Fast jeder Nutzer kennt das Problem: Wenn Sie mit dem Befehl dig ANY zieldomain.de über Ihren heimischen Internetanschluss eine DNS-Abfrage starten, erhalten Sie meist nur eine Zeitüberschreitung. Fügen Sie jedoch @8.8.8.8 hinzu und leiten Sie die Anfrage direkt an den Google-DNS-Server um, funktioniert die Abfrage sofort. Doch warum blockieren Internetanbieter (ISPs) die ANY-Abfragen standardmäßig? Die Antwort liegt in einem bekannten Angriffsmuster: dem DNS-Amplification-DDoS.
Der technische Hintergrund: Warum ANY-Abfragen gefährlich sind
DNS-Anfragen nutzen üblicherweise das UDP-Protokoll, das ohne vorherige Handshake-Verbindung auskommt. Diese Eigenschaft macht es Angreifern leicht, die Absender-IP-Adresse zu fälschen – ein Verfahren, das als IP-Spoofing bekannt ist. Der Befehl dig ANY fordert den DNS-Server auf, alle verfügbaren Datensätze eines Domainnamens zurückzugeben. Dazu gehören A-, MX-, TXT- und weitere Einträge. Während die ursprüngliche Anfrage nur etwa 50 Byte umfasst, kann die Antwort je nach Domaingröße auf über 1.000 Byte anwachsen.
Ein Angreifer nutzt diese Diskrepanz aus, um ein Opfer zu überfluten:
- Millionen gefälschte
ANY-Anfragen werden mit der IP-Adresse des Opfers als Absender an offene DNS-Server gesendet. - Die DNS-Server antworten mit den massiven Datensätzen direkt an die Opfer-IP.
- Die Bandbreite des Opfers wird überlastet, was zu einem vollständigen Ausfall führt.
Diese Angriffsmethode, bekannt als DNS-Amplification-DDoS, zählt zu den effizientesten Methoden für großflächige Denial-of-Service-Attacken.
Warum Ihr ISP die Abfragen blockiert – und öffentliche DNS-Server nicht
Internetanbieter implementieren die Blockade auf Router-Ebene, da normale Internetnutzung keine ANY-Abfragen erfordert. Die Maßnahme dient dem Schutz der eigenen Infrastruktur und verhindert, dass Kunden ungewollt an DDoS-Attacken beteiligt werden. Ohne diese Sperre könnten Haushalte oder Unternehmen unbewusst als Mittelsmänner für Angriffe missbraucht werden.
Öffentliche DNS-Server wie Google (8.8.8.8) oder Cloudflare (1.1.1.1) gestatten ANY-Abfragen dagegen – allerdings mit wirksamen Gegenmaßnahmen:
- Skrubbing-Netzwerke: Beide Anbieter betreiben globale Filterinfrastrukturen, die spoofed Traffic identifizieren und blockieren können.
- TCP Fallback: Bei zu großen Antwortpaketen zwingen die Server die Verbindung zum Wechsel auf das TCP-Protokoll. Da TCP einen Handshake erfordert, wird Spoofing unmöglich.
- Rate-Limiting: Anfragen werden auf verdächtige Muster überprüft und bei abnormalen Volumina gedrosselt.
Diese Schutzmechanismen ermöglichen es professionellen Nutzern – etwa Sicherheitsforschern oder Entwicklern – ANY-Abfragen gezielt einzusetzen, ohne dass das Risiko eines Missbrauchs besteht.
Praxistipp: So umgehen Sie die ISP-Blockade für legitime Zwecke
In Bereichen wie Capture-The-Flag-Wettbewerben, Hack-The-Box-Challenges oder Bug-Bounty-Programmen ist der Zugriff auf DNS-Ressourcen oft essenziell. Da viele heimische Internetanschlüsse die Abfragen unterdrücken, müssen Nutzer alternative Wege wählen.
Die Lösung ist einfach: Verwenden Sie einen öffentlichen DNS-Server direkt statt des lokalen Resolvers Ihres ISPs. Der folgende Befehl demonstriert dies am Beispiel von Google DNS:
dig @8.8.8.8 ANY zieldomain.de +short@8.8.8.8gibt die Ziel-IP des Google-DNS-Servers an.ANYfordert alle verfügbaren DNS-Einträge an.+shortreduziert die Ausgabe auf eine kompakte Liste.
Diese Methode umgeht die ISP-Sperre, ohne dass Sicherheitsvorkehrungen umgangen werden müssen. Wichtig ist jedoch, die Anfragen verantwortungsvoll zu nutzen – insbesondere in sensiblen Umgebungen wie Bug-Bounty-Programmen.
Ausblick: DNS-Protokolle im Wandel
Die Blockade von ANY-Abfragen ist nur eine von vielen Maßnahmen, um DNS-basierte Angriffe einzudämmen. Neue Protokolle wie DNS-over-HTTPS (DoH) und DNS-over-TLS (DoT) bieten zusätzliche Verschlüsselungsebenen, die Spoofing und Abhörangriffe erschweren. Gleichzeitig arbeiten Anbieter an KI-gestützten Analysetools, um verdächtige Traffic-Muster noch schneller zu erkennen.
Für Sicherheitsforscher und Entwickler bleibt die Kenntnis der ANY-Abfrage jedoch ein wertvolles Werkzeug – vorausgesetzt, sie wird verantwortungsvoll eingesetzt. Nutzen Sie die hier beschriebenen Methoden, um Ihre Arbeit zu erleichtern, ohne dabei neue Angriffsvektoren zu öffnen.
KI-Zusammenfassung
ISP’lerin neden `dig ANY` sorgularını engellediğini öğrenin. DNS Amplifikasyon DDoS saldırılarına karşı alınan önlemleri ve güvenlik testlerinde nasıl aşabileceğinizi keşfedin.