DNS Sızıntısı Testi: DNS Sızıntılarını Kontrol Etme ve Düzeltme Yöntemleri
VPN'iniz başka bir ülkede temiz bir IP adresi gösterirken, internet sağlayıcınıza açtığınız her sitenin listesini sessizce iletebilir. Bu açığın bir adı var: DNS sızıntısı. Kilit kapalı görünüyor, trafik gizli görünüyor, ancak bir alan adını adrese dönüştüren sorgular düz metin olarak yan kapıdan dışarı sızıyor. Bunun sizin başınıza gelip gelmediğini anlamanın tek yolu hızlı bir DNS sızıntısı testi yapmaktır ve bunu ilk kez yapan çoğu kişi buldukları karşısında şaşırır.
Bu kılavuz, DNS sızıntısının ne olduğunu, yaklaşık otuz saniyede DNS sızıntılarını nasıl kontrol edeceğinizi, sonucun ardındaki nedeni nasıl düzelteceğinizi ve kripto para tutmanın neden daha riskli olduğunu açıklıyor. Son kısım, neredeyse hiçbir başka kılavuzun ayrıntılı olarak ele almadığı bir şey.
DNS sızıntısı nedir ve ne tür sızıntılar meydana gelir?
Alan Adı Sistemi'ni internetin telefon rehberi olarak düşünün. Bir alan adı yazarsınız, cihazınız küçük bir DNS isteği gönderir ve bir DNS sunucusu eşleşen IP adresini geri verir. Oldukça basit. Sızıntı, bu aramanın izlemesi gereken yoldan sapmasıyla gerçekleşir. Sorgu, şifrelenmiş VPN tünelinizden VPN'in kendi çözümleyicisine gitmek yerine, genellikle düz metin olarak ISS'nizin DNS sunucusuna sızar.
Filmlerdeki anlamda hiçbir şey "çalınmaz". Sızan şey meta verilerdir: ziyaret etmeye çalıştığınız sitelerin sıralı listesi, gerçek IP adresinize bağlanmıştır. Bu yeterlidir. DNS'i bu şekilde kullanarak, internet servis sağlayıcınız (ISP), salı günü saat 11:47'de belirli bir borsayı, cüzdan hizmetini veya bir haber sayfasını açtığınızı bilmek için gerçek trafiğinizin tek bir baytını bile okumak zorunda kalmaz. Bir web sitesini her ziyaret ettiğinizde, arama bir yere çözümlenmelidir ve sorun da buradadır. İşte rahatsız edici kısım: sızıntı, nadir bir aksaklıktan ziyade web'in varsayılan ayarına daha yakındır. Cloudflare Radar'a göre , Şubat 2026 itibarıyla dünya genelindeki DNS sorgularının yaklaşık %86,6'sı hala düz, şifrelenmemiş UDP olarak ağ üzerinden geçmektedir. Şifrelenmiş DNS istisnadır, kural değil.
DNS sızıntısı nasıl oluşur: IPv6, WebRTC, yönlendiriciler
Sızıntıların çoğu zekice saldırılar değildir. Bunlar, VPN'in hiçbir zaman tamamen geçersiz kılmadığı sıradan işletim sistemi davranışlarıdır. Başarısız testlerin büyük çoğunluğunun üç nedeni vardır.
IPv6 ve VPN'inizin unuttuğu güvenlik açığı
Bu, DNS sızıntılarının sessiz şampiyonu. Birçok VPN, IPv4'ü tünellemek ve IPv6'yı başkasının sorunu olarak ele almak üzere tasarlandı. Bu nedenle, işletim sisteminizde IPv6 etkinleştirilmişse ve VPN yalnızca IPv4'ü alıyorsa, bu IPv6 DNS sorguları doğrudan tünelden dışarı çıkar. Bu varsayımsal bir durum da değil. ACM IMC'de Cho ve Heidemann tarafından yapılan ve hakemli bir dergide yayınlanan 2025 tarihli bir çalışmada, 12 ticari VPN'in yalnızca IPv4 kullanan kullanıcılarının %5 ila %57'si arasında IPv6 trafiğini sızdırdığı tespit edildi. Yıllarca "IPv6 sızıntı koruması" uygulansa da, sızıntı hala verilerde mevcut.
İnternet servis sağlayıcınız tarafından gerçekleştirilen şeffaf DNS ele geçirme
Bazı İnternet Servis Sağlayıcıları (İSS'ler), ağınızdan 53 numaralı porttan çıkan tüm DNS isteklerini yakalar ve hangi sunucuyu ayarlamış olursanız olun, kendi çözümleyicilerinden geçirirler. Bu, şeffaf DNS ele geçirme işlemidir. Bir sızıntı testi yaparsanız, farklı bir çözümleyici yapılandırmış olsanız bile İSS'nin çözümleyicisinin size baktığını göreceksiniz. Windows, iki özel şekilde durumu daha da kötüleştirir: DNS sorgularını aynı anda her ağ bağdaştırıcısından gönderen Akıllı Çoklu Bağlantılı Ad Çözümlemesi (SMHNR) ve VPN'in etrafından sessizce ikinci bir yol açan bir IPv6 tünelleme hizmeti olan Teredo.
