1.Giriş

Korona salgınıyla birlikte korona ile ilgili birçok alan adı kaydı yapıldı. Bilindiği gibi alan adı kaydı yapmanın birçok yolu vardır. Alan adı kaydı yapanların bazıları ticari amaçlar güderken bazıları da son kullanıcıların bilgilerini çalıp onları dolandırmak amacı ile bunları gerçekleştirdi. Bir önceki yazımda 5G ile Korona arasında bir ilişki olup olmadığına dair bir çalışma yapmıştım.Şimdi ise DNS (Domain Name System) yapısı hakkında kısa bir bilgi verip, Council of Europen National Top-Level Domain Registries’ın (CENTR) konu özelinde yayımlamış olduğu rapor ile ilgili bilgilere yer vereceğim.

2. DNS (Domain Name System) Yapısı

Bir etki alanı içerisindeki makineler, isim çakışmalarını önlemek amacıyla hiyerarşik düzenle oluşturulmuş bir isim yapısı kullanır. DNS veritabanı en üstte “root” (kök) sunucuların yer aldığı bir ağaç yapısındadır. Her bir alt nokta etki alanı ve bu etki alanlarından ayrılan her bir parça da alt etki alanı olarak isimlendirilir.

Kök Sunucular: DNS sisteminin en üstünde bulunurlar ve sunucu adı-IP dönüşümünün başladığı yerdir. Gelen istekleri TLD (Top Level Domain-Üst Düzey Etki Alanı) sunucularına yönlendirirler. Dünya üzerinde 13 adet kök sunucusu bulunmaktadır.

TLD Sunucular: Görev dağılımının ilk olarak yapıldığı yerdir. gTLD (generic TLD) ve ccTLD (country code TLD) lerden oluşur.

Örnek vermek gerekirse “.com, .net, .org” gibi uzantılar gTLD sunuculara bağlıdır. “.tr, .us, .uk” gibi uzantılar ccTLD sunuculara bağlıdır.

DNS root yapısı

3. Korona ile İlgili Alan Adı Kayıtları

CENTR, Covid-19 salgınının ne kadar etkili olduğunu tahmin etmek için 12 ccTLD’lik bir grup ile geniş bir alan adı örneği incelemiştir. Ocak – Mart 2020 dönemi boyunca “covid, corona, virus” ifadelerini içeren alan adı kayıtları analiz edildi. Toplam 6.164 kayıt bu terimleri içermiştir ve çoğu 2020 Mart ayının ikinci yarısında tahsis edilmiştir. Bu dönemde aynı ccTLD grubunda toplam 751.000 yeni alan adı tahsis edilmiştir. Yani üç ifadeyi içeren kayıtlar toplam kayıtların %0.8’ine denk gelmektedir.

CENTR, analizin bir parçası olarak teknik durumlarını değerlendirmek ve nasıl kullanıldıklarını anlamak için etkilenen tüm alan adları üzerinde bir tarama yaptı. Taramadan elde edilen sonuca göre 1.637 alan adının işlenilmiş web içeriğine sahip olduğu tahmin edilmektedir. Geri kalanlar ise ya yapım aşamasında olup ya da teknik sorun içermektedir.

4. DNS Baskı Altında Nasıl Çalışıyor?

DNS, ağır iş yüklerine dayanacak şekilde inşa edilmiş dağıtık bir sistemdir ve temeldeki teknik bileşenleri sürekli optimize edilmektedir. Bu, DNS’in yüksek trafiğe karşı dayanıklı olmasını sağlar. Birçok CENTR üyesi normalden daha yüksek trafik bildirmiş olsa da bu trafik artışı Avrupa ccTLD altyapısının mevcut kapasitesinin dışında değildir.

Bir kullanıcı her alan adı girdiğinde veya e-posta gönderdiğinde DNS sisteminin bu adı bir IP adresine çevirmesi gerekir. Bu nedenle internet etkinliğindeki herhangi bir önemli artış DNS için daha fazla trafik anlamına gelir. Ancak DNS ön bellek sistemine güvenir ve bu da üst düzey DNS sunucularındaki yükün orantılı olarak artmadığı manasına gelir.

Ek olarak DNS’in DDoS (Dağıtık Servis Dışı Bırakma) saldırılarıyla uğraşmadan 20 yıldan fazla deneyimi vardır. Bu saldırılar genellikle bugün gördüğümüz sorgu sayısından çok daha fazla sorgu seviyeleri üretir. Aşağıdaki grafikte Hollandalı operatör trafikte %25 civarında bir artış olduğu bildirmektedir.

https://www.sidn.nl/en/news-and-blogs/huge-rise-in-nl-domain-name-lookups

5. Alan adı kaydı nasıl oluyor?

TLD operatörlerinin web sitelerinin içeriği üzerinde kontrolü olmadığından korona ile ilgili kötüye kullanıma yanıt vermede kamu ile yakın iş birliği gerekmektedir. Halka zarar verilmesini önlemek için kamu yetkilileri tarafından web sitesindeki faaliyetin yasadışı olup olmadığı değerlendirilir ve buna göre hareket edilir. Pandemi sırasında istisnai durumlar nedeniyle bazı operatörler alan adının meşru kullanımının devam etmesini sağlamak için kayıt sürecinde birkaç prosedür uygulamıştır. Kamu yetkilileri, salgın hakkında kamuoyunu bilgilendirmek için Covid-19 ile ilgili alan adlarının tahsis edilmesine izin vermiştir.

Yakın zamanda yapılan bir CENTR araştırması, taramaların %80’inin yeni kaydedilmiş alan adları “covid, corona, virus” gibi terimler için tarandığını göstermektedir. Bunlardan bazıları kötü niyetle kullanılan alan adlarıdır. Yeni tahsis edilen bu alan adları ulusal yetkililerle veya ulusal CERT’lerle (Computer Emergency Response Team) paylaşılmaktadır. Korona ile ilişkili alan adları fiili istismar söz konusu olduğunda, bildirilen vakaların sayısı Avrupa ccTLD’lerinde marjinal olarak düşük kalmaktadır.

Şubat 2020’de bir grup CENTR üyesi kötü niyetli amaçlarla kaydedilen alanlarla ilgili olarak bilgi paylaşımını koordine etmeye başladı. Bu grubun amacı aynı veya benzer alan adlarının, aynı anda farklı kayıtlarla sahtekarlık veya kimlik avı gibi kötü niyetli etkinliklerde kullanılmak üzere kaydedilip edilmediğini öğrenmektedir. Neyse ki korona ile ilişkili kötüye kullanım vakalarının düşük olduğunu ve korona ile ilgili alan adlarının çoğunun kullanılmadığını doğruladığını bildirmiştir.

6. Sonuç

Çok çeşitli veri kümeleri ve metriklerine dayanarak, Covid-19 salgının DNS üzerinde önemli bir etkisi olmadığı sonucuna varılabilir. Ancak incelemiş olduğumuz bu raporun ccTLD bazında olduğunu da unutmamak gerekir. ccTLD bazında alan adı tahsisi daha kontrollü gerçekleşmektedir. Çünkü ülkeler tahsislerde kendi prosedürlerini uygulayabilmektedir. Ancak gTLD bazında düşünürsek birçok uzantı ile istenilen alan adları kayıt edilebilmektedir. Ayrıca her durumdan fırsat kollayan saldırganların olduğunu unutmamak gerekir. Yani son kullanıcı olarak gereken hassasiyeti ve dikkati göstermeye devam etmeliyiz.

Kaynakça:

https://www.centr.org/news/blog/the-true-effect-of-corona-on-the-dns.html