Site icon Baki ÇUBUK

DNS Sadece “İnternetin Telefon Rehberi” Değil: Kapsamlı Rehber ve Referans

Merhaba

DNS’i çoğu kaynak “internetin telefon rehberi” olarak anlatır. Bu benzetme doğru ama eksik. DNS, bir alan adını IP adresine çevirmekten çok daha fazlasını yapan, dağıtık ve hiyerarşik bir sistemdir. Bu yazıda DNS’in ne olduğunu, bir sorgunun arka planda hangi sunuculardan geçtiğini, kayıt tiplerini, TTL mantığını ve sorun giderme komutlarını uçtan uca ele alıyorum. Hem networking hem de siber güvenlik tarafında çalışan herkesin sağlam bir DNS temeline ihtiyacı var.

DNS Nedir?

Basitçe DNS, www.google.com gibi insanların okuyabildiği isimleri, 142.250.64.100 gibi makinelerin anladığı IP adreslerine çeviren sistemdir. Yani IP adreslerini ezberlemek yerine bir isim yazarsınız, DNS sizin için doğru numarayı bulur.

Teknik tanımıyla DNS, dağıtık ve hiyerarşik bir eşleme sistemidir:

Bunun yanında e-posta yönlendirmesi (MX), takma adlar (CNAME), servis keşfi (SRV) ve metin/konfigürasyon bilgisi (TXT) gibi işleri de yürütür.

Popüler DNS Sağlayıcıları

Sağlayıcı Birincil DNS İkincil DNS Öne Çıkan
Google DNS 8.8.8.8 8.8.4.4 Hızlı, güvenilir, minimum loglama
Cloudflare 1.1.1.1 1.0.0.1 Gizlilik odaklı, DoH/DoT
OpenDNS 208.67.222.222 208.67.220.220 Ebeveyn kontrolü, phishing koruması
Quad9 9.9.9.9 149.112.112.112 Güvenlik ve zararlı yazılım filtreleme
CleanBrowsing 185.228.168.9 185.228.169.9 Aile güvenli DNS filtreleme
Comodo Secure DNS 8.26.56.26 8.20.247.20 Zararlı yazılım ve phishing koruması

Bir DNS Sorgusu Adım Adım Nasıl Çözülür?

Tarayıcınıza www.bakicubuk.com yazdığınızda arka planda ne olduğunu sırayla görelim. Bu akıştaki her sunucunun net bir görevi var.

1. Local DNS Cache (Yerel Önbellek)

Herhangi bir ağ sorgusu yapılmadan önce tarayıcınız ve işletim sisteminiz kendi önbelleklerini kontrol eder. Bu bir DNS sunucusu değildir ama dışarıya hiç istek göndermeden cevap verebilir.

Cache Hit (isabet): IP önbellekte bulunur ve geçerliyse cihaz doğrudan web sunucusuna bağlanır. Recursive resolver, root, TLD ve authoritative sunucuların tamamı atlanır bu yüzden aynı siteye tekrar girmek çok daha hızlıdır.

2. Recursive Resolver (Özyineli Çözümleyici)

Önbellekte cevap yoksa istek bir recursive resolver’a gider (örneğin Google’ın 8.8.8.8’i). Bu sunucu, sizin adınıza diğer DNS sunucularını sorgulayarak tüm işi yapan ilk sunucudur. Cihazınızın konuştuğu ilk adrestir.

3. Root DNS Sunucuları

DNS hiyerarşisinin tepesindeki sunuculardır. Alan adlarının IP’lerini bilmezler; ancak size TLD sunucularının (.com, .org gibi) nerede olduğunu söylerler.Resolver root sunucuya sorar: “www.bakicubuk.com‘u çözmem gerekiyor, .com için yetkili bilgiyi nerede bulurum?” Root sunucu da .com TLD sunucularının adreslerini verir.

4. TLD (Top-Level Domain) Sunucuları

.com, .net, .org, .in gibi uzantıları yöneten sunuculardır. Alan adının IP’sini bilmezler ama o alan adı için hangi authoritative name server‘ın kayıtları tuttuğunu söylerler. Yani resolver’a “bakicubuk.com için yetkili sunucular ns1.bakicubuk.com ve ns2.bakicubuk.com” bilgisini iletirler.

5. Authoritative DNS Sunucusu (Nihai Kaynak)

Bu gerçeğin kaynağıdır. Bir alan adının tüm DNS kayıtlarını (A, AAAA, CNAME, MX, TXT vb.) barındırır. Resolver doğrudan bu sunucuya sorar ve istenen kaydı örneğin “www.bakicubuk.com‘un IP adresi 34.45.67.78” geri alır.