Tarayıcı ve WebRTC sızıntıları
WebRTC, gerçek zamanlı sesli ve görüntülü aramaların arkasındaki tarayıcı özelliğidir. Kullanışlıdır, ancak DNS'yi tamamen atlayarak doğrudan bağlantı istekleri yoluyla yerel ve genel IP adresinizi de açığa çıkarabilir. Kesin olarak söylemek gerekirse, bu bir DNS sızıntısı değildir. İyi bir DNS sızıntısı testi yine de bunu kontrol eder, çünkü sonuç aynıdır: gerçek adresiniz ekranda görünür. Altta yatan bu karmaşa ne kadar yaygın? 2016 yılında CSIRO ve Macquarie Üniversitesi tarafından 283 Android VPN uygulaması üzerinde yapılan eski ama hala alıntı yapılan bir çalışmada, %66'sının DNS trafiğini sızdırdığı ve %84'ünün IPv6'yı tünel üzerinden hiç yönlendirmediği tespit edildi; bu bulgular ACM IMC 2016 bildirilerinde belgelenmiştir . Dokuz yıl sonra, hiç kimse bu rakamları alt üst edemedi.
Ücretsiz DNS sızıntı testi nasıl yapılır ve sonuçlarını nasıl okuyabilirsiniz?
Testi çalıştırmak kolay kısım. Asıl sorun sonuçları okumakta. VPN'inizi bağlayın, tarayıcınızda ücretsiz bir DNS sızıntısı testi sayfası açın ve hem standart hem de genişletilmiş testi çalıştırın. Birkaç saniye sonra, size yanıt veren DNS çözümleyicilerinin bir listesini alacaksınız; her birinin sahibi ve konumu da belirtilmiş olacak. Şimdi önemli olan tek soru şu: Bu çözümleyiciler VPN'inize mi, yoksa internet servis sağlayıcınıza ve Google'a mı ait?
İki kez çalıştırın. DNS sızıntısı testini önce VPN kapalıyken yapın, böylece ISS çözümleyicinizin nasıl göründüğünü anlayın, sonra da tünel açıkken tekrar yapın. Her iki çalıştırmada da aynı ISS sunucusu mu görünüyor? İşte sızıntınız bu, apaçık ortada. Sadece VPN bağlıyken çözümleyiciniz mi görünüyor? DNS'iniz temiz, en azından bir sonraki yeniden başlatma aksini söyleyene kadar.
| Testin gösterdiği şey | Karar | Ne yapalım |
|---|---|---|
| Yalnızca VPN'inizin DNS sunucuları | Sızıntı yok | Sorun yok; güncellemelerden sonra tekrar test edin. |
| İnternet servis sağlayıcınızın çözümleyicisi görünüyor. | DNS sızıntısı | Tünele güvenmeden önce aşağıdaki sorunu düzeltin. |
| Google veya sizin ayarlamadığınız üçüncü taraf bir çözümleyici | Kısmi sızıntı | DNS ayarlarını manuel olarak yapın; yönlendirici yapılandırmasını kontrol edin. |
| IPv4 sunucusundan farklı bir IPv6 sunucusu. | IPv6 sızıntısı | IPv6'yı devre dışı bırakın veya tünelleme yapan bir VPN kullanın. |
| WebRTC alanında gösterilen gerçek IP adresiniz. | WebRTC sızıntısı | Tarayıcıda WebRTC'yi devre dışı bırakın. |
DNS sızıntılarının kripto para gizliliği açısından önemi
VPN inceleme sitelerinin atladığı kısım işte burası. Kripto para kullanıcıları için DNS sızıntısı, ortalama bir kişiye göre daha kötüdür, çünkü zincir içi gözetimin kendi başına aşamayacağı tek boşluğu kapatır: ağ kimliğiniz ile cüzdanınız arasındaki bağlantı.
IP adresinizi bir cüzdana bağlama
Blockchain analiz firmaları adresleri kümeleme ve fonları takip etme konusunda çok iyidir. Ancak, zincir dışı bir ipucu olmadan gerçek bir kişiyi bir adrese bağlamak kolay değildir. DNS sızıntısı tam olarak bu ipucudur. Cihazınız cüzdan alanlarına, blok gezgini sitelerine veya düğüm RPC uç noktalarına sorgular sızdırıyorsa ve bu sorgular zaman damgasıyla birlikte gerçek IP adresinizi içeriyorsa, bir gözlemci ağ izini aynı anda gerçekleşen zincir içi etkinlikle ilişkilendirebilir.
