Tüm yönleri ile DNS: nedir, nasıl değiştirilir?

İnternet tarihimiz açısından 2014 önemli bir yıl. Sene başındaki sosyal medya yasakları, ardından gelen Anayasa mahkemesinin engeli kaldırın kararı, yeni internet yasası ve yine Anayasa mahkemesinin yasadaki bazı maddeleri iptali tarihe not olarak geçti.

Anayasa mahkemesinin verdiği kararlar, siyasilerin çıkardığı kanunların aslında kanunsuz olduğu anlamına mı geliyor bilmiyorum. Bildiğim şey, internetin pek yasak dinlemediği.

Çünkü, engellemeler DNS tabanlı olunca 40 yıldır kullanılan DNS altyapısı ülkemizde en şöhretli günlerini yaşadı. Binlerce kişi DNS nedir, nasıl değiştirilir öğrendi ve yasağı aşmaya çalıştı. Gazeteler dahi reçete gibi eğitim rehberleri paylaştı. (Doğru yada Yanlış!)

Ben konuya bütünsel bir bakışın, robot gibi uygulanacak reçetelerden çok daha faydalı olacağını inanıyorum. O yüzden konuyu “DNS nedir” ile başlayarak, kendi tarzımda anlatıyorum.

DNS (Domain Name System) nedir?

DNS, interneti oluşturan saç ayaklarından biri. Basit bir probleme çözüm sağlaması için 1984 den beri kullanıyor. Problem şu;

Bildiğiniz gibi, internet radyo/televizyon gibi tek taraflı bir yayın organı değil. Bir alıcı ve verici ilişkisinden çok karşılıklı iletişim söz konusu. Bu yönüyle telefon sistemlerine benziyor ve aynı telefonlardaki gibi, cihazların/sunucuların birbiriyle konuşabilmesi için önce tanımlanması gerekiyor.

Telefonlarda tanımlama için kullandığımız sistem 12 haneli telefon numaraları. Numaralar sayesinde istediğimiz cihaza ulaşabiliyoruz. İnternette ise aynı iş için IP adreslerini kullanıyoruz. (Bknz: 1, 2)

Tahmin edeceğiniz üzere, işin teknik tarafından dolayı bir web adresini ziyaret edebilmek için IP numarasını kullanmamız şart. İşte sıkıntı burada başlıyor.

IP adresleri insanlar için fazla karışık, onları ezberlememiz/kullanmamız imkansız. Biz “173.194.39.78” gibi bir IP adresi yerine “google.com” gibi bir metni tercih ederiz. Bu halimiz teknik yapı ile çelişki oluşturur. Dolayısıyla yazdığımız metni IP numarası ile eşleştirecek bir aracıya ihtiyaç duyulur.

Modern internetin atası Arpanet zamanında sadece birkaç yüz web sitesi olduğundan bu iş için yerel bir dosya/IP rehberi kullanılmış (Hosts dosyası). Zaman zaman tek bir merkezde tutulan dosyayı indirip, sisteminizde kullanmanız yeterli oluyormuş. Sisteminiz dosyadan sizin yazdığınız siteye ait IP numarasını öğreniyormuş.

Ancak artan sayıyla birlikte bu şekilde kullanım imkansız bir hale gelmiş ve 1984 yılında daha ölçeklenebilir bir yönetim için online DNS servislerine geçilmiş. (Bununla birlikte Hosts dosyası hala sistemlerimizde miras olarak bulunmaktadır ve hala DNS sorgulamasından önce kontrol edilmektedir.)

000049-01-02

DNS, web sitesi isimlerine (domain name) karşın IP numaralarını öğrenmemizi sağlayan web rehberidir.

000049-01-03

DNS işleyişi ise kabaca fotoğraftaki gibidir. (1) Sisteminiz ziyaret etmek istediğiniz web sitesinin adını DNS sunucusuna gönderir, (2) DNS sunucusu IP numarasını döndürür, (3) IP numarasını öğrenen sisteminiz sunucu/web sitesi ile iletişimi gerçekleştirir.

Fotoğrafta DNS sorgusu yapıldığında, DNS hizmetini veren servisin kaydedebileceği bilgiler de görülüyor; Sizin IP adresiniz, Lokasyonunuz, Talep ettiğiniz web sitesi, Talep ettiğiniz zaman ve İnternet Servis Sağlayıcınız

Sonuç olarak DNS, insanla bilgisayar arasında iletişimi kolaylaştıran bir tür online tercümandır diyebiliriz. Arka planda sessizce çalışır ve hiçbir kullanıcı etkileşimi gerektirmez. (video; DNS explained)

Sistemimdeki DNS sorgularını nasıl görebilirim?

Konuyu daha iyi anlamak sisteminizdeki DNS sorgularını takip etmekle olacaktır. Portable DNS Cache ile bu işlemi kolayca yapılabilinir. (Alternatifler: DNSQuerySniffer ve DnsEye)

İsterseniz 3 adımda bir örnek yapalım.

000049-02-01

Portable DNS Cache yazılımını indirip sistemimize kuralım. Ardından çalıştıralım.