6. Cevap ve Önbelleğe Alma

Recursive resolver artık kesin IP adresine sahiptir. Bu adresi cihazınıza gönderir ve gelecekteki sorguları hızlandırmak için sonucu önbelleğe alır. Cihazınız da bu IP ile web sunucusuna bağlanıp sayfayı yükler.

13 Root Sunucusu

Mantıksal olarak A’dan M’ye 13 root sunucu ismi vardır. Bunlar Verisign, ICANN, RIPE NCC, USC-ISI, Cogent, NASA, ISC, ABD Savunma Bakanlığı gibi kuruluşlar tarafından işletilir. Önemli noktalar:

DNS Kayıt Tipleri

DNS yalnızca bir A kaydından ibaret değildir. En yaygın kayıt tiplerine bakalım.

Kayıt Tipi Amaç Örnek
A Alan adını IPv4 adresine eşler bakicubuk.com → 34.45.67.78
AAAA Alan adını IPv6 adresine eşler bakicubuk.com → 2606:2800:220:1:248
CNAME Başka bir alan adının takma adı www → myapp.hosting.net
MX Alan için posta sunucusu mail.bakicubuk.com priority 10
NS Alan için yetkili name server’lar ns1.bakicubukns.com
PTR Ters sorgu: IP → alan adı 78.67.45.34.in-addr.arpa → bakicubuk.com
SOA Start of Authority — zone bilgisi Birincil NS, admin e-posta, serial
TXT Metin bilgisi (SPF, DKIM, doğrulama) “v=spf1 include:_spf.google.com”

Kayıtları Örneklerle Anlamak

A (Address) Kaydı – Bir alan adını veya hostname’i 32-bit IPv4 adresine eşler. Bir alan adını sunucuya yönlendiren en temel kayıttır.

bakicubuk.com.       IN A     34.45.67.78
www.bakicubuk.com.   IN A     34.45.67.78
mail.bakicubuk.com.  IN A     34.45.67.79

AAAA (Quad-A) Kaydı – A kaydının IPv6 karşılığıdır; alan adını 128-bit IPv6 adresine eşler.

bakicubuk.com.  IN AAAA  2001:0db8:85a3:0000:0000:8a2e:0370:7334

CNAME (Canonical Name) Kaydı – Bir alan adından başka bir alan adına takma ad oluşturur. Resolver CNAME’i sorguladığında hedef isim için yeni bir arama yapar.

blog.bakicubuk.com.  IN CNAME  bakicubuk.wordpress.com.
www.bakicubuk.com.   IN CNAME  bakicubuk.com.

MX (Mail Exchange) Kaydı – Bir alan adına gelen e-postaları kabul edecek posta sunucularını belirtir. Düşük “preference” değeri önceliklidir.

bakicubuk.com.  IN MX  10 mail.bakicubuk.com.
bakicubuk.com.  IN MX  20 backup-mail.bakicubuk.com.

ben@bakicubuk.com’a e-posta gönderildiğinde önce mail.bakicubuk.com (öncelik 10) denenir; başarısız olursa backup-mail.bakicubuk.com (öncelik 20) devreye girer. Not: MX’te belirtilen sunucuların da kendi A/AAAA kayıtlarına ihtiyacı vardır.

NS (Name Server) Kaydı – Bir alan için yetkili DNS sunucularını belirtir. Bu sunucular alanın gerçek kayıtlarını tutar.

bakicubuk.com.  IN NS  ns1.bakicubuk.com.
bakicubuk.com.  IN NS  ns2.bakicubuk.com.

PTR (Pointer) Kaydı – Bir IP adresini alan adına eşler. Ters DNS sorguları için, çoğunlukla anti-spam ve loglama amacıyla kullanılır. A/AAAA’nın tersidir ve özel ters DNS bölgelerinde tanımlanır.

78.67.45.34.in-addr.arpa. IN PTR  www.bakicubuk.com.

SOA (Start of Authority) Kaydı – Bir DNS zone’u hakkında yetkili bilgi sağlar: birincil name server, yönetici e-postası, serial numarası ve çeşitli zamanlayıcılar (refresh, retry, expire, TTL). Her zone’da tam olarak bir SOA kaydı bulunmalıdır.

bakicubuk.com. IN SOA ns1.bakicubuk.com. admin.bakicubuk.com. (
    2024060101 ; Serial
    7200       ; Refresh (2 saat)
    3600       ; Retry (1 saat)
    1209600    ; Expire (2 hafta)
    3600 )     ; Minimum TTL (1 saat)

TXT (Text) Kaydı – İnsan tarafından okunabilir metin veya makine tarafından okunabilir veri barındırır. Doğrulama, güvenlik ve politika ayarları için sık kullanılır.

bakicubuk.com.        IN TXT "v=spf1 include:_spf.google.com ~all"
_dmarc.bakicubuk.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@bakicubuk.com"

İlk örnek bir SPF kaydıdır ve e-posta sahteciliğini önler. İkincisi DMARC kaydıdır; e-posta kimlik doğrulama ve raporlama politikaları için kullanılır. Üçüncü tipik kullanım ise Let’s Encrypt gibi servislerle alan adı doğrulamasıdır.

