Bu maddede birçok sorun bulunmaktadır. Lütfen sayfayı geliştirin veya bu sorunlar konusunda tartışma sayfasında bir yorum yapın.
|
DNS (İngilizce: Domain Name System, Türkçe: Alan Adı Sistemi), internet uzayını bölümlemeye, bölümleri adlandırmaya ve bölümler arası iletişimi organize etmeye yarayan, bilgisayar, servis, internet veya özel bir ağa bağlı herhangi bir kaynak için hiyerarşik dağıtılmış bir adlandırma sistemidir.
İnternet ağını oluşturan her birim sadece kendine ait bir IP adresine sahiptir. Bu IP adresleri kullanıcıların kullanımı için www.site_ismi.com gibi kolay hatırlanır adreslere karşılık düşürülür. DNS sunucuları, internet adreslerinin IP adresi karşılığını kayıtlı tutmaktadır.
Katılımcı kuruluşların her birine atanmış alan adları çeşitli bilgileri ilişkilendirir. En belirgin olarak, insanlar tarafından kolayca ezberlenebilen alan adlarını, dünya çapında bilgisayar servisleri ve cihazlar için gerekli sayısal IP adreslerine çevirir (dönüştürür). DNS, çoğu internet servisinin işlevselliği için temel bir bileşendir, çünkü Internetin temel yönetici servisidir.
DNS (Domain Name System) Alan Adı SistemiAlan Adı Sistemi DNS her alan için yetkili ad sunucuları atayarak alan adlarını atama ve bu adların IP adreslerine haritalanması sorumluluğunu verir. Yetkili ad sunucuları desteklenen alanları için sorumlu olmakla görevlidirler ve diğer ad sunucuları yerine alt alanlara yetki (otorite) verebilirler. Bu mekanizma dağıtılmış ve arızaya toleranslı servis sağlar ve tek bir merkezi veri tabanına ihtiyacı önlemek için tasarlanmıştır.
DNS aynı zamanda özünde (çekirdekte) bulunan veritabanı servisinin teknik işlevselliğini de belirtir. DNS protokolünü – DNS’de kullanılan veri yapılarının ve veri iletişim alışverişinin (değiş tokuş) detaylı tanımlaması- İnternet Protocol Suite’in bir parçası olarak tanımlar. Tarihsel olarak DNS’ den önceki yönetici servisleri orijinal olarak metin dosyalarına ve belirgin bir şekilde HOSTS.TXT çözücüsüne dayandığı için büyük veya küresel yöneticilere göre ölçeklenebilir değildi. DNS 1980’ den bu yana yaygın olarak kullanılır olmuştur.
İnternet hiyerarşi alan adı ve İnternet Protokol (IP) adres boşluğu olmak üzere iki ana ad boşluğunu sağlar. DNS sistemi alan adı hiyerarşisi sağlar ve onunla adres boşluğu arasında çeviri servisi sağlar. İnternet adı sunucuları ve iletişim protokolü Domain Name Sistemini etkin kılar. Bir DNS ad sunucusu, alan DNS kayıtlarını alan adı için depolayan bir sunucudur; DNS ad sunucusu veri tabanına karşı sorulara cevaplarla karşılık verir.
DNS veri tabanında depolanan en yaygın kayıt türleri; DNS bölgesinin yetkisi otoritesi (SOA), IP adresleri (A ve AAAA), SMTP posta değiştiriciler (MX), ad sunucuları (NS), ters DNS aramaları için işaretçiler (PTR) ve alan adı takma isimleridir (CNAME).
Genel amaçlı bir veri tabanı olmak için tasarlanmamasına rağmen, DNS diğer veri türleri için DNSSEC kayıtları gibi şeyler için otomatik makine aramalarını ya da Sorumlu kişi (RP) kayıtları gibi insan sorularını da depolayabilir. DNS kayıt türlerinin tam listesi için, DNS kayıt türlerinin listesine bakın. Genel amaçlı veritabanı olarak, DNS veri tabanında saklanan gerçek zamanlı kara delik listesi kullanılarak istenmeyen e-posta (Spam) ile mücadelede kullanımında da DNS görülebilir. İnternet adlandırma için veya genel amaçlı kullanımlar için olsun, DNS veritabanı, yapılandırılmış bölge dosyasında geleneksel olarak depolanır.
