DNS leak'ler konumunu sessizce nasıl açığa çıkarır

VPN trafiğini şifreler ve exit sunucusu üzerinden yönlendirir. O kısım çalışır. Daha az güvenilir olan — özellikle Windows'ta — her DNS lookup'ın da o yolu aldığından emin olmak. DNS sızdığında, ISP'n diğer her şey şifreli olsa bile ziyaret ettiğin domain'leri görür. Sızıntı sessizdir — tarayıcı uyarı göstermez, VPN client bağlısın der, ve ISP yine her sorgunu loglar.

Bu yazı dört yaygın leak path'ini, nasıl test edileceğini ve Fexyn'in onları nasıl kapattığını açıklıyor.

Leak'ler nereden gelir

1. Smart Multi-Homed Name Resolution (SMHNR)

Windows 8 SMHNR'ı tanıttı. DNS sorgularını mevcut her DNS sunucusuna eşzamanlı gönderir ve hangi yanıt önce gelirse onu kullanır.

VPN açıkken sonuç: DNS sorguların aynı anda hem VPN resolver'ına (tünel içinde) hem de ISP resolver'ına (tünel dışında) gider. ISP, yarışı VPN'in kazanıp kazanmadığına bakmaksızın sorguyu görür.

Windows 10'da davranış biraz değişti — SMHNR mevcutsa VPN tünelini tercih etmeli. Pratikte her zaman değil. Davranış adapter metric ordering'e, NCSI'ye ve Windows'ın o anda hangi arayüzü "primary" gördüğüne bağlı. Sızıntılar aralıklı — en kötü tipi.

2. IPv6 fall-through

Çoğu VPN protokolü sadece IPv4 tunnel eder. ISP'n IPv6 verirse (2026'da çoğu veriyor) ve makinen IPv6'yı IPv4'e tercih ederse, DNS lookup'lar IPv6 yolunu alabilir. IPv6 sorgu gerçek arayüzünden çıkar, ISP'nin IPv6 DNS resolver'ına çarpar, ISP sorguyu görür.

Lehçe değil — son on yılda Windows'ta varsayılan davranış. Düzeltme: ya VPN açıkken altta yatan arayüzde IPv6'yı kapat, ya da IPv6 trafiğini VPN üzerinden tunnel et.

3. Tarayıcıda DNS-over-HTTPS

Modern Chrome, Firefox, Edge ve Brave public resolver (Cloudflare, Google, Quad9, NextDNS) ile DNS-over-HTTPS yapabilir. DoH aktifken tarayıcı sistem DNS katmanını tamamen bypass eder.

Bu ISP'den gizlilik için iyi — DoH'tan Cloudflare'e ISP resolver'ından daha private. VPN-tunneled DNS için kötü — çünkü tarayıcı şimdi alttaki arayüz üzerinden Cloudflare'le doğrudan konuşuyor.

4. WebRTC ve STUN

WebRTC peer-to-peer bağlantılar için browser API. STUN sunucularını public IP'ni keşfetmek için kullanır. STUN exchange network stack'in üstünde çalışır — tarayıcı gerçek IP'ni yerel olarak bilir ve sorulduğunda sayfaya söyler.

Bu DNS leak değil ama bitişik. WebRTC'li bir sayfa, VPN açıkken ve tüm DNS'in tünel üzerinden olsa bile gerçek IP'ni öğrenebilir. Tamamen farklı düzeltme.

WebRTC parçasını ayrı oku.

Nasıl test edilir

VPN bağlıyken Fexyn'in DNS leak test aracını kullan. İki kontrol:

• Standart test. Tek batch sorgu. Sürekli leak'leri yakalar.
• Genişletilmiş test. Zamana yayılmış altı tur. SMHNR'dan veya adapter-priority race'lerinden aralıklı leak'leri yakalar.

Sonuç sadece VPN sağlayıcının çalıştırdığı resolver'ları göstermeli. ISP'nin resolver'ları (veya girdilerin herhangi birinde ISP'nin ismi) görünüyorsa — leak'in var.

Sızdığında bir attacker veya ISP'nin gördüğü

Her sızdırılan DNS sorgusu onlara şunu verir: aradığın tam domain, timestamp, sıklık, browsing'inin pattern'i.

Detaylı bir browsing profili oluşturmaya yetiyor. Şifreli trafik kendisi opak ama hedefler değil. ISP'n içeriği görmeden ne browse ettiğini bilir.

Türkiye'de 5651 sayılı kanun ve BTK düzenlemeleri sağlayıcılara loglama yükümlülükleri yükler. Sızıntı oluşursa, kayıtlar mevcut olur.

Fexyn Windows'ta sızıntıları nasıl önler

Helper service katmanlı savunma kurar:

Name Resolution Policy Table (NRPT) kuralları. NRPT herhangi bir uygulama DNS isteğini görmeden önce OS seviyesinde çalışır. Fexyn her domain lookup'ı VPN'in resolver'ından geçmesini zorlayan catch-all NRPT kuralları kurar. NRPT per-adapter DNS settings'i, manual config'leri ve SMHNR'ı override eder.

Per-protocol DNS yapılandırması. Her VPN protokolü (WireGuard, VLESS Reality, OpenVPN) kendi DNS path'i ile yapılandırılmış. WireGuard AllowedIPs catch-all kullanır. VLESS tun2socks ile tunnel DNS override kullanır. OpenVPN dhcp-option DNS push eder.

IPv6 null-routing. VPN aktifken Fexyn IPv6 trafiğini null-route eder. IPv6'nın tünelden geçmesini ummak yerine (bazen geçmez), tüm IPv6 trafiği yerel null hedefine yönlendirilir.

WFP kill switch. Tünel düşerse, WFP filtreleri tüm tünel-dışı trafiği bloklar — DNS dahil.

Sızıyorsan ne yapılır

Test sızıntı gösterirse, sırayla çalış:

1. VPN'i yeniden bağla. En basit fix.
2. Farklı protokol dene. Fexyn Stealth'e veya Fexyn Secure'a geç.
3. Farklı sunucu dene. Bazı sunucuların resolver'ları daha yavaş.
4. Diğer VPN client'ları için kontrol et. Cloudflare WARP, NordVPN'in Meshnet'i, Tailscale, corporate VPN client'ları rekabet eder.
5. Browser DoH'ı geçici olarak devre dışı bırak.

Tam troubleshooting rehberi destek sayfasında.

İlgili okuma

• DNS leak testi
• WebRTC leak testi
• Halka açık Wi-Fi için VPN
• DNS leak troubleshooting
• ISP'n VPN'siz neyi görür
• No-logs politikası

Fexyn'i 7 gün ücretsiz dene. DNS lock varsayılan olarak açık.