Dikkat Edilmesi Gereken Noktalar

DNS Sorun Giderme Komutları

Networking veya siber güvenlik tarafında çalışıyorsanız bu komutlar vazgeçilmezdir.

dig (Domain Information Groper) – Güçlü ve esnek; Linux, macOS ve Windows’ta (WSL ile) kullanılır. Belirli kayıt tiplerini (A, MX, TXT vb.) sorgulamanıza izin verir; sorgu süresi, flag’ler ve authoritative cevaplar gibi detayları gösterir.

dig bakicubuk.com
dig MX bakicubuk.com
dig TXT bakicubuk.com
dig ANY bakicubuk.com

nslookup (Name Server Lookup) – DNS sorgulamak için kullanılan komut satırı aracıdır. En yaygın kullanımı bir alan adına karşılık gelen IP’yi bulmaktır; bir IP alıp ona karşılık gelen alan adını da bulabilir. Tipik çıktısında Server, Address, Non-authoritative answer, Name, Addresses ve Aliases yer alır. Etkileşimli modda set q=all ile bir alan için tüm kayıtları döndürebilirsiniz.

TTL (Time to Live) Kavramı

TTL, DNS resolver’lara bir kaydı, authoritative sunucudan taze bir kopya istemeden önce ne kadar süre önbellekte tutacaklarını saniye cinsinden söyleyen değerdir. Basit ifadeyle TTL, diğer DNS sunucularının (ISP’ler, Google DNS, Cloudflare) bir kaydı ne kadar hatırlayacağını kontrol eder.

www.bakicubuk.com.  IN A  34.45.67.80  TTL = 3600

Bu örnekte önbellekleyen resolver’lar bu eşlemeyi 1 saat (3600 saniye) hatırlar; sonrasında authoritative sunucuya tekrar sorarlar.

Migration / DNS Değişikliği için En İyi Pratikler

DNS Trafiği ve Güvenlik

DNS trafiği, DNS çözümü sırasında bilgisayarlar ile DNS sunucuları arasında değiş tokuş edilen veri paketleridir. Bu, her internet isteğinin ilk adımıdır. Yoğun DNS trafiği; yüksek site kullanımına, yanlış yapılandırmaya veya DNS tabanlı saldırılara (DDoS, amplification) işaret edebilir.

Varsayılan olarak DNS trafiği şifrelenmemiştir. Bu yüzden birçok sistem artık DoH (DNS over HTTPS) ve DoT (DNS over TLS) kullanır. Bunlar sorguları dinleme (snooping), sahtecilik (spoofing) ve kurcalamaya (tampering) karşı korur.

DNS Neden Siber Güvenlikte Önemli?

DNS neredeyse her ağ bağlantısında rol oynar. DNS’i iyi anlamak şu konularda işinizi kolaylaştırır: ağ sorun giderme, tehdit avı (threat hunting), zararlı yazılım analizi, DNS tünelleme tespiti, phishing incelemeleri, e-posta güvenliği (SPF, DKIM, DMARC), olay müdahalesi (incident response) ve bulut altyapısı. DNS’i ne kadar derin anlarsanız, ağ trafiğini analiz etmek ve şüpheli aktiviteyi tespit etmek o kadar kolaylaşır.

DNS Yönetim Konsolları ve Sağlayıcılar

Web tabanlı / kurumsal: Infoblox (DDI liderı DNS, DHCP, IPAM), BlueCat, Microsoft DNS (Windows Server, AD ortamlarında yaygın), Men & Mice, EfficientIP.

Bulut DNS sağlayıcıları: AWS Route 53, Cloudflare DNS, Google Cloud DNS, Azure DNS, DigitalOcean DNS, Namecheap/GoDaddy.

Açık kaynak / self-hosted: PowerDNS (PowerAdmin ile), BIND9 (Webmin ile), Pi-hole (ev DNS’i ve reklam engelleme için).

DNS, her networking ve siber güvenlik profesyonelinin ustalaşması gereken en temel teknolojilerden biridir. Bir sorgunun local cache’ten authoritative sunucuya kadar izlediği yolu, kayıt tiplerini ve TTL mantığını kavradığınızda, ağ üzerindeki birçok sorunu ve tehdidi çok daha net görürsünüz.

Başka bir yazımızda görüşmek dileğiyle…

Exit mobile version