DNS sinkhole nedir?

DNS sinkhole, aynı zamanda sinkhole server, internet sinkhole, veya BlackholeDNS olarakta bilinmektedir; alan adlarının zararlı yazılımlar tarafından kullanımını engellemek için malwarelerin gitmek istedikleri dns sorgularına yanlış bilgi veren bir DNS sunucusudur. DNS Sinkholes zararlı trafiği tespit ve engellemede etkili olup, botlar ve diğer istenmeyen trafik ile mücadele için kullanılır.

Nasıl Çalışır?

Sinkhole, listesinde bulunan tüm alan adresleri için yönlendirilebilir olmayan DNS (Örneğin: 127.0.0.1) cevapları dağıtmak için ayarlanmış standart DNS sunucusudur. Bu DNS sorgusunu alan tüm bilgisayarlar gerçek web sayfasına erişmek istediklerinde başarısız olurlar. Sinkhole ne kadar çok kullanıcıya hizmet veren büyük bir DNS sunucuda ayarlanırsa o kadar çok zararlı yazılımın DNS sorgusu yapıp dışarıya çıkması engellenir. Örneğin; Bazı büyük botnetlerin tüm internete yayılması TLD  sinkhole’ler tarafından engellenmiştir.

Sinkholes hedefe bağlı olarak, yapıcı ve yıkıcı olarak çiftyönlü olarak kullanılabilir. Örneğin; bir kullanım alanı botnet koordinasyon programlarının DNS adlarını keserek botnetleri durdurmak iken; başka bir kullanım alanı ise hosts dosya tabanlı sinkhole ile reklam veren siteleri engellemektir.

Windows, Unix veya Linux bilgisayarda önce DNS sunucularına sorgu yapmadan localhost dosyası kontrol edilir eğer aradığımız DNS sorgusu localhost dosyasında bulunmuyor ise DNS sunucularına sorulur. Bilgisayarınızdaki localhost dosyasıda aynı şekilde sitelerini engellemek için kullanılabilirsiniz. Zararlı yazılımların adreslerinin bulunduğu DNS adres listelerinden bazılarını aşağıda bulabilirsiniz.

  1. http://pgl.yoyo.org/adservers/serverlist.php?hostformat=;showintro=0
  2. http://support.it-mate.co.uk/downloads/HOSTS.txt
  3. http://www.malwaredomains.com/files/justdomains
  4. http://www.abuse.ch/zeustracker/blocklist.php?download=domainblocklist
  5. http://mtc.sri.com/live_data/malware_dns/
  6. http://www.malwarepatrol.net/cgi/submit?action=list_bind