Blog'a Geri Dön

Halka Açık Wi-Fi'da DNS Hijacking Saldırılarını Önleme｜VLESS+Reality ile Tam Savunma

Genel Bakış

Kafe, otel, havalimanı ve istasyonlar gibi günlük olarak kullanılan halka açık Wi-Fi ağları. Pratik olmasının yanı sıra, bu ortamlarda "DNS Hijacking" olarak adlandırılan ortadaki adam saldırıları uzun süredir bilinmektedir. Saldırganlar, Wi-Fi yönlendirici güvenlik açıklarını veya kötü niyetli erişim noktaları (Evil Twin) yerleştirerek, kullanıcının girdiği alan adını (örneğin: banka sitesi) sahte sitelere yönlendirir ve giriş bilgilerini ile kredi kartı numaralarını çalar. HTTPS'in yaygınlaştığı günümüzde bile, ilk DNS yanıtı aşamasında saldırıya uğrama olasılığı vardır ve bu, hafife alınamayacak bir risk olarak kalmaktadır.

Bu makale, DNS Hijacking saldırısının mekanizmasını ve Vless'in VLESS+XTLS-Reality protokolünün kullanıcı DNS sorgularını bu riskten nasıl tamamen koruduğunu teknik olarak açıklamaktadır. Hiddify uygulamasında önerilen ayarlardan, doğrulama yöntemlerine ve aile ve ekip üyelerine yayılım için en iyi uygulamalara kadar, hemen uygulanabilecek somut içerikler sunulmaktadır. Uzaktan çalışanlar, iş seyahatlerine giden iş insanları ve uluslararası seyahat edenler için, halka açık Wi-Fi ortamlarında iletişim güvenliği, hem iş sürekliliği hem de gizlilik koruması açısından önemli bir konudur.

Bugün Güvenlik Neden Önemli

DNS Hijacking saldırılarına karşı savunma önlemine sahip olmak, sadece "her ihtimale karşı" seviyesinin ötesinde, aşağıdaki 5 somut senaryoda gerçek kullanım hasarından kaçınma ile doğrudan ilişkilidir. Saldırı yöntemleri her geçen yıl daha karmaşık hale gelmektedir ve 2026 itibariyle, kripto varlıkları ve gizli bilgileri hedef alan hedefli saldırılar da bildirilmektedir.

• Kafelerde veya ortak çalışma alanlarında çalışırken banka uygulamalarına ve bulut hizmetlerine (Slack, Notion vb.) erişirken kimlik doğrulama bilgilerinin korunması
• Otel Wi-Fi'sini kullanırken Booking.com veya Expedia gibi seyahat hizmetlerine giriş yaparken kredi kartı bilgilerinin çalınmasının önlenmesi
• Havalimanı salonlarında şirket e-postalarını kontrol ederken phishing sitelerine yönlendirme zararını önleyerek şirket bilgilerinin sızmasını engelleme
• Yurt dışındaki ücretsiz Wi-Fi'dan Japon sosyal medya ve e-ticaret sitelerine giriş yaparken bölgesel kimlik doğrulama atlatma riskinin azaltılması
• Kripto varlık borsalarına bağlanırken sahte site yönlendirmesi yoluyla varlık hırsızlığını önlemek için iletişim yolunun tam korunması

VLESS+XTLS-Reality protokolü, tasarım aşamasında "DNS sorgularını şifreli tünel içinde tamamlama" politikasını benimsemiştir ve yerel ağ (halka açık Wi-Fi) üzerindeki kötü niyetli DNS sunucularından veya yönlendiricilerden kullanıcının alan adı sorgusunun kendisinin görünmediği bir yapıdadır. Vless bu tasarımı en üst düzeyde kullanmak için, Hiddify uygulamasının varsayılan ayarlarında DNS sızıntısını tamamen önleyen bir yapılandırma benimsemiştir. Bu sayede teknik bilgisi olmayan genel kullanıcılar bile, sadece uygulamayı açarak DNS Hijacking tehdidinden korunur.

Nasıl Yaklaşılır

Adım 1: DNS Hijacking saldırısının mekanizmasını anlamak

Tipik DNS Hijacking saldırısının akışı şu şekildedir. Saldırgan, halka açık Wi-Fi yönlendiricisine yetkisiz yapılandırma yerleştirir veya yakındaki bir alana sahte erişim noktası (Evil Twin) kurar. Kullanıcı tarayıcıda "example-bank.com" girdiğinde, cihazdan yönlendirici aracılığıyla DNS sorgusu gönderilir, ancak saldırganın kontrolü altındaki DNS sunucusu sahte yanıt (phishing sitesinin IP adresi) döndürür. Kullanıcı, görünüşü aynı olan sahte siteye yönlendirilir ve giriş bilgilerini girer. HTTPS olsa bile, ilk DNS yanıtı sahte olduğu için URL çubuğundaki alan adı aynı olsa da gerçek iletişim hedefi saldırgan sunucusu olabilir. VLESS+XTLS-Reality, cihazdan çıkan DNS sorgusunun kendisini şifreli tünel içinde kapatır ve Vless sunucu tarafında güvenli DNS sunucusu (Cloudflare DoH, Quad9 DNS vb.) aracılığıyla ad çözümlemesi yapar, böylece yerel ağda hijacking ilkesel olarak gerçekleşmez.

