Sözlük
DNS leak nedir
DNS sorguları VPN tünelini atlayıp ISP'ye ulaştığında — trafiğin şifreli olmasına rağmen ziyaret ettiğin siteler açığa çıkar.
DNS leak, VPN'in bağlı olduğu, trafiğinin şifrelendiği, ama DNS sorgularının tünelden kaçıp yine ISP'ye ulaştığı durumdur. VPN iyi görünür. ISP'n yine ziyaret ettiğin domain'leri görür. Çoğu kullanıcı bunu fark etmez.
Mekanizma: VPN paketleri sunucusuna tüneller, ama DNS aramaları OS'un farklı bir katmanında olur. O katman tünele kilitli değilse sorgular Windows veya router'ında yapılandırılmış DNS resolver'dan — genellikle ISP'ninki — kaçar.
Dört tipik leak yolu
1. Smart Multi-Homed Name Resolution (SMHNR)
Windows 8 SMHNR'ı tanıttı. DNS sorgularını paralel olarak mevcut her DNS sunucusuna gönderir ve önce gelen yanıtı kullanır. VPN bağlıyken bu sorguların aynı zamanda hem VPN'in resolver'ına (tünel içinde) hem de ISP'nin resolver'ına (tünel dışı) gittiği anlamına gelir. ISP, VPN'in yanıtının yarışı kazanıp kazanmadığına bakmaksızın sorguyu görür.
Windows 10 bunu biraz değiştirdi — SMHNR'ın VPN tünelini tercih etmesi gerekiyor. Pratikte her zaman değil. Davranış adapter metric sırasına ve Network Connectivity Status Indicator (NCSI)'ya bağlıdır. Leak'ler aralıklıdır — bir kez geçer, gerçek yük altında sızar.
2. IPv6 fall-through
Çoğu VPN protokolü sadece IPv4 tüneller. ISP'n sana IPv6 verirse ve makinen IPv6'yı tercih ederse DNS aramaları IPv6 yolundan gidebilir. IPv6 sorgu gerçek arayüzünden çıkar, ISP'nin IPv6 DNS resolver'ına vurur ve ISP aramayı görür.
3. Tarayıcıda DNS-over-HTTPS
Modern Chrome, Firefox, Edge ve Brave public bir resolver'a (Cloudflare, Google, Quad9, NextDNS) DNS-over-HTTPS yapabilir. DoH aktifken tarayıcı sistem DNS katmanını tamamen atlar.
ISP'den gizlilik için iyidir — Cloudflare'a DoH ISP'nin resolver'ından daha gizli. VPN-tüneli DNS için kötüdür çünkü tarayıcı şimdi alttaki arayüz üzerinden direkt Cloudflare ile konuşuyor.
4. Uygulama seviyesi resolver'lar
Bazı uygulamalar kendi DNS'lerini gömer (Tailscale, Cloudflare WARP, bazı kurumsal VPN'ler). VPN'in kurallarıyla çatışan kendi sistem kurallarını kurarlar. Aynı anda çalışan birden fazla VPN neredeyse her zaman sızar.
Nasıl test edilir
VPN bağlıyken Fexyn'in DNS leak testini kullan. Sonuç sadece VPN sağlayıcısının resolver'larını göstermeli. ISP'nin adı görünürse leak var.
İki kontrol:
- Standart test — tek seferlik sorgu grubu, tutarlı leak'leri yakalar.
- Genişletilmiş test — zamanla yayılmış altı tur, aralıklı leak'leri yakalar.
İkisini de çalıştır. Genişletilmiş test en kötü kategoriyi yakalar: bir kez çalışır, gerçek yük altında sızar.
Atak yapan veya ISP leak'ten ne alır
Her sızdırılan sorgudan: domain, timestamp ve tarama pattern'inin uzun vadeli resmi. Şifreli tünel diğer her şeyi gizlese de hedefler davranışı tanımlamak için yeterli. Zorunlu retention'ı olan ülkelerdeki ISP'ler (UK Investigatory Powers Act, Fransa Loi Renseignement, Türkiye 5651 sayılı Kanun) bunları uzun vadeli kayıtlar olarak tutar.
Fexyn leak'leri nasıl kapatır
Katmanlı savunma:
- OS seviyesinde NRPT kuralları her domain'i VPN'in resolver'ı üzerinden zorlar, SMHNR'ı ezer.
- Protokol başına DNS — WireGuard, VLESS Reality ve OpenVPN her biri DNS'i tünel üzerinden yönlendirir.
- Tünel ayakta olduğu sürece IPv6 null-routing.
- WFP kill switch — tünel düşerse DNS de kaçmaz.
Derin inceleme DNS leak'ler konumu nasıl açığa çıkarır ve troubleshooting kılavuzunda.
Fexyn'i 7 gün ücretsiz dene ve leak testiyle doğrula.
İlgili terimler
Fexyn'i 7 gün ücretsiz dene
Windows uygulaması Beta'da mevcut. WireGuard, VLESS Reality ve OpenVPN — tarama geçmişi, DNS sorgusu veya trafik içeriği logları tutulmaz.
Fiyatlandırma