DNS ERİŞİLEBİLİRLİK DURUMU RAPORU BÖLÜM 1 SAYI 1 NİSAN 2011 WEB SİTELER VE DİĞER ÇEVRİMİÇİ HİZMETLER, HER ÖLÇEKTEN İŞLETME VE ENDÜSTRİ İÇİN EN ÖNEMLİ OPERASYONEL VE GELİR GETİREN ARAÇLAR ARASINDADIR. BUNA BAĞLI OLARAK AĞ PERFORMANSININ ODAĞI ŞİMDİKİ KADAR ÖNEMLİ OLMAMIŞTIR. ANCAK GÜVENİLİR BİR İNTERNET ALTYAPISININ EN ÖNEMLİ ÖĞELERİNDEN BİRİ OLAN ALAN ADI SİSTEMİ (DNS), PERFORMANS TAKİBİ KONUSUNDA GENELLİKLE GÖZ ARDI EDİLEN BİR KONU OLMAKTADIR. AĞ İSTİHBARATI VE KULLANILABİLİRLİĞİ ALANINDA ÖNDE GELEN BİR KONUMA SAHİP OLAN VERISIGN, BU RAPORU İNTERNETTE DNS ERİŞİLEBİLİRLİĞİ VE AKSAMA SÜRELERİNİN OLASI ETKİLERİNİN KAPSAMININ ANLAŞILMASI VE BELİRLENMESİ AMACIYLA SUNMAKTADIR. VerisignInc.com
DNS ERİŞİLEBİLİRLİK DURUMU RAPORU İDARİ ÖZET Yakın zamanda Verisign tarafından yürütülmüş olan bir piyasa araştırması i, yanıtlayıcıların %60 ının şirket gelirlerinin en az çeyreğinin Web siteleri üzerinden direkt olarak elde edildiği yönünde cevap verdiğini ortaya koymuştur. Bu sayı, gelir ediniminde ve piyasa mevcudiyetinde Web sitelerine daha ağırlıklı olarak bağımlı olan küçük ve orta ölçekli işletmeler için daha da yüksekti. Bir işletmenin işlerini sorunsuzca yürütmesi için, ağının da sorunsuz işlemesi gerekir, ağının sorunsuz çalışması için ise DNS inin her zaman erişilebilir olması gerekir. Yankee Group Analisti ve Başkan Yardımcısı Jennifer Pigg e göre ii, Kurumlar ana veya birincil gelir akışı olarak gitgide e-ticarete yoğunlaşmaya başlıyorlar ve müşteri hizmetleri, satış ve destek gibi şirket için hayati önem taşıyan konularda haricî ağlarını kullanıyorlar. DNS lerinin çökmesi veya güvenlik ihlali gibi bir şeyin faturasını ödeyemeyeceklerinin farkına varıyorlar. Verisign DNS Erişilebilirlik Durumu Raporu nun ilk sayısında, 2011 yılının ilk çeyreğinde DNS erişilebilirliğinin zirvedeki e-ticaret siteleri için bile ne kadar önemli bir sorun olduğunu görüyoruz. Küresel website örneklerinin incelemesi, erişilebilirlik sorunları ortaya çıktığında kendi DNS lerini barındıran sitelerin (günümüzdeki pek çok işletmede olduğu gibi), üçüncü taraf DNS sağlayıcıları kullananlardan daha fazla etkilendiğini, özellikle de minimum erişilebilirliği incelerken görmüş olduk. Bu rapor, DNS erişilebilirlik sorunlarının kapsamını inceleyip belirlemekte ve aksama sürelerinin gelir edinimi, iş sürekliliği, müşteri bağlılığı vb. hususlara ilişkin risklerini ve etkilerini örneklemektedir. DNS: YEGÂNE HATA NOKTASI Bir etki alanı adı, İnternetteki her şeyin anahtarıdır: bir Web site kurmaktan e-posta alıp göndermeye ve bir çevrimiçi mağaza kurmaya kadar. Bugün 200 milyondan fazla kayıtlı etki alanı adı bulunmaktadır.iii Bu etki alanlarını destekleyen DNS, İnterneti dünyanın her yerinden kullanıcılar için kolay ve erişilebilir kılan bir motordur. DNS, etki alanı adlarını İnternet Protokolü (IP) adreslerine atayarak Web sitelerin, e-postaların ve Web sistemlerinin erişilebilirliğini sağlar. İnternetteki her bir sunucunun, 123.45.67.254 (IPv4) veya 2001:503:A83:0:0:2:30 (IPv6) gibi bir seri sayı ve harften oluşan bir IP