Exchange oturum açma işlemleri ve KYC korelasyonu
İşte en keskin nokta burası. Merkezi bir borsaya giriş yaptığınızda, cihazınız o borsanın alan adını arar. Bu arama internet servis sağlayıcınıza sızarsa, gerçek IP adresinize karşı kaydedilir. Borsanız zaten KYC (Müşterinizi Tanıyın) yoluyla doğrulanmış kimliğinizi elinde tutuyor. Şimdi üçüncü bir taraf, bu kimliği VPN'in gizlemesi gereken bir oturumla ilişkilendirebilir. Bu tür korelasyonları satın alan ve işleyen blockchain analitik endüstrisi 2025 yılında 2,99 milyar dolar değerindeydi ve yılda %22 oranında büyümesi bekleniyor; Chainalysis ise 2026 Kripto Suç Raporu'nda 2025 yılı için 154 milyar dolarlık yasadışı kripto hacmi saydı - her türlü bağlantıyı kurmak için güçlü teşviklere sahip bir pazar.
DNS kaydının sizin hakkınızda ortaya koyduğu şeyler
Trafik içeriğiniz olmasa bile, çözümlediğiniz alan adlarının sıralı listesi davranışsal bir parmak izidir. Hangi borsa, hangi cüzdan, hangi DeFi arayüzü, hangi sırayla, hangi saatte. ABD düzenleyicileri bu verilere olan iştahı doğruladı: 2021 tarihli bir FTC personel raporu, altı büyük Amerikan internet servis sağlayıcısının ( ISP) tamamının DNS sorgularını ve tarama verilerini kaydettiğini ortaya koydu. Dürüst olmak gerekirse, henüz hiçbir kamu davası, kripto para birimlerinin anonimliğinin ortadan kaldırılmasını tek başına bir DNS sızıntısına bağlamadı. Bu yetenek iyi belgelenmiştir; ancak kesin kanıt niteliğindeki dava henüz belgelenmemiştir. Bunun böyle kalacağına güvenmem.
Her cihazda DNS sızıntılarını nasıl önleyebilirsiniz?
İyi haber: Çözüm kısa bir menüden ibaret, uzun bir maraton değil. Paranoyadan dolayı altı kolun hepsini denemek yerine, testinizin gerçekten gösterdiği değere uygun kolu seçin. Pratikte çoğu insan iki, belki üç kola ihtiyaç duyar.
Windows ve macOS'ta DNS sızıntılarını düzeltin
Windows'ta, genellikle suçlular Akıllı Çoklu Bağlantılı Ad Çözümleme ve Teredo adaptörüdür. İkisini de devre dışı bırakın. Ardından, aktif ağ bağdaştırıcınıza statik bir DNS sunucusu atayın. macOS'ta daha nazik bir yöntem var: DNS'inizi Ağ ayarlarında manuel olarak ayarlayın, ardından `sudo dscacheutil -flushcache` komutuyla önbelleği temizleyin. Her iki durumda da, yeniden bağlanın ve DNS sızıntısı testini bir kez daha çalıştırın. Çözümleyici listesi yalnızca VPN'inizi mi gösteriyor? Tamam. Eski ISS sunucunuz hala çalışıyorsa, sızıntı yığın içinde daha alt bir yerden kaynaklanıyor demektir.
Yönlendiricinizi ve IPv6'yı güvenli hale getirin.
VPN'iniz IPv6 tünelleme yapmayı reddediyor mu? O zaman işletim sistemi düzeyinde IPv6'yı kapatın, böylece sorguların yönlendirebileceği ikinci bir yol kalmasın. Ve yönlendiriciyi de unutmayın. Yönlendiricinin kendisi hala ISS'nizin DNS'ine işaret ediyorsa, sızıntı sadece bir adım yukarı kayar ve cihaz düzeyindeki düzgün çözümünüz gerçek resmi sessizce gizler. Yönlendiriciyi güvendiğiniz bir çözümleyici kullanacak şekilde yapılandırın ve arkasındaki her telefon, dizüstü bilgisayar ve konsol bu ayarı otomatik olarak devralır.
