iToverDose/Yazılım· 9 TEMMUZ 2026 · 12:02

DNS ANY Sorgularını Engelleyen ISP’ler: Neden ve Nasıl Aşılır?

ISP’lerin neden `dig ANY` sorgularını engellediğini merak ediyor musunuz? Bu kısıtlamanın ardındaki DDoS saldırı riskini ve kişisel kullanımda nasıl rahat geçebileceğinizi öğrenin.

DEV Community2 dk okuma0 Yorumlar

İnternet Servis Sağlayıcıları (ISP) genellikle ev bağlantısından çalıştırılan dig ANY hedef.com sorgularına anında cevap vermek yerine zaman aşımına uğratır. Aynı sorgunun sonuna @8.8.8.8 ekleyerek doğrudan Google DNS’e yönlendirdiğinizdeyse sonuç anında gelir. Peki, ISP’niz neden bu kısıtlamayı uyguluyor? Cevap, bir siber saldırı yöntemi olan DNS Amplifikasyon DDoS saldırılarında gizli.

DNS ANY Sorgusunun Tehlikeli Yönü: DDoS Saldırılarında Kullanımı

Standart DNS sorguları genellikle UDP protokolü üzerinden çalışır. Bu protokolde el sıkışma (handshake) olmadığı için saldırganlar kaynak IP adresini kolayca sahteleyebilir. ANY parametresiyse hedef DNS sunucusuna, sahip olduğu tüm kayıtları (A, MX, TXT vb.) geri gönderme talimatı verir. Bu durumda sorgunun boyutu ile yanıtın boyutu arasında uçurum oluşur:

  • Sorgunun boyutu: Yaklaşık 50 bayt
  • Yanıtın boyutu: 1000 baytın üzerinde

Saldırgan, milyonlarca sahte ANY sorgusunu kurbanın IP adresiyle doldurarak açık DNS sunucularına gönderdiğinde, bu sunucular masif yanıtları kurbanın adresine yönlendirir. Sonuç, kurbanın bant genişliğinin tıkanması ve çevrimdışı kalmasıdır. Bu saldırı türüne "DNS Amplifikasyon DDoS" adı verilir.

ISP’lerin Engelleme Gerekçesi: Ağlarını Koruma Stratejisi

Ev kullanıcıları için ANY sorguları genellikle gereksizdir. Normal web gezintisinde sadece belirli kayıt türleri (örneğin A kayıtları) kullanılır. ISP’ler bu sorguları yerel yönlendiricilerinde engelleyerek ağlarının DDoS saldırılarına alet olmasını önler. Bu basit ama etkili koruma mekanizması, müşteri ağlarının istismar edilmesini engellemeyi hedefler.

Büyük DNS sağlayıcıları olan Google (8.8.8.8) ve Cloudflare (1.1.1.1) ise farklı bir yaklaşım benimser. Bu şirketlerin sahip olduğu küresel scrubbing (temizleme) ağları, sahte trafiği otomatik olarak filtreleyebilir. Ayrıca "TCP Fallback" adı verilen bir yöntem kullanırlar: Yanıtın boyutu çok fazla olduğunda bağlantı TCP protokolüne geçiş yapar. TCP’de el sıkışma zorunluluğu bulunduğu için IP sahteciliği imkansız hale gelir. Bu sayede hem meşru kullanıcılar hem de güvenlik araştırmacıları ANY sorgularını kullanabilir.

Güvenlik Testlerinde Karşılaşılan Sorunlar ve Çözümler

Güvenlik araştırmacıları, CTF yarışmalarında, Hack The Box platformunda veya hata ödül programlarında çalışırken sık sık yerel ağlarından kaynaklanan erişim kısıtlamalarıyla karşılaşır. Bu durum, özellikle dig ANY gibi sorguların engellenmesiyle daha da belirgin hale gelir. Neyse ki, bu sorunu aşmanın basit bir yolu var: yerel çözümleyiciyi bypass ederek doğrudan bir halka açık DNS sunucusuna sorguları yönlendirmek.

Aşağıdaki komut, Google DNS üzerinden ANY sorgusunu çalıştırmanızı sağlar:

dig @8.8.8.8 ANY hedef.com +short

Bu komutun çıktısı, sorgulanan alan adına ait tüm kayıtları kısa bir şekilde listeleyecektir. Aynı şekilde, Cloudflare DNS de benzer bir şekilde kullanılabilir:

dig @1.1.1.1 ANY hedef.com +short

Bu yöntem, yerel ağ kısıtlamalarını bypass etmenin yanı sıra, sorguların daha geniş bir DNS ağına dağıtılmasını sağlar. Böylece, daha güvenilir ve ayrıntılı sonuçlar elde edebilirsiniz.

Sonuç: DNS Sorgu Stratejinizi Gözden Geçirin

DNS sorgularının nasıl çalıştığını anlamak, hem genel internet kullanımında hem de siber güvenlik araştırmalarında önemli bir avantaj sağlar. ISP’lerin ANY sorgularını engellemesi, ağların istismar edilmesini engellemek için alınan basit ama etkili bir önlemdir. Ancak, güvenlik testleri veya araştırmalar sırasında bu kısıtlamanın sizi engellemesine izin vermeyin. Doğrudan halka açık DNS sunucularını kullanarak sorgularınızı gerçekleştirin ve veri toplama sürecinizi optimize edin. Gelecekte, DNS protokollerinde yapılacak iyileştirmelerle birlikte bu tür kısıtlamaların da azalması bekleniyor. Ancak şimdilik, en pratik çözümünüzü uygulamaya devam edin: sorgularınızı yerel ağdan bağımsız olarak yönlendirin.

Yapay zeka özeti

ISP’lerin neden `dig ANY` sorgularını engellediğini öğrenin. DNS Amplifikasyon DDoS saldırılarına karşı alınan önlemleri ve güvenlik testlerinde nasıl aşabileceğinizi keşfedin.

Yorumlar

00
YORUM BIRAK
ID #A07Q05

0 / 1200 KARAKTER

İnsan doğrulaması

9 + 2 = ?

Editör onayı sonrası yayına girer

Moderasyon · Spam koruması aktif

Henüz onaylı yorum yok. İlk yorumu sen bırak.