adresi bulunur. Fakat aynı telefon numaraları gibi bu uzun sayı ve harf serilerini hatırlamak zor olabilir. DNS, insanların Web sitelere girmek ve e-posta iletileri yazmak için uzun sayı ve harf serileri yerine isimleri - veya markaları - bir tarayıcıya yazmalarına olanak tanır. Web sitelerin kullanıcılara ve İnternet üzerinden işlem yapan müşterilere bir ön kapı sunmasını sağlar. Tüm süreç saniyenin onda birinde gerçekleşir ve son kullanıcı için tamamen şeffaftır. Ancak bir DNS arızası esnasında ziyaretçiler tipik olarak bir hata mesajı alır ve Web siteye erişemezler. Bu aksama süresi de ziyaretçilerin rahatsızlık duymasına ve başka bir siteye geçmesine neden olur, bu durum müşteri bağlılığı ve marka namı açısından olumsuzluk doğurur, satış ve çalışan üretkenliğinde de hızlı ve kalıcı etkiler bırakır. Ek olarak, Web hizmetleri nin büyümesiyle, gitgide daha fazla sayıda Web site, örneği sosyal medya siteleri ve/veya satış portalları ilave işlevsellik ve içerik için, üçüncü taraf Web hizmeti sağlayıcılarına güvenir olmuştur. DNS bu üçüncü taraf sitelerde çalışmıyorsa, işletme operasyonları açısından kalıcı kayıplar ortaya çıkabilir. i Verisign Whitepaper. Distributed Denial of Service: Finally Getting The Attention It Deserves. May 2011. ii Yankee Group. DNS: Risk, Reward and Managed Services. Feb. 2011. 2
Gartner Analisti Lydia Leong Ağ üzerinden verilen hizmetler neredeyse tüm işletmeler için çok kritik bir öneme sahip hale gelmiştir, işletmeler İnternet üzerindeki mevcudiyetlerinin ancak erişilebilir ve güvenli DNS altyapısıyla mümkün olduğunu çoğu zaman unutuyorlar diyor. iv ARAŞTIRMAYA GENEL BAKIŞ Metodoloji Bir ağ analiz ve planlama çözümleri sağlayıcısı olan ThousandEyes, farklı etki alanı adlarından oluşan bir grubu DNS erişilebilirliği açısından incelemiştir (Alexa sıralamasında ilk 1000 de olan siteler). Firma müseccel bir model kullanmak suretiyle her bir siteyi 2011 yılının Ocak, Şubat ve Mart aylarının son yedi günü içerisinde saat başı gözlemlemiştir. DNS çözümlemesinde uygun standartlara sahip olup olmadıkları ve herhangi bir bilinen anormal veya güvenilmez davranış gösterip göstermedikleri konusunda DNS çözücülerin her biri üzerinde kapsamlı testler yapılmıştır. 1000 Alexa sitesi içerisinden sekiz tanesi testler esnasında çalışmamaya başladığı için araştırmadan çıkarılmıştır ve bu yüzden veri toplamak için 992 site kalmıştır. Bu 992 site içerisinden 142 sine (%14) tanınmış DNS sağlayıcılar hizmet sunuyordu, öte yandan 47 siteye de (%5) tanınmış CDN sağlayıcılar hizmet sunuyordu. Çözücüden aşağıdaki bilindik DNS hata kodlarından biri alındığında DNS erişim dışı kabul edilmiştir: Servfail, Nxdomain, No Mapping, veya Truncated. Veri analizi, örnek etki alanlarının iki kategoriye ayrılarak sınıflandırılmasıyla gerçekleştirilmiştir: 1) Kendi DNS lerini kullananlar ve 2) Üçüncü taraf DNS hosting sağlayıcılarını kullananlar. Her bir grupta yer alan etki alanları için ortalama, minimum ve maksimum erişilebilirlik hesaplanmıştır. Pek çok hareketli parçası olduğu için DNS