VPN ayarları ve DNS sızıntısı koruması
VPN istemcinizi açın ve üç ayarı kontrol edin: kendi DNS sunucularını kullanıyor, DNS sızıntısı koruması açık ve acil bağlantı kesme anahtarı açık. Bu son iki özellik aynı değil ve bu da insanları sürekli yanıltıyor. Acil bağlantı kesme anahtarı, şifrelenmiş tünel bağlantısı kesildiği anda trafiğinizi tamamen keser. DNS sızıntısı koruması ise sorgularınızı tünel hala aktifken tekrar o tünel üzerinden yönlendirir. İkisini de istiyorsunuz. Ve bunları gerçekten incelemelisiniz, çünkü "varsayılan olarak güvenli" bir pazarlama sloganıdır, bir vaat değildir.
| Neden | Testte gördüğünüz şey | Düzeltmek | Nerede |
|---|---|---|---|
| IPv6 sızıntısı | IPv6 çözümleyicisi IPv4'ten farklıdır. | IPv6'yı devre dışı bırakın veya VPN'e geçin. | İşletim Sistemi / VPN |
| İnternet servis sağlayıcısı ele geçirme | Manuel DNS'ye rağmen ISS çözümleyicisi | Şifrelenmiş DNS'i ayarlayın (DoH veya DoT). | İşletim sistemi / yönlendirici |
| Windows SMHNR veya Teredo | Birden fazla çözümleyici, bunlardan biri de İnternet Servis Sağlayıcısı (ISP). | SMHNR ve Teredo'yu devre dışı bırakın. | Windows |
| Yönlendirici, ISS DNS'ini kullanıyor. | Her cihazda aynı sızıntı. | Yönlendirici DNS ayarlarını manuel olarak yapın. | Yönlendirici |
| WebRTC maruziyeti | WebRTC alanında gerçek IP | WebRTC'yi devre dışı bırakın | Tarayıcı |
Sızıntı yapmayan bir DNS sunucusu seçmek
DNS sızıntısı testini geçmek zaferin sadece yarısıdır. Çözümleyiciyi nereye yönlendirdiğiniz, tünel kadar önemlidir, çünkü kayıt tutan bir DNS sağlayıcısı hala gözetim altındadır, sadece daha dostane bir logoya sahiptir. Cloudflare 1.1.1.1, Quad9 9.9.9.9, Google ise 8.8.8.8 kullanıyor. Aynı iş, çok farklı kayıt politikaları. Bu yüzden onları okuyun. Bir forum gönderisinde önerilen hangisi olursa olsun onu kullanmak, insanların "sızıntısız" görünmelerine rağmen hala izlenmelerine yol açar.
Ardından sorgunun kendisini şifreleyin. HTTPS üzerinden DNS (DoH) ve TLS üzerinden DNS (DoT) her ikisi de sorguyu şifreleyerek ISS'nizin onu okumasını veya iletim sırasında ele geçirmesini engeller. Ancak neredeyse hiç kimse bununla uğraşmaz. Şifrelenmiş taşıma yöntemleri, 2026 yılının başlarında DNS sorgularının yalnızca yaklaşık %11,3'ünü işledi ve uçtan uca DNSSEC doğrulaması, ilk çeyrekte yuvarlama hatası olarak %0,47'de kaldı. Tek bir ayar. Bunu değiştirirseniz, sessizce küçük, çok daha iyi korunan bir azınlığa katılmış olursunuz.
VPN'iniz gerçekten DNS sızıntılarını önlüyor mu?
"DNS sızıntısı koruması" kutucuğunu bir garanti değil, bir iddia olarak değerlendirin. 2016'daki sızıntı oranları, 2025'te yapılan yeni araştırmalarda da görünmeye devam ediyor; bu da sorunun, sektörün sessizce çözdüğü bir şey değil, bu istemcilerin nasıl tasarlandığına bağlı olduğunu gösteriyor. VPN kullanımı yaygın olsa da, evrensel değil: Security.org'a göre, 2025'te ABD'li yetişkinlerin %32'si VPN kullandığını söyledi; bu oran bir önceki yıla göre %46'dan keskin bir düşüş gösterdi. Yani kural sıkıcı ama işe yarıyor. VPN'i kurduğunuz gün, her büyük işletim sistemi güncellemesinden sonra ve istemci siz bakmazken gece 3'te kendi kendine yeniden bağlandığında bir DNS sızıntısı testi yapın.
DNS sızıntısı testiyle ilgili şimdi ne yapmalısınız?
DNS sızıntısı yapan bir VPN, yüzünüze yalan söyleyen bir gizlilik aracıdır ve yalanını yakalamanın tek yolu bakmaktır. Öyleyse bakın. Şimdi testi iki kez çalıştırın, VPN kapalı ve VPN açıkken. Gerçekten ortaya çıkan tek nedeni düzeltin, cihazınızı politikasını okumaya zahmet ettiğiniz şifrelenmiş bir çözümleyiciye yönlendirin ve bir sonraki güncellemeden sonra tekrar test edin. Kripto para kullanıyorsanız, DNS yolunuzu sonradan akla gelen bir şey olarak değil, tehdit modelinizin bir parçası olarak ele alın, çünkü burada sızıntı yalnızca tarama geçmişiyle değil, bağlantılı kimliklerle ölçülür. Üzerinde düşünmeye değer bir soru: Kurulumunuz bunca zamandır sızıntı yapıyorsa, ISS'niz zaten ne yazmış olabilir?