İnternette bulunan her nesnenin, etkileşime giren her sunucu ve ucun bir internet sitesi olması gerekir. Bu adres, protokol seviyesinin IPv4 ve IPv6 olmasına göre 32 bit ya da 128 bit uzunluğundadır. Alan adı, bu 32 ya da 128 bit uzunluğundaki sayı yerine insanların anlayacağı, akılda tutacağı, kurumsal kimlik ve marka ile özdeşleştirebileceği isimlerin kullanılmasını sağlar. Örneğin tr.wikipedia.org alan adı ile 207.142.131.210 şeklindeki IP nosu arasındaki bağlantıyı Alan Adı Sistemi sağlar. Sırayla; org, wikipedia.org ve tr.wikipedia.org iç içe geçmiş İnternet alanları ya da bölmeleridir.
İnsan dostu bilgisayar sistem adlarını IP adreslerine çevirerek İnternet için telefon rehberi hizmeti sunan sitem, DNS'i tanımlamak için sıkça kullanılan bir benzetmedir. Mesela, alan adı www.example.com, 93.184.216.119 (IPv4) ve 2606:2800:220:6d:26bf:1447:1097:aa7 (IPv6) adreslerine çevrilir. Bir telefon rehberi aksine DNS aynı ana bilgisayar adını kullanmaya devam eden son kullanıcıları etkilemeden ağdaki servisin konumunun değişmesine izin vererek çabuk bir şekilde güncellenebilir. Kullanıcılar anlamlı bir Değişmeyen Kaynak Konum Belirleyici (URL) ve bilgisayarın servisleri nasıl yerleştirdiğini bilmek zorunda kalmadan e-mail adresi kullandıklarında bundan avantaj sağlarlar.
Alan Adı Sistemi'nin yarattığı ilişkiler birebir ilişki olmak zorunda değildir. Bir alan adına birden fazla IP adresi atanabilir. Bu yoğun talep olan hallerde geçerlidir. Wikipedia.org, yahoo.com, google.com gibi adreslerde bu çok olur. Ama daha yaygını, birçok alan adı tek bir IP'ye atanabilir. Buna da "Sanal Evsahipliği" (Virtual Hosting) denir.
Alan Adı Sistemi hiyerarşik bir yapı gösterir. En üste .com, .org, .net, .int, .edu, .info, .biz, .aero, .travel, .jobs, .gov, .mil gibi "jenerik" üst düzey alanlarla (gTLD) .tr, .us, .de, .uk, .jp, .az gibi ülke alanlarından (CcTLD) oluşur. Buna son olarak .eu ve .asia gibi bölgesel birkaç üst düzey alan adı daha eklenmiştir.
Bilgisayar ağları üzerindeki isimlendirme sorunu ilk olarak internetin babası sayılan Arpanet zamanında ortaya çıkmıştır. 1970’lerde ArpaNet günümüz ağları ile karşılaştırılamayacak kadar küçük durumdaydı ve yalnızca birkaç yüz ile ifade edilebilen sisteme hizmet veriyordu. Bu tarihlerde isimlendirme için tek noktada tutulan bir dosyanın bulunması ve diğer tüm sistemlerin bu dosyayı belli aralıklarla kendi taraflarında güncellemesi isimlendirme sorununu çözmüştü.
Adres-isim tanımlamalarını içeren HOSTS.TXT dosyası SRI tarafından SRI-NIC (Stanford Research Institute – Network Information Center) adında bir bilgisayar üzerinde tutulmaktaydı. Bu dosya her adrese bir isim karşılık gelecek şekilde düzenlenmişti. Arpanet üzerindeki yeni isim tanımlamaları ve değişiklikleri SRI’ya gönderilen e-postalar arcılığı ile yapılıyor ve HOSTS.TXT’in kopyası File Transfer Protocol ile alınıyordu.
Arpanet üzerinde TCP/IP kullanımına paralel olarak ortaya çıkan bağlantı patlaması, isim çözümü için birçok sunucuda ve her bilgisayara özgün bir isim atanmasında problemler yaşanmaktaydı. Ayrıca yalnızca isim çözümlenmesi için oldukça yüksek miktarda bant genişliği harcanmaktaydı. Buna rağmen kullanılan isim veritabanlarının uyumlu olması her zaman sağlanamamaktaydı.