üzerinde performans testi yapmanın zor olduğu unutulmamalıdır. Sonuçlar, sunucunun önbelleğe alınmış girişi olup olmadığı, bir bireyin DNS sunucusundan ne kadar uzakta olduğu ve DNS sunucusunun diğer sunuculardan ne kadar uzakta olduğu gibi hususlara göre değişebilir. Bu gibi hususların en aza indirgenmesi amacıyla düzenli aralıklarla sürekli test etme ve veri toplama gerçekleştirilmiştir. Sonuçlar Dâhilî olarak yönetilen DNS i olan Web siteler için ortalama etki alanı erişilebilirliği ve süresi üçüncü taraflarca yönetilen DNS i olanlara oldukça yakın olsa da, tüm aksama sürelerinin işletmenin gelirlerinde gerçek ve kalıcı etkileri olabilir. Bu nispeten ufak farklılığın olası etkileri bir sonraki bölümde gösterilmiştir. Ancak minimum erişilebilirlik incelenirken belirgin bir aykırılık gözlemlenmiştir (Şekil 1). Bu ölçekte kendi DNS ini kullanan siteler, yönetilen DNS hizmeti kullanan sitelere oranla daha kötü etkilenmiştir. Bunun daha ayrıntılı şekilde incelenebilmesi amacıyla dâhilî olarak yönetilen DNS i olan siteler (Şekil 2) ile haricî olarak yönetilen sitelerin minimum erişilebilirlik dağıtımı ayrı şekilde yerleştirilmiştir (Şekil 3). Şekil 1: Minimum DNS Erişilebilirlik Karşılaştırması Minimum Erişilebilirlik (etki alanları ort.) Maksimum Erişilebilirlik (etki alanları ort.) Erişilebilirlik (etki alanları ve süre ort.) Dâhilî Olarak Yönetilen DNS Üçüncü Tarafta Barındırılan DNS Küresel ABD Küresel ABD 90.13 89.17 98.04 97.71 99.98 99.99 99.99 100 99.7 99.85 99.85 99.94 3
Şekil 2: Kendi DNS ini Barındıran Sitelerin Minimum DNS Erişilebilirliği Min. Erişilebilirlik (%0-100) 120 100 80 60 40 20 0 1 101 201 301 401 501 601 701 801 Etki Alanı Adı Kimliği Şekil 3: Üçüncü Taraf DNS Sağlayıcısı Kullanan Sitelerin Minimum DNS Erişilebilirliği Min. Erişilebilirlik (%0-100) 120 100 80 60 40 20 0 1 21 41 61 81 101 121 141 Etki Alanı Adı Kimliği Yukarıdaki iki şekil gösteriyor ki, kendi DNS lerini kendileri sunan sitelerin DNS erişilebilirliği sıfıra kadar düşebilmekte, lâkin üçüncü taraf DNS sağlayıcı kullananların erişilebilirliği hiçbir zaman %50 nin altına düşmemektedir. Bu genel olarak üçüncü taraf DNS sağlayıcıların her noktaya yayın yapan bir çözümleme servisi kullanıyor olmalarına atfedilebilir, ki bunun sebebi de DNS sorgularına cevap verebilecek bir sunucunun her an mevcut oluşudur. Bu durumda, her noktaya yayın yapan bazı fiziksel birimler arızalansa veya erişilemez hale gelse bile son kullanıcı bundan fazla etkilenmez. Bir sağlayıcı, her noktaya yayın ve tek noktaya yayın çözümlemesinin karma bir modelini kullanmaktadır, böylelikle de DNS sorguları ve yanıtlayıcıları için optimal bir performans ve güvenilirlik kombinasyonu sağlamaktadır. Bu denli fazla uyumsuzluk olmasının sebebi, çoğu şirketin kurum içinden yönetilen DNS leri için böylesi kapsamlı sistemler kuracak kaynak ve uzmanlığının olmaması olabilir. TÜM BUNLAR NE ANLAMA GELİYOR? Pazarlama, müşteri hizmetleri, gelir elde etme ve diğer pek çok konunun çevrimiçi mevcudiyete giderek daha fazla bağımlı olmasıyla, tüm aksama