ve ayrı bir imza altında sayıyor. 121K anomali paketin DNS kampanyasıyla örtüşen zamanlama grafiği ikisi arasındaki ilişkiyi doğruluyor.
GPL ICMP PING 33K tespiti ayrı bir operasyonel mantık ortaya koyuyor: DNS probe göndermeden önce hedefin ayakta olup olmadığını ICMP ile doğrula, yanıt gelmeyenleri listeden çıkar. Bu iki aşamalı yaklaşım, botnet operatörünün bant genişliğini verimli kullandığını gösteriyor.
Port 53 ile Birlikte Taranan Portlar
DNS probe’ları gönderen kaynak IP’lerin aynı zaman diliminde hedeflediği diğer portlar:
| Port | Protokol | Amaç |
|---|---|---|
| 1080 | TCP/SOCKS | Reflektör trafiğini proxy üzerinden yönlendirme |
| 5900 | TCP/VNC | Uzak masaüstü — yönetim erişimi |
| 8080 | TCP/HTTP-alt | Web hizmetleri, açık proxy keşfi |
| 22 | TCP/SSH | Kimlik bilgisi brute-force |
| 3389 | TCP/RDP | Windows uzak masaüstü |
Port 1080 (SOCKS proxy) ve port 53’ün aynı kaynaklar tarafından eş zamanlı taranması özellikle önemli. Bu kombinasyon, saldırganın reflektör tespitinin ötesinde, trafiği anonim proxy zinciri üzerinden yönlendirmeye hazırlık yaptığını gösteriyor. Kampanya salt DDoS hazırlığı değil, daha geniş bir altyapı keşif operasyonunun DNS bileşeni.
Savunma Önerileri
Recursive sorguları dışarıya kapatın. BIND için: allow-recursion { localhost; 10.0.0.0/8; 192.168.0.0/16; };. Response Rate Limiting (RRL) aktif edin: rate-limit { responses-per-second 10; };. Sadece iç ağa hizmet veren resolver'ları dışarıdan erişilemez yapın.
BCP38 (RFC 2827) ingress filtering uygulayın. Müşteri ağından çıkan paketlerin kaynak IP'si o müşteriye ait olmayan bir adresi gösteriyorsa ağ girişinde düşürün. DNS amplification'ın temel çözümü spoof'a izin vermeyen ağ mimarisidir. uRPF (Unicast Reverse Path Forwarding) bu amaçla kullanılabilir.
Port 53 UDP outbound trafiğini izleyin. İç ağdaki bir cihaz normalden yüksek hacimde port 53 trafiği üretiyorsa, o cihaz reflektör olarak kullanılıyor ya da DNS tabanlı C2 kanalı çalıştırıyor olabilir. Baseline'dan 3× sapma için uyarı tanımlayın.
İç DNS sunucuları yalnızca iç ağdan erişilebilir olmalı. Dışarıya açık port 53 gerektiren bir senaryo yoksa UDP 53 inbound'u varsayılan olarak engelleyin. Anycast DNS sağlayıcısı (Cloudflare, Google) kullanıyorsanız kendi sunucunuzda dinleyen servis olmadığından emin olun.
IoC Listesi — Top 10 DNS Amplification Kaynağı
| IP Adresi | Hit | ASN / Sağlayıcı | Ülke |
|---|---|---|---|
| 107.180.114.199 | 742.109 | GoDaddy (AS26496) | 🇺🇸 ABD |
| 36.50.177.198 | 707.949 | INTERDIGI | 🇻🇳 Vietnam |
| 209.42.22.207 | 375.484 | WHG Hosting | 🇬🇧 İngiltere |
| 42.119.236.237 | 335.516 | FPT Telecom | 🇻🇳 Vietnam |
| 185.169.68.28 | 243.884 | Virtuaal.com OU | 🇪🇪 Estonya |
| 109.199.98.14 | 192.824 | Contabo GmbH | 🇫🇷 Fransa |
| 202.97.110.66 | 192.649 | Chinanet | 🇨🇳 Çin |
| 192.185.56.220 | 185.935 | Oracle Cloud | 🇺🇸 ABD |
| 85.13.152.133 | 174.356 | Neue Medien Muennich | 🇩🇪 Almanya |
| 93.127.208.126 | 152.403 | Hostinger | 🇮🇩 Endonezya |
Metodoloji ve OPSEC Notu
Bu rapordaki veriler Tellal honeypot sensör ağından toplanmıştır. Sensör konumları ve tam IP aralıkları kamuya açıklanmıyor — OPSEC gereği. Yayınlanan IoC’ler gerçek saldırı kaynaklarına ait; honeypot altyapısını ifşa eden hiçbir bilgi dahil edilmedi.
Suricata imza tetiklenme sayıları raw event sayısıyla değil imza başına deduplicated alert sayısıyla verilmiştir. Hit sayıları sensör başına event toplamıdır; bir IP birden fazla sensöre probe gönderdiyse her sensörün sayısı ayrı işlendi.
Veri işleme pipeline’ı: Elasticsearch → Python OPSEC filtresi → aggregation → bu rapor.
Lisans: CC BY 4.0 — Atıf yapılarak serbestçe kullanılabilir.
SiberKale Tellal — Threat Intelligence Feed · tellal.net