Bu durumun ortaya çıkmasından sonra Arpanet daha ölçeklenebilir bir isim çözümleme yapısı için araştırmalara başladı. Paul Mockapetris bu işle görevlendirildi. Mockapetris 1984 yılında Domain Name System (DNS)’i tanımlayan RFC 882 ve RFC 883’ü yayınladı. Bunlar daha sonra hâlen geçerli olan RFC 1034 ve RFC 1035 tarafından güncellendiler.
DNS sistemi, isim sunucuları ve çözümleyicilerinden oluşur. İsim sunucuları olarak düzenlenen bilgisayarlar, host isimlerine karşılık gelen IP adresi bilgilerini tutarlar. Çözümleyiciler ise DNS istemcilerdir. DNS istemcilerde, DNS sunucu ya da sunucuların adresleri bulunur.
Bir DNS istemci bir bilgisayarın ismine karşılık IP adresini bulmak istediği zaman isim sunucuya başvurur. İsim sunucu, yani DNS sunucu da eğer kendi veritabanında öyle bir isim varsa, bu isme karşılık gelen IP adresini istemciye gönderir. DNS veritabanına kayıtların elle, tek tek girilmesi gerekir.
İnternet adresleri, ilk önce ülkelere göre ayrılır. Adreslerin sonundaki tr, de, uk gibi ifadeler adresin bulunduğu ülkeyi gösterir. Örneğin tr Türkiye'yi, de Almanya'yı, uk İngiltere'yi gösterir. ABD adresleri için bir ülke takısı kullanılmaz çünkü DNS ve benzeri uygulamaları oluşturan ülke ABD’dir. Öte yandan, ABD'ye özel kuruluşlar için us uzantısı oluşturulmuştur. İnternet adresleri ülkelere ayrılıdıktan sonra com, edu, gov gibi daha alt bölümlere ayrılır. Bu ifadeler DNS'te üst düzey (top-level) domain'lere karşılık gelir. Üst düzey domain'ler aşağıdaki gibidir.
Genel ve Özel DNS kullanımı arasında ayrım yapmak önemlidir.
Çoğu durumda kullanıcılar, ana bilgisayar adlarını IP adreslerine dönüştürürken genel DNS'ye güvenir. İşte bu sürecin nasıl çalıştığına dair üst düzey genel bir bakış açısı şu şekildedir:
DNS, İnternet'in temel işlevleri için kritik hale geldi ve kullanıcıların kaynak kayıtları yoluyla bir IP adresleri denizinde kolayca gezinmesine yardımcı oldu. Bu temel süreçler olmadan, günlük olarak kullandığımız tüm özellikleri çevrimiçi olarak desteklemek neredeyse imkansız olurdu ve posta hizmetleri, web sitesi yönlendirmeleri veya karmaşık IPv4 ve IPv6 web adreslerini tanıma söz konusu olduğunda yeteneklerimizi sınırlardı. Ancak DNS aramalarını bu kadar harika yapan şey, süreç ne kadar karmaşık olursa olsun, tüm arama sorgularının ve sunucu yönlendirmelerinin istemci tarafını etkilemeden yalnızca milisaniyeler içinde gerçekleşmesidir.
Web Uygulamalarının DNS Trafiği ile Yönlendirilmesi
İki tür DNS mesajıyla gerçekleştirilir:
Format, her iki mesaj türü için de benzerdir. Bilgiler, DNS mesaj biçiminin en fazla beş farklı bölümünde tutulur. Sorgu mesajı, başlık ve soru kayıtları olmak üzere iki bölüme sahiptir.
Yanıt mesajı beş bölümden oluşur:
Sorgu mesajları iki alana ayrılmıştır, bu alanlar:
Bayraklar alanının her bir alt alanının açıklaması şu şekildedir:
DNS kaynak kayıtları, bir alan adının DNS sunucusunda depolanan ve alan adının isminin bir IP adresine çevrilmesinde kullanılan kayıtlardır. Bu kaynak kayıtları, bir alan adının doğru bir şekilde yönlendirilmesini ve düzgün bir şekilde çalışmasını sağlamak için önemlidir. DNS kaynak kayıtlarının yanlış yapılandırılması, web sitelerinin düzgün çalışmasını engelleyebilir veya e-posta gönderim sorunlarına neden olabilir.
