DNS sızıntıları nasıl çalışır (ve nasıl düzeltilir)

DNS sızıntısı, DNS sorgularının — domain isimlerini IP adreslerine çeviren aramalar — VPN'in seni yönlendirdiği DNS sunucusu yerine başka bir DNS sunucusuna gitmesidir. Sonuç: VPN aktif olsa bile, o DNS sunucusunu kontrol eden taraf (genelde ISP'in) ziyaret ettiğin her domain'i görebilir.

DNS sızıntıları yaygındır. Saygın VPN istemcilerinde bile olur, çoğu zaman kullanıcıya görünmez şekilde, ve VPN kullanımının gizlilik avantajını tamamen baltalayabilir. İşte neden olduğunun ve nasıl düzeltileceğinin teknik versiyonu.

DNS ne yapar ve neden önemli

example.com yazdığında bilgisayarın bir DNS sunucusundan IP adresi ister. DNS sorgusu düz metin (aşağıda kapsanan nadir istisnalar dışında). DNS'ini sunan kim olursa, ulaşmaya çalıştığın domain'i görür.

VPN'siz, DNS sorguları genelde ISP'inin DNS sunucusuna gider. ISP'in baktığın her domain'i görür — genelde internet aktivitenle ilgili en gizlilik-hassas metadata.

VPN aktif ve doğru yapılandırılmışken, DNS sorguları VPN tüneli üzerinden yönlenmeli ve VPN sağlayıcısının DNS sunucusunda çözülmeli. ISP'in VPN sağlayıcısına şifreli tünel görür; hangi domainleri aradığını göremez.

DNS sızıntıları, bir şeyin bazı sorguların VPN tünelini atlayıp farklı bir resolver'a (genelde ISP'inin) gitmesine sebep olduğunda olur. ISP, VPN orada değilmiş gibi aynı görünürlüğü kazanır.

DNS sızıntıları nasıl olur

Birkaç teknik mekanizma:

1. Windows SMHNR (Smart Multi-Homed Name Resolution). Windows'un DNS sorgularını birden fazla ağ arayüzüne paralel gönderip ilk yanıt veren her ne ise onu kullandığı bir özelliği var. VPN aktifken ve normal ağ arayüzün varsa, Windows DNS sorgularını eşzamanlı OLARAK İKİSİNE birden gönderebilir. ISP'in DNS'i daha yakın olduğu için önce yanıt verir; Windows o cevabı kullanır. VPN'in DNS'i aynı sorguyu görür ama yedek cevap sağlar. ISP sorguyu görmüş oldu.

Bu Windows'ta DNS sızıntılarının en yaygın sebebi. SMHNR varsayılan olarak açık. VPN istemcileri bunu aktif olarak devre dışı bırakmalı, ideal olarak WFP (Windows Filtering Platform) seviyesinde.

2. IPv6 DNS sızıntıları. Çoğu VPN istemcisi IPv4 trafiğini tunelliyor ama IPv6'yı düzgün yönetmiyor. Ağın IPv6 destekliyorsa ve VPN'in IPv6 tunellemiyorsa, IPv6 DNS sorguları ISP'e gider. IPv4 trafiğin gizli; IPv6 DNS aynı domain bilgisini sızdırır.

3. NRPT (Name Resolution Policy Table). Spesifik domain sorgularını spesifik DNS sunucularına yönlendiren Windows özelliği. Bazı VPN istemcileri trafik yönlendirmek için NRPT kullanır; yanlış yapılandırılırsa bazı sorgular sızar.

4. Önbelleğe alınmış DNS kayıtları. OS'un DNS önbelleği tutar. VPN'e bağlandığında önbellek hâlâ VPN bağlanmadan önceki girişleri içeriyor. O önbelleğe alınan domainler için sonraki sorgular yeni arama oluşturmaz; OS önbelleğe alınmış yanıtı kullanır. Önbellek kendisi sızıntı değil ama zamanlama önemli — VPN'e bağlanmadan önce bir siteyi ziyaret ettiysen, o ziyaret görünüyordu.

