Global NULL Kaydı Diagnostik Kontrol Aracı
Domain Name System'in son derece yapılandırılmış hiyerarşisi içinde NULL kaydı, şimdiye kadar sistemleştirilmiş en anormal ve en gevşek tanımlanmış veri türü olarak öne çıkıyor. Orijinal RFC 1035 spesifikasyonunda ana hatları çizilen NULL kaydı, format kurallarından, sözdizimi kısıtlamalarından veya dahili anlambilimden (semantics) tamamen yoksundur. Bir IP adresi bekleyen bir A kaydının veya bir öncelik (priority) tam sayısı ve host adı gerektiren bir MX kaydının aksine, NULL kaydı yalnızca boş bir kapsayıcı olarak var olur. Authoritative name server'ın içeriğe sıfır doğrulama uygulamasıyla, maksimum 65.535 bayt uzunluğuna kadar rastgele (arbitrary) binary veri Payload'larını tutmak için tasarlanmıştır.
Deneysel Sandbox
İnternetin kurucu mühendisleri DNS mimarisini geliştirdiklerinde, sistemin standart A, MX veya TXT kısıtlamalarına uymayan gelecekteki ağ protokollerine uyum sağlaması gerekeceğinin farkındaydılar. NULL kaydı, deneysel protokol uzantıları ve akademik araştırmalar için açıkça bir geliştirici sandbox'u olarak ayrılmıştı. BIND yazılımı bir NULL Payload'una (paket boyutu dışında) herhangi bir kodlama kontrolü veya karakter sınırı uygulamadığından, ağ mühendisleri uzman istemci uygulamalarının ayrıştırması (parse) için işlenmemiş, formatlanmamış onaltılık (hexadecimal) dizeleri, özel kriptografik hash'leri veya özel binary routing verilerini doğrudan zone dosyasına enjekte edebilirdi.
Neden Production Ortamında Başarısız Oldu?
Teorik esnekliğine rağmen, NULL kaydı modern production ortamlarında pratikte mevcut değildir. Temel sorun birlikte çalışabilirlikti (interoperability). Farklı yazılım istemcilerinin rastgele binary verileri yorumlaması için standartlaştırılmış bir yol olmadığından, yalnızca yöneticinin hem DNS sunucusunu hem de istemci uygulamasını kontrol ettiği kapalı ekosistemlerde kullanılabilirdi. Ayrıca, standart REST API'leri ve web uygulamaları için ayrıştırılması (parse) çok daha kolay olan TXT kaydının yükselişi ve EDNS'nin (Extension Mechanisms for DNS) dağıtımı, NULL kaydının raw binary Payload'unu gerçek dünya uygulama verileri için tamamen gereksiz (obsolete) hale getirdi.
Gizli Kanallar (Covert Channels) ve Güvenlik Denetimleri
Günümüzde NULL kaydı, son derece özelleşmiş siber güvenlik bağlamları dışında nadiren görülmektedir. Gelişmiş Kalıcı Tehditler (APT'ler) ve karmaşık kötü amaçlı yazılım (malware) varyantları, tarihsel olarak gizli komuta ve kontrol (C2) kanalları kurmak için NULL kayıtlarını kullanmaya çalışmıştır. Çoğu kurumsal ağ 53. port DNS trafiğine körü körüne izin verdiğinden, saldırganlar NULL kayıtlarında gizlenmiş rastgele binary blob'lar aracılığıyla sızdırılmış (exfiltrated) verileri kodlayarak veya kötü amaçlı talimatlar getirerek uygulama katmanı güvenlik duvarlarını atlayabilirler. Bugün küresel bir NULL lookup çalıştırmak, farklı edge resolver'ların internet omurgası (backbone) üzerinden düzenlenmemiş binary Payload'ları nasıl filtrelediğini veya geçirdiğini izlemek için yalnızca derin düzeyli sızma testleri (penetration testing), kötü amaçlı yazılım analizi veya akademik protokol denetimi (audit) sırasında gerçekleştirilir.