DNS tünelleme… İnternette izin verilmeyen verileri, DNS protokolü üzerinden taşıma yöntemi. Yani ağın gözünden kaçabilecek bir kanal oluşturmak. Sistemin “zararsız” sandığı veri trafiğiyle veri sızdırmak. Ama bu sadece bir test değilse… gerçek bir saldırı yöntemidir.
Sen sadece öğrenmek istiyor olabilirsin. Ama hedefin bir servis sağlayıcının DNS sunucusuysa, artık o trafik eğitim değil, girişimdir.
DNS Tünelleme Nedir?
DNS istekleri, alan adlarının IP adreslerine çözülmesi içindir. Ama DNS paketlerinin içinde, belirli formatlarda veri taşıyarak bu sistemi bir iletişim kanalı haline getirmek mümkündür.
Yani veri.benimsunucum.com gibi sahte bir alan adı oluşturulur. Bu alan adının her DNS isteği aslında veri içerir. Servis sağlayıcı bu isteği kendi DNS sunucusuna yollar. Sunucu, alan adı çözümlemeye çalışırken, veri şifrelenmiş olarak hedef sisteme aktarılır.
DNS Tünelleme Ne İçin Kullanılır?
- Güvenlik duvarını aşmak
- İnternet erişimi olmayan sistemlerde dışarıyla iletişim kurmak
- Veri sızdırmak (data exfiltration)
- Komut kontrolü (C2) kanalı kurmak
Ancak bu işlemler yalnızca yetkili laboratuvar ortamlarında yapılmalıdır. Gerçek DNS altyapısı üzerinde yapılırsa, servis sağlayıcının sistemleri tehdit altında hisseder. Ve bu durum… yalnızca teknik değil, hukuki sonuçlar da doğurur.
Gerçek DNS Sunucularında Deneme Yaparsan Ne Olur?
- DNS kayıtlarında log tutulur ve kaynağın IP adresi tespit edilir
- Paket davranışları şüpheli görüldüğünde güvenlik sistemleri seni blackliste alır
- Veri içerdiği fark edilen sorgular kötü amaçlı olarak etiketlenir
- Servis sağlayıcı bu trafiği siber saldırı teşebbüsü olarak değerlendirir
- Gerekirse hukuk birimine yönlendirilir, resmi süreç başlatılır
Çünkü DNS tünelleme;
Gerçek Hikâye: “Sadece DNS Üzerinden Deniyordum” Diyen Bir Öğrencinin Gözaltı Tutanağı
Bir güvenlik meraklısı, kendi alan adını alıp DNS sunucusu kurdu. İçerisine dns2tcp gibi bir tünelleme aracı yerleştirdi. Sonra da evindeki internet bağlantısını keserek bu tünel üzerinden dışarı çıkmayı denedi. Ancak kullandığı alan adının yönlendirmesi büyük bir Türk servis sağlayıcısının alt DNS'leri üzerinden geçiyordu. Bu geçişler kısa sürede anomali olarak algılandı. DNS paketlerindeki query pattern'ları analiz edildi. Kaynak IP belirlendi. Sonuç: Resmi uyarı, ardından sistem erişim engeli, ardından adli çağrı.
O kişi sadece “öğrenmeye çalışıyordu.” Ama sistem, sadece paketi okur. Niyeti değil.
DNS Tünelleme Nerede Öğrenilmeli?
- Sanal makine ağı üzerinde (örneğin VirtualBox içinde 2 Linux sistem)
- Kendi alan adın ve kendi nameserver’ların üzerinde
- İnternete kapalı bir test lab ortamında
- CTF platformlarında özel görevler üzerinden
- github.com üzerindeki örnek projelerle,
dns2tcp,iodine,dnscat2gibi araçlarla
DNS gibi temel bir altyapıyı test etmek, öğrenmenin en zor alanıdır. Çünkü sistemler bu protokolü her zaman açık kabul eder. Ve açık sistemde yapılan test, fazlaysa… saldırı olarak algılanır.
Etik Hacker Ne Yapar?
- DNS trafiğini sadece kendi alan adı üzerinde test eder
- Kendi nameserver’ını kurar
- Gerçek trafiğe benzer veri üretmez
- Logları paylaşmaz
- Sistemi asla üretim ortamında denemez
DNS, Tüm Trafiğin Gölgesidir — Ama Gölgenin İçinden Geçersen Işık Seni Fark Eder
DNS tünelleme öğrenmek… bilgidir. Ama kime karşı ve nerede kullandığın… seni tanımlar. Gerçek sistemlerde denersen, bilgi seni savunmaz. Çünkü sistem sadece ne yaptığını bilir, neden yaptığını değil.
DNS tünelinin içinden geçmek istiyorsan önce kendi alanını kaz. Yoksa... başkasının ağına gizlice girmeye çalışırken kendini sorgulama odasında bulabilirsin.