süreleri, miktarları fark etmeksizin şirketlerin bilançolarında önemli ve kalıcı zararlar oluşturmaktadırlar. Aşağıdaki örnek, görünürde ufak olan bir aksama süresinin bir işletme için ne demek olduğuna dair bir tablo oluşturması adına toplanan verileri kullanmaktadır. İncelenen tüm İnternet siteleri için 24 saatlik dilimde eşit dağılımlı bir akış olduğu düşünülerek yapılan bu çalışmada toplanan ortalama, minimum ve maksimum erişilebilirlik verileri aşağıdaki gibidir. Örnek: Mega Online Advertising Mega Online Advertising şirketi 2011 in ilk çeyreğinde 796 milyon $ reklam geliri elde etmiştir. Bu dilim 90 günden oluşmaktadır, bu da günde 8.84 milyon $ veya saniyede 100 $ lık ortalama reklam gelirine tekabül etmektedir. Bir saatlik DNS kesintisi yaklaşık olarak 368.519 $ a mal olmaktadır. Bu çalışmada belirlenen ve kurum içi yönetilen küresel etki alanı adlarının ortalama DNS erişilebilirliği olan %99,70 lik çalışma zamanı, günde 26.534 $ lık veya üç aylık dilimde 2.388.033 $ lık bir kayba yol açmaktadır. Bu çalışmanın ortalama erişilebilirlik verilerine göre, bu kayıp, yönetilen DNS hizmeti kullanılsaydı oluşacak harcamanın 4
neredeyse iki katıdır (99,85 $). Bu sonuçlara göre, Mega Online Advertising in, arıza süresi riskini en aza indirmek adına, erişilebilirlik başarısı yüksek olan bir DNS servis sağlayıcı belirlemeyi düşünmesi ihtiyatlı bir hareket olurdu. Bu örnek son derece basitleştirilmiş ve hayali bir şirkete dair olsa da, zararları hesaplamada kullanılan sayılar, konu edilen endüstrideki tamamiyle gerçek şirketler için de geçerli olabilirler. Araştırmaya dâhil edilen kurum içi yönetilen DNS li şirketlerin çoğunun bu çalışma süresince çeşitli zaman aralıklarında tam kesinti yaşamış oldukları düşünüldüğünde; gelir kaybı, müşteri memnuniyetsizliği ve üretkenlik kaybının yaratacağı zararların birikerek, işletme faaliyetlerinde İnternet sitelerine ve ağ bulunurluklarına bağımlı olan şirketler için korkutucu boyutlara geleceği kolayca görülebiliyor. En hafif şekliyle düşünsek bile, bunlar, gerçekleşmeyi bekleyen, ancak düzgün planlama ve destekle kaçınılabilecek halkla ilişkiler kâbuslarıdır. SONUÇ Şirketlerin DNS gereksinimlerini nasıl idare edeceklerine dair üç seçenekleri vardır: Her şeyi kurum içinden yapmak Kendi İnternet Servis Sağlayıcılarına (İSS) güvenmek Bir yönetilen DNS servis sağlayıcısıyla ortak olmak Yankee Group a göre işletmelerin çoğu DNS gereksinimlerini kurum içinden veya İSS lerinden yönetiyorlar.v Aslında çoğu ikisini birden kullanıyor; bunu da kurum içi ağlarının DNS yönetimini kurum içinden; müşteriler, iş ortakları, İnternet siteleri, şirket portalları ve e-ticaret sitelerinden oluşan İnternet tabanlı ekosistemlerinin yönetimini ise İSS leri üzerinden gerçekleştirerek yapıyorlar. Bu, bu çalışmada yer alan ve örneklerin neredeyse dörtte üçünün kendi DNS lerini yönettiğini gösteren verilerle desteklenmiştir. Yine de, Yankee Group, kurum içi yönetilen DNS kullanan şirketlerin %85 ten fazlasının yalnızca bu işle ilgilenen bir ekiplerinin olmadığını; bu