TİP | DEĞER(ONDALIK) | RFC'Yİ TANIMLAMA | TANIM | İŞLEV |
---|---|---|---|---|
A | 1 | RFC 1035 | IPv4 adres kaydı | En yaygın olarak ana bilgisayar adlarını ana bilgisayarın IP adresine eşlemek için kullanılan, ancak aynı zamanda DNSBL'ler, alt ağ maskelerini RFC 1101'de vb. depolamak için kullanılan 32 bitlik bir IPv4 adresi döndürür. |
AAAA | 28 | RFC 3596 | IPv6 adres kaydı | Ana bilgisayar adlarını ana bilgisayarın bir IP adresiyle eşlemek için en yaygın olarak kullanılan 128 bitlik bir IPv6 adresi döndürür. |
CNAME | 5 | RFC 1035 | Kanonik isim kaydı | Bir adın diğerine takma adı: DNS araması, aramayı yeni adla yeniden deneyerek devam eder. |
MX | 15 | RFC 1035 | Posta değiştirici kaydı | Bir etki alanı adını, söz konusu etki alanı için ileti aktarım aracıları listesine eşler. |
NS | 2 | RFC 1035 | Ad sunucusu kaydı | Verilen yetkili ad sunucularını kullanmak için bir DNS bölgesini temsil eder. |
PTR | 2 | RFC 1035 | Ad sunucusu kaydı | Verilen yetkili ad sunucularını kullanmak için bir DNS bölgesini temsil eder. |
SOA | 6 | RFC 1035 ve RFC 2308 | kaydının başlangıcı | Birincil ad sunucusu, etki alanı yöneticisinin e-postası, etki alanı seri numarası ve bölgenin yenilenmesiyle ilgili birkaç zamanlayıcı dahil olmak üzere bir DNS bölgesi hakkında yetkili bilgileri belirtir. |
SRV | 33 | RFC 2782 | Servis bulucu | MX gibi protokole özgü kayıtlar oluşturmak yerine daha yeni protokoller için kullanılan genelleştirilmiş hizmet konumu kaydı. |
TXT | 16 | RFC 1035 | Metin kaydı | Başlangıçta bir DNS kaydındaki keyfi insan tarafından okunabilir metin için. Ancak 1990'ların başından bu yana, bu kayıt daha çok RFC 1464, fırsatçı şifreleme, Gönderen Politikası Çerçevesi, DKIM, DMARC, DNS-SD vb. Tarafından belirtilen makine tarafından okunabilir verileri taşır. |
Avi Vantage, sorguda ECS seçeneği yoksa bir DNS sorgusuna ECS seçeneğinin eklenmesini destekler. DNS sorgusunda halihazırda bir ECS seçeneği varsa, ECS seçeneğinin güncellenmesini destekler. Avi Vantage, sorguda ECS seçeneği yoksa bir DNS sorgusuna ECS seçeneğinin eklenmesini destekler. DNS sorgusunda halihazırda bir ECS seçeneği varsa, ECS seçeneğinin güncellenmesini destekler.
Alan Adı Sistemi ilk geliştirildiğinden beri gerekli geliştirmelere sahiptir. Temel DNS protokolünde bulunan çeşitli bayrak alanlarının, dönüş kodlarının ve etiket türlerinin boyutundaki kısıtlamalar, yeni bayraklara ve yanıt kodlarına izin vermek ve daha uzun yanıtlar için destek sağlamak için DNS'yi geriye dönük uyumlu bir şekilde genişletmeyi motive etti. 1999'dan bu yana, DNS için uzantı mekanizmaları (EDNS) bu zorluğun üstesinden gelmek için benimsenen yaklaşım olmuştur.
DNS dinamik bölge güncellemeleri, bir DNS sunucusundaki kayıtların otomatik olarak güncellenmesine izin verir. Bu özellik, ağdaki cihazlar (örneğin, bilgisayarlar, telefonlar, yazıcılar vb.) IP adreslerini değiştirdiğinde veya yeni cihazlar eklendiğinde, DNS kayıtlarını güncellemek için kullanılır. Bu sayede ağ yöneticileri, her bir cihazın IP adresi değiştiğinde manuel olarak DNS kayıtlarını güncellemek zorunda kalmazlar. Bu işlem otomatik olarak gerçekleştirildiği için, ağ yöneticileri zamanlarını daha verimli bir şekilde kullanabilirler.