000049-02-02

Tarayıcımızı açalım. Tarayıcı açıldığı anda, DNS sorguları oluşmaya başlayacaktır. Sebep tarayıcının eklentileri güncelleştirmek, zararlı URL listelerini indirmek için çeşitli sitelere bağlanmasıdır.

000049-02-03

Herhangi bir web sitesine girdiğimizde yeni sorgular görmeye başlayacağız. Onlarca yüzlerce sorgu oluşacak.

Neden bu kadar çok DNS sorgusu oluşuyor?
1.Web siteleri içinde diğer sitelere referanslar bulunur. Mesela sayfada bir youtube videosu varsa, youtube'nin IP adresinin de öğrenilmesi gerekir. Web sayfaları özellikle reklam için birçok altyapı kullandıklarından sadece bir sayfayı görüntülemek için onlarca DNS sorgusu oluşabilir.
2.Her alt domain için DNS sorgusu tekrarlanır. Mesela "siteadi.com", "saglik.siteadi.com" ve "spor.siteadi.com" için ayrı ayrı DNS sorguları oluşturulur. Sayıyı arttıran bir neden de budur.

Göreceğiniz üzere DNS pek haberimiz olmasa da, her gün milyonlarca kez kullandığımız bir altyapı. Hizmet siz müdahale etmediğiniz sürece İnternet Servis Sağlayıcınız tarafından sağlanıyor. (Uydunet, Superonline, Turkcell, Vodafone vb.)

Aslında en hızlı ve iyi çözüm de olduğu gibi bırakmak ancak…

  1. Servis sağlayıcıları DNS sorgularını kaydedip logladığı için,
  2. DNS tabanlı engellemeleri aşmak için,
  3. Netflix, Hulu gibi bölge sınırlamalı içeriklere ulaşmak için (ibDNS, SmartDNS),
  4. Ebeveyn denetimi, reklam engelleme yada zararlı site engelleme özelliklerine sahip daha güvenli DNS için

…alternatif DNS servisleri kullanılabiliyor.

DNS nasıl değiştirilir?

Sonuçta sebebi ne olursa olsun, eğer DNS sunucularını değiştirmek isterseniz, öncelikle yeni bir DNS servisi belirlemeniz gerekiyor;

Servis Adı Tercih Edilen DNS Sunucusu Diğer DNS Sunucusu DNS Hizmet Türü
Google Public DNS 8.8.8.8 8.8.4.4 Standart
Yandex Basic 77.88.8.8 77.88.8.1 Standart
Norton Connect Safe Basic 199.85.126.10 199.85.127.10 Standart
SmartViper Public DNS 208.76.50.50 208.76.51.51 Standart
Level3 USA 209.244.0.3 209.244.0.4 Standart
puntCAT 109.69.8.51 0.0.0.0 Standart
Public-Root Amsterdam 46.244.10.5 0.0.0.0 Standart
Public-Root Paris 46.244.10.70 0.0.0.0 Standart
Public-Root UK 80.252.121.2 0.0.0.0 Standart
Public-Root Melbourne 46.244.10.98 0.0.0.0 Standart
Public-Root USA 208.71.35.137 0.0.0.0 Standart
Public-Root Singapore 46.244.10.116 0.0.0.0 Standart
Public-Root Moscow 82.146.40.113 0.0.0.0 Standart
Public-Root Teheran 128.65.160.37 0.0.0.0 Standart
OpenDNS Enhanced DNS 208.67.222.222 208.67.220.220 Güvenli
Comodo Secure DNS 8.26.56.26 8.20.247.20 Güvenli
Norton Connect Safe Secure 199.85.126.20 199.85.127.20 Güvenli
OpenNIC Europe 151.236.6.156 5.9.234.2 Güvenli
NeuStar DNS Advantage 156.154.70.1 156.154.71.1 Güvenli
Yandex Safe 77.88.8.88 77.88.8.2 Güvenli
DynDNS 216.146.35.35 216.146.36.36 Güvenli
OpenNIC USA 173.230.156.28 23.90.4.6 Güvenli
GreenTeam UK 81.218.119.11 209.88.198.133 Güvenli
Norton Connect Safe Family 199.85.126.30 199.85.127.30 Güvenli+Çocuk Filt.
OpenDNS Family Shield 208.67.222.123 208.67.220.123 Güvenli+Çocuk Filt.
Yandex Family 77.88.8.7 77.88.8.3 Güvenli+Çocuk Filt.
FreeDNS 37.235.1.174 37.235.1.177 Anonymous
DNS.WATCH 84.200.69.80 84.200.70.40 Anonymous
CensurFriDNS Denmark 89.233.43.71 89.104.194.142 Anonymous
BlockAid Europe 178.21.23.150 205.204.88.60 Anonymous
BlockAid USA 205.204.88.60 178.21.23.150 Anonymous
Swiss Privacy Foundation 77.109.138.45 77.109.139.29 Anonymous
FoolDNS 87.118.111.215 213.187.11.62 Reklam Engelleme

Bir DNS servisi seçerken en önemli nokta, mümkünse yapılan sorguların kayıt altına alınmaması. Mesela ülkemizde en sık kullanılan Google DNS tüm sorguları kaydediyor. (Google’ın kaydetmediği birşey var mı?)