şirketlerin, DNS lerini, kısıtlı uzmanlık ve yalnızca birkaçı tanımlanmış işletimsel süreçlere dayandırılan amaca yönelik bir şekilde yönettiklerini ifade etmiştir. Dahası firma, DNS yönetiminin bir İSS nin ana görevi olmamasından mütevellit, DNS lerini kendi İSS lerinin yönetimine bırakanların DNS performanslarının sekteye uğramasının büyük olasılık olduğunu ifade ediyor. Bu çalışma için toplanan veriler, kurum içinden ve dıştan yönetilen DNS li İnternet sitelerinin DNS erişilebilirlikleri arasındaki belirgin uyumsuzlukları ortaya koymak suretiyle bu önermeyi desteklemektedir. VeriSign Ağ İstihbaratı ve Kullanılabilirliği kolu kıdemli başkan yardımcısı Ben Petro, Bulut bilişim, mobil iş gücü ve aygıt çoğalması gibi akımlar, BT altyapısı ve DNS yönetimine fazladan yük bindiriyorlar diyor. Bu sebeple, çoğu şirketin sistemlerini yüksek erişilebilirlikte tutma konusunda sıkıntı yaşadığını söylüyor. Şirketler uygulamalar, depolama ve hizmetler için daha bulut tabanlı yollara yöneldikçe, DNS yönetimi giderek daha karmaşık bir hal alıyor ve yeni güvenlik konuları ve sorunları için ortam hazırlanmış oluyor. Yönetilen DNS servis sağlayıcıları, çoğu durumda işletmelerin kendi başlarına kotaramayacağı düzeyde ağ güvenliği sağlayacak, erişilebilirliği arttıracak ve performansı iyileştirecek araç ve imkânlara sahiptirler. Şirketler, DNS kaynaklarının masraf ve erişilebilirliğini göz önünde bulundurarak, DNS sistemleri üzerinde sahip olmak istedikleri kontrol seviyesini dengelemelidirler. Kapsamlı DNS yönetimi; dikkatli planlama, ileri uzmanlık ve büyük miktarda kaynak gerektirmektedir. Ne yazık ki çoğu şirket, iş işten geçmeden ve üretim ve gelir kaybı yaşamadan, mevcut DNS altyapılarındaki zayıflıkları göremiyor. 5
VERISIGN MANAGED DNS Etkili şekilde DNS yönetmenin yolu, küresel olarak dağıtılmış ve güvenli şekilde yönetilen bir bulut hizmet kullanmaktan geçer. Verisign Managed DNS, işletmelerin DNS altyapısı yayılımı ve idaresi ile ilgili sermaye ve işletim masraflarından tasarruf etmesi için erişilebilirliğin temin edilmesi için çalışır. Verisign Managed DNS, DNS ortamlarının daha kolay ve daha esnek şekilde yönetilebilmesi için DNS sorgularında azami performans ve güvenilirlik elde etmek amacıyla her noktaya yayın ve tek noktaya yayın çözümlemelerinin birleşimi olan karma ve eşsiz bir model kullanır. Verisign DNS konusunda uzun zamandır lider konumdadır. Her türlü kayıtta en yüksek çalışma süresi rekoru ile.com,.net,.gov,.edu,.tv,.cc,.jobs ve.name dâhil olmak üzere üst seviye alan adları (TLD) için DNS yönetmekte ve her gün %100 doğruluk oranı ile ortalama 60 milyar DNS sorgusu çözümlemektedir..com ve.net in özel gerekliliklerini karşılamak için Verisign ATLAS (Advanced Transaction Lookup and Signaling System - Gelişmiş İşlem Arama ve Sinyal Sistemi) isimli müseccel alan adı sunucusunu geliştirmiştir, bu sunucu DNS trafiğini ticari olarak mevcut tüm seçeneklerden daha hızlı ve etkin şekilde idare etmektedir. Verisign yedeklilik ve hız sağlamak amacıyla Kuzey Amerika, Avrupa ve Asya da önemli