Dinamik DNS Güncellemelerini Destekleyen İstemci Uygulamaları
Dinamik DNS Güncellemelerinin Güvenliğini Artırmak İçin Yapabileceğiniz İşlemler
Yapılandırma Aşağıdaki Genel Adımlardan Oluşur
Bir DNS Sağlayıcısından Diğerine Geçiş Yapma Yöntemi
DNS hizmeti, web sitenize web ziyaretçileri tarafından erişilebilmesini sağlayan temel araçlardan biridir. Düzgün çalışan bir DNS hizmeti olmadan, web sitenizin internetteki varlığını bilmeden kapatma riski çok yüksektir. Ve bu endişe DNS geçişi sırasında daha da kritik hale geliyor. DNS geçişi, mevcut bir DNS bölgesini bir DNS sağlayıcısından diğerine aktarma işlemidir.
DNS, web sitenizin internet varlığını koruyan yapıştırıcıdır, bu nedenle büyük değişikliklerin her zaman dikkatli bir şekilde yürütülmesi gerekir. Yukarıdaki genel adımları izleyerek, DNS bölgenizi yeni DNS sağlayıcınıza başarıyla geçirebilir ve aynı zamanda kesinti sürelerini veya işinizde herhangi bir aksaklığı önleyebilirsiniz.
Not: Farklı DNS sağlayıcılarının, ad sunucularının kayıt şirketinden nasıl düzenleneceği konusunda farklı önerileri vardır. Daha sorunsuz bir geçiş için belirtilen adımlarını izlemeniz önerilir. Bunu yapmanın başka bir yolu da, NS kaydının ttl(yaşama süresi)'sini ayarladıktan sonra veya yeni kayıt şirketi kaydının yürürlüğe girmesinden SONRA yalnızca geçerli DNS sağlayıcınızın eski ad sunucularını silerken, yeni ad sunucularını yeni DNS sağlayıcınızdan eklemektir. Bu, bazen DNS sunucularının eski ad sunucularına sahip DNS verilerini önbelleğe alabileceği, dolayısıyla istekleri eski ad sunucusuna yönlendirebileceği yaygın bir DNS hizmeti sorununu önlemek için yapılır. Eski ad sunucuları kayıt şirketinden zaten silinmişse, bölge dosyalarınız artık orada olmadığı için DNS isteği başarısız olur.
DNS, DNS sorgularını sunmak için 53 numaralı bağlantı noktasında Kullanıcı Datagram Protokolü'nü (UDP) kullanır. UDP, hızlı ve yükü düşük olduğu için tercih edilir. DNS sorgusu, DNS istemcisinden gelen tek bir UDP isteği ve ardından sunucudan gelen tek bir UDP yanıtıdır.
Bir DNS yanıtı 512 bayttan büyükse veya bir DNS sunucusu bölge aktarımları (DNS kayıtlarını birincilden ikincil DNS sunucusuna aktarma) gibi görevleri yönetiyorsa, veri bütünlüğü kontrollerini etkinleştirmek için UDP yerine İletim Kontrol Protokolü (TCP) kullanılır.
DNS güvenliği, hızı ve güvenilirliği korumak ve siber saldırıların feci etkilerini önlemek amacıyla DNS altyapısını siber tehditlerden korumak için oluşturulan tüm prosedürleri ifade eder.
En yaygın DNS saldırı türleri
DNS Güvenlik Uzantıları (DNSSEC )
DNS protokol standartlarından sorumlu kuruluş olan İnternet Mühendisliği Görev Gücü'ndeki'ndeki (IETF ) mühendisler, DNS'de daha güçlü kimlik doğrulamasının olmamasının bir sorun olduğunu uzun süredir fark ettiler. Çözüm üzerindeki çalışmalar 1990'larda başladı ve sonuç DNSSEC Güvenlik Uzantıları (DNSSEC ) oldu.
DNSSEC, ortak anahtar şifrelemesine dayalı dijital imzalar kullanarak DNS'de kimlik doğrulamasını güçlendirir . DNSSEC ile, kriptografik olarak imzalanan DNS sorguları ve yanıtları değil, verilerin sahibi tarafından imzalanan DNS verileridir.
