İnternet Servis Sağlayıcıları (ISP) genellikle ev bağlantısından çalıştırılan dig ANY hedef.com sorgularına anında cevap vermek yerine zaman aşımına uğratır. Aynı sorgunun sonuna @8.8.8.8 ekleyerek doğrudan Google DNS’e yönlendirdiğinizdeyse sonuç anında gelir. Peki, ISP’niz neden bu kısıtlamayı uyguluyor? Cevap, bir siber saldırı yöntemi olan DNS Amplifikasyon DDoS saldırılarında gizli.
DNS ANY Sorgusunun Tehlikeli Yönü: DDoS Saldırılarında Kullanımı
Standart DNS sorguları genellikle UDP protokolü üzerinden çalışır. Bu protokolde el sıkışma (handshake) olmadığı için saldırganlar kaynak IP adresini kolayca sahteleyebilir. ANY parametresiyse hedef DNS sunucusuna, sahip olduğu tüm kayıtları (A, MX, TXT vb.) geri gönderme talimatı verir. Bu durumda sorgunun boyutu ile yanıtın boyutu arasında uçurum oluşur:
- Sorgunun boyutu: Yaklaşık 50 bayt
- Yanıtın boyutu: 1000 baytın üzerinde
Saldırgan, milyonlarca sahte ANY sorgusunu kurbanın IP adresiyle doldurarak açık DNS sunucularına gönderdiğinde, bu sunucular masif yanıtları kurbanın adresine yönlendirir. Sonuç, kurbanın bant genişliğinin tıkanması ve çevrimdışı kalmasıdır. Bu saldırı türüne "DNS Amplifikasyon DDoS" adı verilir.
ISP’lerin Engelleme Gerekçesi: Ağlarını Koruma Stratejisi
Ev kullanıcıları için ANY sorguları genellikle gereksizdir. Normal web gezintisinde sadece belirli kayıt türleri (örneğin A kayıtları) kullanılır. ISP’ler bu sorguları yerel yönlendiricilerinde engelleyerek ağlarının DDoS saldırılarına alet olmasını önler. Bu basit ama etkili koruma mekanizması, müşteri ağlarının istismar edilmesini engellemeyi hedefler.
Büyük DNS sağlayıcıları olan Google (8.8.8.8) ve Cloudflare (1.1.1.1) ise farklı bir yaklaşım benimser. Bu şirketlerin sahip olduğu küresel scrubbing (temizleme) ağları, sahte trafiği otomatik olarak filtreleyebilir. Ayrıca "TCP Fallback" adı verilen bir yöntem kullanırlar: Yanıtın boyutu çok fazla olduğunda bağlantı TCP protokolüne geçiş yapar. TCP’de el sıkışma zorunluluğu bulunduğu için IP sahteciliği imkansız hale gelir. Bu sayede hem meşru kullanıcılar hem de güvenlik araştırmacıları ANY sorgularını kullanabilir.
Güvenlik Testlerinde Karşılaşılan Sorunlar ve Çözümler
Güvenlik araştırmacıları, CTF yarışmalarında, Hack The Box platformunda veya hata ödül programlarında çalışırken sık sık yerel ağlarından kaynaklanan erişim kısıtlamalarıyla karşılaşır. Bu durum, özellikle dig ANY gibi sorguların engellenmesiyle daha da belirgin hale gelir. Neyse ki, bu sorunu aşmanın basit bir yolu var: yerel çözümleyiciyi bypass ederek doğrudan bir halka açık DNS sunucusuna sorguları yönlendirmek.
Aşağıdaki komut, Google DNS üzerinden ANY sorgusunu çalıştırmanızı sağlar:
dig @8.8.8.8 ANY hedef.com +shortBu komutun çıktısı, sorgulanan alan adına ait tüm kayıtları kısa bir şekilde listeleyecektir. Aynı şekilde, Cloudflare DNS de benzer bir şekilde kullanılabilir:
dig @1.1.1.1 ANY hedef.com +shortBu yöntem, yerel ağ kısıtlamalarını bypass etmenin yanı sıra, sorguların daha geniş bir DNS ağına dağıtılmasını sağlar. Böylece, daha güvenilir ve ayrıntılı sonuçlar elde edebilirsiniz.
Sonuç: DNS Sorgu Stratejinizi Gözden Geçirin
DNS sorgularının nasıl çalıştığını anlamak, hem genel internet kullanımında hem de siber güvenlik araştırmalarında önemli bir avantaj sağlar. ISP’lerin ANY sorgularını engellemesi, ağların istismar edilmesini engellemek için alınan basit ama etkili bir önlemdir. Ancak, güvenlik testleri veya araştırmalar sırasında bu kısıtlamanın sizi engellemesine izin vermeyin. Doğrudan halka açık DNS sunucularını kullanarak sorgularınızı gerçekleştirin ve veri toplama sürecinizi optimize edin. Gelecekte, DNS protokollerinde yapılacak iyileştirmelerle birlikte bu tür kısıtlamaların da azalması bekleniyor. Ancak şimdilik, en pratik çözümünüzü uygulamaya devam edin: sorgularınızı yerel ağdan bağımsız olarak yönlendirin.
Yapay zeka özeti
ISP’lerin neden `dig ANY` sorgularını engellediğini öğrenin. DNS Amplifikasyon DDoS saldırılarına karşı alınan önlemleri ve güvenlik testlerinde nasıl aşabileceğinizi keşfedin.