Adım 2: Hiddify uygulamasında DNS sızıntısını tamamen önleme ayarları

Hiddify uygulamasının en son sürümünde (Mayıs 2026 itibariyle), DNS sızıntısı önleme varsayılan olarak etkinleştirilmiştir, ancak doğrulama ve optimizasyon adımlarını sunuyoruz. Uygulamanın "Ayarlar" → "Gelişmiş" → "DNS" bölümünü açın ve "VPN içi DNS zorlaması"nın AÇIK olduğunu doğrulayın. "DoH (DNS over HTTPS) öncelikli" özelliğini etkinleştirin ve önerilen DoH sağlayıcılarını (Cloudflare 1.1.1.1, Quad9 9.9.9.9) seçin. "IPv6 DNS sızıntısı önleme"yi de AÇIK olarak ayarlayın. Bu sayede, IPv4 veya IPv6 yollarının hiçbirinde DNS sorgusunun şifreli tünel dışına sızmadığı bir yapılandırma tamamlanır. Ayarladıktan sonra, cihazı halka açık Wi-Fi'a bağlayın ve tarayıcıda "dnsleaktest.com" veya "ipleak.net" adresine erişin. Görüntülenen DNS sunucusunun VPN sağlayıcısına ait olup olmadığını ve Vless sunucusunun bulunduğu ülkenin (Japonya veya kullanıcının seçtiği ülke) IP adresi olup olmadığını doğrulayın. Sızıntı yoksa, bu siteler halka açık Wi-Fi yönlendirici bilgilerini veya orijinal ISP bilgilerini hiç göstermez.

Adım 3: Aile ve ekip üyelerine yayılım için en iyi uygulamalar

Aile veya küçük ekiplerde güvenlik düzeyini birleştirmek için yayılım prosedürünü sunuyoruz. Vless yönetim ekranında, aile/ekip için alt hesap çıkarma işlevi vardır ve ana hesaptan birden fazla istemci profili (QR kodu) oluşturabilirsiniz. Aile üyelerinin akıllı telefonlarına ve tabletlerine Hiddify uygulamasını yükledikten sonra, sadece QR kodunu tarayarak kurulumu tamamlayabilirsiniz. Uygulamanın "Her zaman bağlantılı" işlevini etkinleştirerek, üyeler farkında olmadan halka açık Wi-Fi bağlantısında VPN otomatik olarak başlatılır. Evde yönlendiricinin kendisini VPN yapma seçeneği de vardır, bu durumda tüm cihazlar (akıllı TV, oyun konsolu, IoT cihazları) otomatik olarak korunur. Vless, aile planında bu yapılandırmaları standart olarak destekler ve teknik bilgisi olmayan aile üyeleri bile gelişmiş güvenliğin keyfini kolayca çıkarabileceği bir ortam yaratabilir.

Özet

S: HTTPS (kilit simgesi gösterimi) varsa, DNS Hijacking konusunda endişe etmeye gerek yok mu?

C: Kısmen doğrudur, ancak ilk bağlantıda DNS yanıtı sahteyse, kullanıcı sahte sitenin HTTPS'sine (saldırganın aldığı meşru sertifikaya sahip site) yönlendirilebilir. URL çubuğundaki kilit simgesiyle tek başına, bunun "meşru sitenin meşru HTTPS'i" mi yoksa "sahte sitenin meşru HTTPS'i" mi olduğu ayırt edilemez. VLESS+XTLS-Reality, DNS sorgusunun kendisini koruyarak bu temel nedeni çözer.

S: Akıllı telefon operatör hattında (4G/5G) da DNS Hijacking endişesi var mı?

C: Operatör hattında halka açık Wi-Fi kadar risk yüksek değildir, ancak yurt dışı dolaşımı sırasında, operatörün sağladığı genel DNS yapılandırma hatası veya kötü niyetli ara cihazların sızması gibi senaryolar düşünülebilir. VLESS+XTLS-Reality'nin DNS koruması, hat türünden bağımsız olarak tek tip uygulandığı için, operatör hattı kullanırken de eşdeğer koruma elde edilebilir.

S: Çocuklardan veya yaşlı aile üyelerinden kurulum istendiğinde, basit bir prosedür var mı?

C: Vless'in Hiddify uygulaması, sadece QR kodu taranarak kurulumun tamamlandığı bir tasarımdır. Önceden ana kullanıcının yapılandırdığı QR kodunu paylaşın ve karşı tarafın akıllı telefonunda Hiddify uygulamasını açıp kamerayla taraması yeterlidir, profil otomatik olarak içe aktarılır ve VPN bağlantısı başlar. "Her zaman bağlantılı" etkinleştirilirse, karşı tarafın bilinçli açma/kapama işlemine de gerek yoktur.

Halka açık Wi-Fi'da DNS Hijacking saldırıları, şifreli iletişimin yaygınlaştığı modern dönemde bile etkili saldırı yöntemi olmaya devam etmektedir ve uygun VPN kullanımı belirleyici bir savunma önlemidir. Vless'in VLESS+XTLS-Reality protokolü, DNS sorgularını şifreli tünel içinde kapatma tasarımı sayesinde, ilkesel olarak DNS Hijacking'in gerçekleşmediği bir yapı sunar. Vless, 2 günlük ücretsiz deneme süresi boyunca, halka açık Wi-Fi ortamlarında DNS sızıntısı önleme etkinliğini gerçek ortamda doğrulamanıza olanak tanır.