Her DNS bölgesinin bir genel/özel anahtar çifti vardır . Bölge sahibi, bölgedeki DNS verilerini imzalamak ve bu veriler üzerinden dijital imzalar oluşturmak için bölgenin özel anahtarını kullanır. "Özel anahtar" adından da anlaşılacağı gibi, bu anahtar materyal bölge sahibi tarafından gizli tutulur. Bununla birlikte, bölgenin genel anahtarı herkesin alması için bölgenin kendisinde yayınlanır. Bölgedeki verileri arayan herhangi bir özyinelemeli çözümleyici, DNS verilerinin gerçekliğini doğrulamak için kullandığı bölgenin ortak anahtarını da alır. Çözümleyici, aldığı DNS verileri üzerinden dijital imzanın geçerli olduğunu onaylar. Eğer öyleyse, DNS veriler yasaldır ve kullanıcıya iade edilir. İmza doğrulanmazsa, çözümleyici bir saldırı varsayar, verileri atar ve kullanıcıya bir hata döndürür.
DNSSEC, DNS protokolüne iki önemli özellik ekler
Etki Alanı Adı Sistemi (DNS), orijinal olarak kullanıcı gizliliği dikkate alınmadan geliştirilmiştir ve bu nedenle, belirli ağ etkinliğiyle (ör. kullanılan uygulamalar, ziyaret edilen web siteleri, iletişim kurulan kişiler vb.) ilişkilendirilebilecek DNS sorguları ve yanıtları hakkında bilgi sızdırabilir). Kapsamlı izleme, protokol geliştirmede önemli bir endişe haline geldiğinden, önemli İnternet protokollerinin gizlilik özelliklerini iyileştirmeyi amaçlayan bir dizi çaba gösterilmiştir. “DNS Gizliliği”, Alan Adı Sisteminde son zamanlarda yapılan gizlilik iyileştirmelerini ifade eder.
Trafiğinizin HTTPS üzerinden aktığı durumlarda bile, DNS sorgunuz gözlemlenebilir ve kolayca okunabilir. Saldırganlar, DNS trafiğini gözlemleyerek, ziyaret ettiğiniz web sitelerine dayalı olarak, bu web sitelerindeki eylemleriniz şifrelenmiş olsa bile, sizin hakkınızda önemli bilgiler elde edebilir. İSS'ler, DNS trafiğinizi gözlemleme yeteneğine sahiptir ve İSS'nizin DNS sunucusunu varsayılan DNS sunucunuz olarak kullanırsanız hatalı davranış riski daha da artar. Gözlemlenebilir sorgu içerikleri, hükûmetin içeriği birçok nedenden dolayı sansürlemesine neden olabilir.
DNS Güvenliğini Çözme – DNSSEC Genel Bakış
Etki Alanı Adı Sistemi Güvenlik Uzantıları (DNSSEC), geriye dönük uyumluluğu korurken özgünlük ve bütünlük sağlamayı amaçlar. DNSSEC uyumlu sunucuların yanıtları her düzeyde (root, TLD vb.) dijital olarak imzalanır. Cevapları inceleyerek ve imzaları doğrulayarak bir güven zinciri kurulabilir. Kimlik doğrulama zincirini tamamlamak için, DNS dışındaki bir kaynaktan, örneğin işletim sistemi veya başka yollarla elde edilen bir güven çapası gerekir. DNSSEC'nin çalışması için çözüm yolundaki her DNS sunucusunun doğru şekilde yapılandırılması gerekir. Bu, yanıtın dijital imzasını içeren RRSIG gibi yeni DNS kayıt türlerinin kullanılmasını gerektirir. İmzaların eklenmesi, sunucuların anahtarları (Bölge İmzalama Anahtarı ve Anahtar İmzalama Anahtarı) işlemesi gerektiği anlamına gelir ve ekstra görevler, sunucunun kendisinde ek yük anlamına gelir. internetsociety.org'da birden fazla DNSSEC istatistiği mevcuttur, bunlar size DNSSEC'nin şu anda ne kadar yaygın olduğu hakkında bir fikir vermelidir.