İnternet hublarında 17 büyük çözümleme bölgesi işletmektedir. Verisign bu büyük çözümleme sitelerinin yanı sıra, yüksek hızlı çözümlemeden daha düşük kalitede hizmet alan ülkelere kadar dünya çapında onlarca küçük Bölgesel İnternet Çözümleme Siteleri (RIR) işletmektedir. Pek çok takım uydu alan adı sunucusu Verisign ın lider nitelikteki DNS, DDoS azaltma ve güvenlik istihbarat uzmanları tarafından idare edilmekte, görüntülenmekte ve yönetilmektedir. Takım uydudaki her bir site, yüksek bant genişliği ve sıkı güvenlik kontrolleri ile donatılmıştır. Dünyanın en büyük TLD lerini destekleyen aynı altyapı ve uzmanlık, Managed DNS, DDoS koruması ve idefense güvenlik istihbaratı dâhil olmak üzere Verisign ın hizmet yelpazesi sayesinde müşterilere de sunulmaktadır. Verisign ın hizmet yelpazesi hakkında daha fazla bilgi için: www.verisigninc.com. VERISIGN HAKKINDA Verisign, dijital dünya için güvenilir bir İnternet altyapı hizmet sağlayıcısıdır. Her gün milyarlarca defa, şirketler ve tüketiciler İnternet altyapımıza güvenerek gönül rahatlığıyla iletişimde bulunmakta ve ticaret yapmaktadırlar. i Verisign Whitepaper. Distributed Denial of Service: Finally Getting The Attention It Deserves. (Dağıtılmış Hizmet Engelleme: Nihayet Gereken İlgiyi Görüyor) Mayıs 2011. ii Yankee Group. DNS: Risk, Reward and Managed Services (DNS: Risk, Ödül ve Yönetilen Hizmetler) Şubat 2011. iii Verisign Domain Name Industry Brief (Etki Alanı Adı Endüstri Özeti) Şubat 2011 iv Verisign Basın Bülteni. Verisign Launches Managed DNS to Help Companies Reduce Costly Downtime and Simplify DNS Management (Verisign Şirketlerin Masraf Yaratan Aksama Sürelerini Azaltmak ve DNS Yönetimini Kolaylaştırmasına Yardımcı Olmak İçin Managed DNS i Sunuyor) 11 Ağustos 2010 v Yankee Group. DNS: Risk, Reward and Managed Services (DNS: Risk, Ödül ve Yönetilen Hizmetler) Şubat 2011. VerisignInc.com 2011 VeriSign, Inc. Tüm hakları saklıdır. VERISIGN ve diğer ticari markalar, hizmet markaları ve tasarımlar, VeriSign, Inc ve Amerika Birleşik Devletleri ve yabancı ülkelerdeki bağlı kuruluşlarının tescilli ve tescilli olmayan ticari markalarıdır. Tüm diğer ticari markalar ilgili sahiplerinin mülkiyetidir. 6
DNS SALDIRILARI PROFİLİ DNS, etkililiğin güvenlikten daha önemli sayıldığı yıllarda geliştirilmişti. Sonuç olarak, saldırı düzenleyenlerin Web sitelerini çökertmesinde ve hassas bilgileri kullanmak amacıyla ele geçirme yöntemleri geliştirme konusunda başlıca hedef oldu. Web de bulunan kurumlar DNS saldırılarına açıktırlar ve bu yüzden de bunların nasıl olduğunu ve bunlardan nasıl korunacaklarını bilmeleri gerekir. DNS Önbellek Zehirlenmesi : DNS önbellek zehirlenmesi, kötü niyetli saldırganın tekrarlı bir DNS sunucusundaki belirli bir kaydın IP adresine yüklü miktarda sahte cevaplar göndererek yetkili sunucu gibi davranması ve bunun sonucunda tekrarlı sunucunun gerçek yetki sahibi sunucudan cevap beklemesi şeklinde gerçekleşir. Bu, tekrarlı sunucunun hizmet vermeye çalışmasına ve sorgulama yapan son kullanıcıları sahte cevaplar yüzünden bekletmesine