5. Uygulama seviyesinde DNS. Bazı uygulamalar (Chrome, DoH etkin Firefox) OS DNS resolver'ını atlayan kendi DNS aramalarını yapar. Uygulamanın DNS'i OS'tan farklı bir yoldan giderse, sızabilir.

6. WebRTC IP sızıntıları (ilgili ama farklı). WebRTC tarayıcılarda peer-to-peer bağlantıları sağlar. Trafik VPN-yönlendirilmiş olsa bile WebRTC STUN/TURN üzerinden gerçek IP'ni açığa çıkarabilir. Sıkı bir DNS sızıntısı değil ama yaygın olarak karıştırılır.

DNS sızıntılarını tespit etme

Standart test:

1. VPN'ini bağla
2. DNS sızıntı test sitesini ziyaret et (Fexyn'in /tools/dns-leak-test'teki aracı veya dnsleaktest.com gibi üçüncü taraf araçlar)
3. Genişletilmiş testi çalıştır
4. Sonuçta gösterilen resolver'ları kontrol et

Resolver'lar VPN sağlayıcına aitse, sızıntı yok. Herhangi bir resolver ISP'ine, ev ISP'ine, işletim sisteminin DNS sağlayıcısına veya VPN'in dışında herhangi bir tarafa aitse sızıntın var.

Özellikle IPv6 sızıntıları için, testin IPv6'yı kapsadığından emin ol (bazı eski araçlar sadece IPv4 kontrol eder). Fexyn'in aracı her ikisini de kapsar.

DNS sızıntılarını düzeltme

VPN istemcisine göre gerçek düzeltmeler:

Modern VPN istemcileri (Fexyn, ProtonVPN, Mullvad, NordVPN, ExpressVPN). Bunlar DNS sızıntılarını şu yollarla aktif olarak önler:

• Tünel-olmayan arayüzlerde DNS sorgularını bloklayan WFP filtreleri
• Windows registry / NRPT yapılandırması ile SMHNR'ı devre dışı bırakma
• IPv6 sızıntı koruması (IPv6'yı tamamen blokla veya tunelle)
• Tüm DNS sorgularını VPN'in resolver'larından geçmeye zorla

Bu istemcilerden birini kullanıyorsan ve hâlâ sızıntı görüyorsan, bir şey kırık — destek talebi aç. Sızıntı olmamalı.

Eski veya basit VPN istemcileri. Genelde yukarıdakilerden birinden fazlası eksik. Kullanıcı tarafı düzeltmesi:

• Ağ adaptörünün DNS'ini gizliliğe saygılı bir resolver'a (Cloudflare 1.1.1.1, Quad9 9.9.9.9) otomatik yerine manuel olarak yapılandır
• VPN yönetmiyorsa ağ adaptöründeki IPv6'yı tamamen devre dışı bırak
• VPN'in DNS sunucusu dışında her yere DNS sorgularını bloklamak için OS firewall'unu kullan

Uygulama seviyesinde DNS. OS DNS'ini atlayan tarayıcı DoH ayarları: tüm DNS'in VPN üzerinden yönlenmesini istiyorsan DoH'yi devre dışı bırak. Veya mümkünse DoH'yi VPN sağlayıcının DoH endpoint'ini kullanmak için yapılandır.

Fexyn DNS sızıntılarını nasıl önler

Birkaç katman:

1. WFP filtreleri tünel-olmayana DNS'i bloklar. VPN tüneli ayaktayken, WFP kurallarımız VPN'in DNS sunucusu dışında her yere UDP port 53'ü bloklar. Windows SMHNR bile sızdıramaz çünkü kurallar kernel seviyesinde uygulanır.

2. SMHNR açıkça devre dışı. Yükleyicimiz SMHNR'ı kontrol eden registry girişini değiştirir. Kaldırdığında yeniden etkinleştirilir.

3. IPv6 yönetiliyor. Ya tunelleniyor (kullanıcının VPN yapılandırması destekliyorsa) ya da bloklanıyor (yapılandırma yalnızca-IPv4 olduğunda). Her durumda düz metin IPv6 sorguları sızmıyor.

