DNS (Domain Name System), internetin telefon rehberidir. Ancak bu temel hizmet, günümüzde siber saldırganlar tarafından veri sızdırma, iletişim gizleme ve altyapı keşfi için yoğun şekilde kötüye kullanılmaktadır. Özellikle DNS Tunneling gibi teknikler, geleneksel güvenlik cihazlarını atlatmak için kullanılır.
1. DNS’in Temel Çalışma Prensibi
DNS, istemci ile recursive resolver arasında UDP/53 veya TCP/53 üzerinden çalışır.
Resolver, kök sunucular ve authoritative DNS sunucularına sorgular göndererek IP adresini çözer.
Cevaplar cache’lenerek performans arttırılır.
DNS genellikle "güvenli" kabul edildiği için outbound kurallar tarafından izinli olur.
2. DNS Kötüye Kullanımı: Tünelleme ve Exfiltration
a. DNS Tunneling Nedir?
DNS paketleri içinde şifreli veya base64 formatında veri taşınmasıdır.
Saldırgan, zararlı yazılımı bir sistemde çalıştırır ve DNS üzerinden komut & kontrol (C2) iletişimi kurar.
Örnek araçlar: Iodine, dnscat2, Heyoka, DNSExfiltrator
b. Exfiltration Senaryosu
Kritik bir verinin parçalara bölünüp DNS sorgusu gibi dışarı gönderilmesi
Örnek: secret-data.base64.exfil.attacker.com
c. Tipik Gözden Kaçan Nokta
UDP 53 trafiği genelde serbesttir
IDS/IPS sistemleri veya NGFW'ler genelde DNS içeriklerine derinlemesine bakmaz
Exfiltration traffic’i, standart DNS trafiği gibi görünür (low & slow technique)
3. Ağ Seviyesinde Tespit Yöntemleri
a. Trafik Analizi
Normal dışı uzun domain adları
Tekrarlayan ama başarısız DNS sorguları
Çıkış yapan yüksek hacimli UDP 53 trafiği
Non-standard DNS portları (örneğin TCP 5353, 1053)
b. SIEM ve IDS Kullanımı
DNS query log'larını analiz etmek (FortiAnalyzer, Splunk, ELK)
Suricata/Snort gibi açık kaynaklı IDS sistemleri ile DNS tünelleme imzaları
DPI destekli güvenlik duvarları üzerinden DNS query inspection
4. Koruma ve Önleme Stratejileri
a. Güvenli DNS Kullanımı
DNS over HTTPS (DoH) veya DNS over TLS (DoT) gibi güvenli protokollerin kullanımı
Internal resolver kullanmak ve doğrudan dış DNS'e çıkışı engellemek
Split DNS mimarisi ile iç ve dış alanları ayırmak
b. Erişim Kontrolü ve İzleme
Sadece belirli DNS sunuculara çıkışa izin verme (e.g. 8.8.8.8 değil; sadece iç resolver)
DNS sorgu loglarının tutulması ve korelasyon yapılması
Anormal karakteristikte (uzun, encode edilmiş) sorgulara alarm oluşturma
c. Threat Intelligence Entegrasyonu
-DNS sorgularını zararlı alan adları listesiyle karşılaştırma (FortiGuard, Cisco Umbrella, Kaspersky TI gibi)
-C2 alan adı reputation kontrolleri
5. Gerçek Hayattan Örnekler
-2018 – OilRig APT Grubu: DNS tabanlı C2 iletişimi ile Orta Doğu’daki hedeflerden veri sızdırdı
-Sunburst (SolarWinds) saldırısında DNS üzerinden ilk evre C2 iletişimi gerçekleşti
-Turla Group tarafından .ru uzantılı DNS sunucuları ile gelişmiş tünelleme tespit edildi
Tünelleme ve veri sızdırma gibi saldırı teknikleri, güvenlik cihazlarının kör noktalarını hedef alır. DNS güvenliğini artırmak için hem ağ hem de uç nokta düzeyinde görünürlük sağlamak, trafik analizlerini otomatize etmek ve sadece izinli DNS yollarını açık bırakmak gereklidir.
yazar: Asrın Haktan Şahin