yol açar. DNS güvenlik uzantılarının (DNSSEC) daha çok yaygınlaşması, bu saldırı tipine karşı koruma sağlar. DNSSEC in tam anlamıyla yaygınlaşması için kayıt şirketleri, İSS ler ve işletmelere çok iş düşüyor, ancak.com alanının yakın zamanda Verisign ın kontrolüne girmiş olması DNS in saldırıya açık oluşu sorununun çözülmesinde büyük bir adım olmuştur. DNS Yansımayla Büyütme Saldırısı : DNS yansımayla büyütme saldırıları, DNS sunucularını hedefleyen dağıtılmış hizmet engelleme saldırılarıdır. Normal bir DNS isteği 100 bayt civarındadır, yanıtla birlikte 200-400 bayt arası olur. Büyük bir DNS yanıtı 500 bayt ila 4000 baytlık bilgiden oluşur. DNS yansımayla büyütme saldırıları, geçerli DNS sunucularına gönderilen çok sayıdaki DNS sorgularının kaynak adrese yanıltıcı şekilde gönderilmesiyle gerçekleşir. Yanıltılan adres, saldırının hedefidir. Gerçek DNS sunucuları (farkında olmadan) kurban IP ye çok miktarda DNS cevabı göndererek saldırıya katılırlar. Kaynak Yetmezliği veya Direkt Saldırı : En kolay saldırı tipi, saldırıya uğramış PC lerin büyük bir botnetini bulmak ve hedef yetkili DNS sunucusuna büyük ve tekrarlı bir taşkın yönlendirmektir. Ek olarak, saldırgan istek gönderen paketin kaynak IP adresini yanıltarak popüler ve gerçek tekrarlı bir DNS sunucusunu (çok sayıda son kullanıcısı olan) alet edebilir. Saldırının hedefi ise bu paketleri güvenlik duvarı ile basitçe savuşturamaz, çünkü bunlar ilgili gerçek tekrarlı sunucudan gelenlerle karışık şekilde gelmektedir. Veri Değiştirme Saldırısı : Önbellek zehirlenmesi, DNS verisini değiştirmek için tek yol değildir. Pek çok saldırı gerçek trafiği hedef şirketin kayıt hesabını tehlikeye atarak kötü sitelere yönlendirmekte ve sahte DNS kayıtları oluşturarak DNS kayıtlarını değiştirmekte başarılı olmuştur. DNS verisi aynı zamanda direkt olarak DNS sorgularına cevap veren yetkili DNS sunucusu üzerinden değiştirilebilir. Saldırganın DNS sağlayıcının yönetim sistemine sızması ve hedefin DNS verisini değiştirmesi suretiyle DNS sağlayıcılara karşı oldukça aleni ihlallerde bulunduğu da olmuştur. DNS inizin Korunması : İnternette hareket halinde oldukça kaynağını doğrulamak ve bütünlüğünü teyit etmek için DNS verisine dijital imzalar uygulayarak DNS güvenlik uzantılarının DNS altyapısını koruması tasarlanmıştır. Bu, DNS in bütünlüğünün korunmasına ve DNNSEC in küresel DNS altyapısını etkin şekilde savunmasına yönelik ilk büyük adımdır, bu İSS ler, Web site operatörleri ve kayıt şirketlerinin yönettikleri etki alanı adlarına ve tekrarlı sunuculara DNSSEC uygulaması açısından hayati önem taşır. Verisign, yönettiği TLD lerin tamamında uyguladığı DNSSEC gelişimini etkin şekilde takip eder ve diğer şeylerin yanı sıra herkesin kendi veya diğer Web siteleri hakkında DNSSEC bilgilerini kontrol edebilmesi ve DNSSEC teyidi için DNS çözücüsünün ayarlanmış olup olmadığını anlayabilmesi için araçlar sunar..com,.net ve.edu alanlarındaki DNSSEC ayarlı Web sitelerin sayısına da erişilebilir. Daha fazla bilgi için lütfen: http://labs.verisigninc.com/tools. 7