Ev internet bağlantınızda "dig ANY target.com" komutunu çalıştırdığınızda genellikle zaman aşımı (timeout) hatası alırsınız. Ancak sorgunun sonuna "@8.8.8.8" ekleyerek doğrudan Google DNS'e yönlendirdiğinizde sorgunuz anında yanıtlanır. Bu durum, İSS'nizin bozuk olduğu anlamına gelmez; aksine, İSS'niz sizi ve diğer kullanıcıları korumak için belirli bir siber saldırı türünü engelliyor: DNS Amplification Dağıtık Hizmet Engelleme (DDoS) saldırısı.
DNS Amplification DDoS saldırısının mekaniği oldukça basit ama etkilidir. DNS sorguları normalde UDP protokolü üzerinden yapılır. UDP, bağlantı kurulumu için bir el sıkışma (handshake) gerektirmez. Bu nedenle, bir saldırgan IP adresini kolayca sahtekarlıkla (spoof) değiştirerek kurbanın IP'si gibi gösterebilir. "ANY" etiketi ise DNS sunucusuna, o alan adıyla ilgili tüm kayıtları (A, MX, TXT vb.) döndürmesini söyler. Bu, istek ve yanıt arasında büyük bir boyut farkı yaratır: Yaklaşık 50 baytlık bir istek, 1000 baytı aşan bir yanıtla sonuçlanabilir.
Saldırgan, kurbanın sahte IP'sini kullanarak açık DNS sunucularına milyonlarca küçük ANY isteği gönderdiğinde, bu sunucular kurbanın IP'sine devasa yanıtlar yağdırır. Kurbanın bant genişliği bu trafikle dolar ve hizmet dışı kalır. İşte bu nedenle İSS'ler, kendi ağlarının DDoS saldırılarında kullanılmasını önlemek için ANY sorgularını varsayılan olarak engeller. Normal web taramasında ANY sorgusu kullanılmadığı için bu engelleme günlük kullanımı etkilemez.
Peki neden Google DNS (8.8.8.8) ve Cloudflare DNS (1.1.1.1) gibi hizmetler ANY sorgularına izin veriyor? Bu sağlayıcılar, sahte trafiği filtrelemek için devasa küresel temizleme ağlarına sahiptir. Ayrıca "TCP Fallback" mekanizmasını kullanırlar: Eğer bir yanıt çok büyük olursa, bağlantıyı TCP'ye geçmeye zorlarlar. TCP, gerçek bir el sıkışma gerektirdiğinden IP sahtekarlığı imkansız hale gelir. Bu sayede hem güvenlik sağlanır hem de meşru sorgular çalışmaya devam eder.
Nasıl Önlem Alınmalı?
Siber güvenlik meraklıları, CTF (Capture The Flag) yarışmaları, Hack The Box veya bug bounty programlarıyla uğraşanlar için bu durum önemli bir pratik çıkarım sunar: Ev interneti güvenlik yapılandırmaları, bu tür sorguları düzenli olarak engelleyebilir. Keşif (recon) aşamasında İSS'nizin yerel çözümleyicisini atlayıp doğrudan Google DNS veya Cloudflare gibi genel DNS sunucularına sorgu göndermek, hem hızlı hem de güvenilir sonuçlar almanızı sağlar. Unutmayın: İSS'niz sizi koruyor, ancak bazen koruma kalkanı sizin ihtiyaçlarınızı da engelleyebilir.
Kaynak: dev.to