Sorgularınız kayıt altına alınırsa, reklam amaçlı kullanılabilir. Profiliniz oluşturulabilir, sonradan resmi makamlarla paylaşılabilir. Mahremiyet garantisi olmayan DNS servisleri size dair şu bilgileri öğrenip saklayabilir;

DNS sorgularınız loglandığında buna benzer datalar kaydedilecektir.

DNS sorgularınız loglandığında buna benzer datalar kaydedilecektir.

  • IP adresiniz
  • Bulunduğunuz lokasyon (IP adresinizden elde edilir ve yerine göre mahallenize kadar doğru olabilir)
  • İnternet Servis Sağlayıcınızın adı (IP adresinizden elde edilir)
  • Ziyaret etmek istediğiniz domain/alt domain adı
  • Ziyaret tarihi ve zamanı

Ben bundan dolayı, mümkünse sıfır log politikası ile çalışan DNS servislerini kullanmanızı öneririm. Verdiğim listedeki “Anonymous” buna işaret ediyor.

Öte yandan, varsayılan ISS-DNS sunucunuz zaten bu bilgileri kaydettiğinden, ha değiştirmişim Norton kayıt etmiş ha değiştirmemişim ISS kayıt etmiş ne farkeder, bari güvenli olsun deyip Norton gibi alternatiflere yönelebilirsiniz.

Bundan daha kötü ne olabilir derseniz, DNS servis sağlayıcının IP adreslerini değiştirip, sizi zararlı web sitelerine yönlendirmesi olabilir derim. Buna normalde rastlanmaz ama DNS servisi hacklenirse başınıza gelebilir.

Bu nedenle güvenilir ve anonim bir DNS sağlayıcısı seçmeniz yerinde olacaktır.

Güvenli DNS servisleri, problemli bir URL girdiğinizde (mesela phishing yada malware barındıran web sitesi) IP numarasını döndürmez yada yerine uyarı gösteren bir başka sayfanın IP numarasını döndürür. Sonuçta zararlı sayfaya giremezsiniz ve sebebini uyarı olarak görebilirsiniz.

Aslında yasaklı siteler de DNS ile bu şekilde engellenir. O sebeple DNS hizmetini aldığınız yeri değiştirdiğinizde, site eğer hizmeti veren tarafından engellenmediyse, yasağı aşarsınız.

Bu teknik çok güzel. Mesela FoolDNS kullanarak reklamları, Norton Connect Safe Secure DNS kullanarak malware gibi zararlıları engelleyebiliyorsunuz. Çocuğunuz varsa Yandex Family gibi ebeveyn denetimli DNS kullanabiliyorsunuz.

Tekniğin zayıf yanı domain yada alt domain adı kapsamında çalışması. URL bazında blokaj yapılmaması. Yani, “siteadi.com/zararli/” URL adresi şeklinde engelleme yapamazsınız. Komple “siteadi.com” adresini engellemeniz gerekir.

Bazı kötücül yazılımlar, modeminizdeki/bilgisayarınızdaki DNS sorgulama mekanizmasını manipule eder yada direk dns adreslerinizi değiştirerek kötücül amaçlar için kullanırlar.

Mesela; bankanızın sitesine girmek istediğinizde, manipüle edilmiş DNS size kötücül bir IP adresi döndürür ve hesabınız soyulur.

Hackerlar modeminizdeki açıklardan faydalanıp DNS sorgularını manipüle edebilir. (Imaj: thehackernews.com)

Hackerlar modeminizdeki açıklardan faydalanıp DNS sorgularını manipüle edebilir. (Imaj: thehackernews.com)

Bunun DNS adresini değiştirmenizle bir ilgisi bulunmaz. Zararlıların kullandığı pek çok yöntemden biridir ve yapmanız gereken genel güvenlik esaslarına uymaktır. Kaliteli güvenlik yazılımları çoğu zaman zarar görmenizi engelleyecektir.

Eğer konunun güvenlik tarafıyla ilgiliyseniz, size gerçekten okumaktan zevk aldığım infoblox dokümanlarını öneririm. “White Papers” bölümünden konu hakkında tonla bilgi bulabilirsiniz.

Seçimi yaptıysanız, gerisi basit. DNS değişikliği modemdem, Windows ağ ayarlarından (Yöntem 1) yada DNS değiştirme yazılımlarıyla yapılabiliyor.

Programların avantajı, DNS adreslerinin içinde hazır olması ve sizin araştırmak zorunda olmamanız. Bu konudaki en bilindik uygulamalar şunlar; ChrisPC DNS Switch, DNS Angel, DNS Changer Pro, DNS Jumper, QuickSetDNS, Smart DNS Changer

Ben aralarında en iyi yazılımın DNS Jumper olduğunu düşünüyorum. Kolay kullanımlı bu yazılımın yeteneklerini ve kullanımını “Yöntem 2” sekmesinde anlatıyorum.

Leave a Reply