4. Tünel-içi DNS. Tüm DNS sorguları tünel içindeki DNS sunucularımızda çözülür, herhangi bir dış resolver'da değil.

5. Boot-time persistence (opsiyonel). WFP kuralları yeniden başlatmalar arasında devam eder, böylece DNS sızdırmaz — VPN istemcisi başlamadan önceki boot penceresi sırasında bile.

DoH ve DoT — şifreli DNS

DNS-over-HTTPS (DoH) ve DNS-over-TLS (DoT), istemcin ile resolver arasında DNS sorgularını şifreleyen protokoller. İki senaryoda yararlı:

VPN'siz. Şifreli DNS ISP'inin DNS sorgularını görmesini engeller. DNS resolver'ı hâlâ görür; güveni ISP'den DNS resolver'a kaydırdın. Cloudflare 1.1.1.1 + DoH yaygın bir yapılandırma.

VPN ile. Kemer ve pantolon askısı. VPN zaten tüneli şifreliyor; tünel içinde DoH, sağlayıcı tarafı log uzlaşması durumunda VPN'in DNS'inin VPN sağlayıcı tarafından okunamayacak şekilde yedek şifreleme ekler. Çoğu kullanıcının bu katmanlı yaklaşıma ihtiyacı yok.

Şifreli DNS ama VPN yok. Şifreli DNS sorgu içeriğini ISP'inden gizler; ISP hâlâ bağlantı seviyesinde metadata görür (hangi DNS resolver'ını kullandığını, ne zaman, ne sıklıkla). Çoğunlukla VPN ek yükü olmadan DNS gizliliği isteyenler için yararlı.

Maksimum DNS gizliliği isteyen kullanıcılar için: VPN + tünel içinde DoH + şifreli upstream DNS kullanan no-logs VPN sağlayıcısı. Bu gizlilik katmanlarını üst üste koyuyor; çoğu kullanıcı için gerekli değil.

Sıkça sorulan

VPN'imin DNS sızdırdığını nasıl anlarım?

DNS sızıntı testi çalıştır (Fexyn'in /tools/dns-leak-test'i veya üçüncü taraf). Gösterilen resolver'lar VPN sağlayıcına aitse, sızıntı yok. Başka bir şey çıkarsa, sızıntı.

VPN'im neden DNS sızdırıyor?

En yaygın: Windows SMHNR sorguları birden fazla arayüze gönderiyor. Daha az yaygın: IPv6 sızıntısı, uygulama seviyesi DNS, yanlış yapılandırılmış VPN istemcisi.

DNS sızıntısı ISP'ime gezinme geçmişimi verir mi?

Sızdırılan sorgular için evet. ISP'ler baktığın domain isimlerini görür. DNS sızıntısı onlara VPN olmadan sahip olacakları aynı görünürlüğü verir.

Şifreli DNS tek başına yeterli mi?

Şifreli DNS, DNS içeriğini ISP'inden gizler. Diğer trafiğini şifrelemez. Hedef IP başka yollarla (TLS handshake'lerinde SNI, trafik yönlendirme) hâlâ ISP'ine görünür. VPN daha güçlü genel bir gizlilik aracı.

Router'ımın DNS ayarlarını kullanmalı mıyım?

Router'ın gizliliğe saygılı bir DNS (Cloudflare, Quad9) kullanmak için yapılandırılabiliyorsa evet. Bu ağındaki tüm cihazlar için geçerli. Tam şifreleme için cihaz seviyesinde VPN ile birleştirildiğinde daha iyi.

Fexyn kendi DNS'ini mi yoksa üçüncü taraf mı kullanıyor?

Fexyn tünel içinde kendi DNS resolver'larını kullanır. Resolver'lar kendileri sorgu loglamaz. Şu anda upstream şifreli DNS (upstream'e DoH/DoT) kullanmıyoruz; çözüm resolver'larımızdan root ve TLD sunucularına direkt.

---

Fexyn'i 7 gün ücretsiz dene — WFP-tabanlı DNS sızıntı önleme, IPv6 sızıntı koruması, kernel seviyesi kill switch. DNS sızıntı test aracımızda DNS sızıntıları için test et. Kill switch açıklaması WFP mimarisini kapsar.

Son inceleme 2026-05-09.