Gizliliği Çözme – TLS Üzerinden DNS
DNS over TLS (DoT), şifrelenmiş DNS trafiğini kullanarak gizlilikle ilgili kaygıları ortadan kaldırmayı amaçlar. Bağlantı iyi bilinen bir bağlantı noktası (RFC7858'e göre varsayılan olarak 853 bağlantı noktası) üzerinden kurulur, istemciler ve sunucular birbirlerinin bir TLS oturumu üzerinde anlaşmasını bekler ve ardından gelen trafik şifrelenir. Doğal olarak, DNS sunucusuna güven tesis edilmelidir. Sunucunun TLS sertifikası, istemci tarafından, örneğin, saklanan bir değere karşı sertifikanın hash'ini kontrol ederek doğrulanmalıdır. DoT'nin piyasaya sürülmesi kademelidir, bazı isim sunucuları henüz bunları desteklememektedir. DoT'nin ayrı bir bağlantı noktası kullandığından, belirli ortamlarda bayraklara neden olabilecek DNS sorguları için kullandığınız açık olacaktır.
Son yıllarda IETF, DNS gizliliğini iyileştirmek için şifreleme ve kimlik doğrulama için üç protokol üretti:
DoT: TLS üzerinden DNS, şifreleme yoluyla gizlilik sağlamak için DoT kullanımını belirten, RFC (yorum talebi) 7858'de tanımlanan standartları takip eden bir protokoldür. DoD: RFC 8094'te tanımlanan deneysel bir protokol, Datagram Aktarım Katmanı Güvenliği üzerinden DNS, TLS'nin TCP trafiğini koruma yöntemine benzer şekilde, Kullanıcı Datagram Protokolü trafiğini korumak için DTLS protokolüne dayanır. DoH: RFC 8484'te tanımlanan başka bir standart izleme protokolü olan HTTPS üzerinden DNS, TLS üzerinden HTTP trafiği gönderme protokolünü tanımlayan HTTP Güvenli protokolü üzerinden DNS sorguları ve yanıtları göndermek için bir mekanizma sağlar.
DNS; mail sunucuları, domain isimleri ve IP adresleri gibi bilgileri tutan hiyerarşik bir yapıdır. Bir DNS istemcisi, ad çözümlemesi yapmak için DNS sunucularını sorgular. DNS hizmetleri; kullanıcının girdiği bir DNS adını çözüp, IP adresi gibi o ad ile ilişkili bilgileri oluşturur.
DNS sorgulaması yapmadan önce yapılan bir tarama sonucunda, DNS bilgileri 'name servers(NS)' ya da 'domain servers' olarak görülür. Bu bilgilerin erişiminden sonra DNS sorgulamasıyla daha fazla bilgiye ulaşılır.
Yanlış yapılandırılmış bir DNS sunucusu sonucunda 'Bölge Transferi(Zone Transfer)' olarak bilinen atak yapılabilir. Bölge transferi ile DNS sorgusu yapılan hedefle ilgili birçok bilgiye ulaşılabilir. Bölge transferi; DNS sunucusunun çalıştığı domain ile ilgili bütün verileri içerir. Bu önemli bilgilerin içinde e-posta sunucusunun ismi, IP adresi, kullanılan işletim sistemi ile ilgili bilgiler vardır.
Bölge transferlerine karşı bir önlem olarak güvenlik duvarında(firewall) veya ağ geçitlerindeki yönlendiricilerde 53 numaralı TCP portu gelen tüm yetkisiz bağlantılara karşı kapalı tutulmalıdır.
DNS sorgulamasından bir korunma yöntemi olarak alan adı bir domain değilse, -.tr uzantısı ile sonlanmıyorsa 'private domain' haline getirmek bazı tehlikelerden korur. Private domain olan alan adlarında kişisel bilgiler 'Private' halini alır. Yani gerçek bilgiler gizlenir. Ama private domain her domain sağlayıcıda yoktur.
Bu isimlere yakın zaman önce biz gibi uzantılar da eklenmiştir. Alan isimleri, ağaç yapısı denilen ve belli bir kurala göre dallanan bir yapıda kullanılmaktadır. Amerika Birleşik Devletleri haricinde, internete bağlı olan tüm ülkelerdeki adresler, o ülkenin ISO3166 ülkekodu ile bitmektedir. Türkiye'deki tüm alt alan adresleri, .tr ile bitmektedir. Örneğin; marine.ulakbim.gov.tr adresinde;
Bir alan adı kayıt kuruluşu, alan adlarının rezervasyonunu ve bu alan adları için IP adreslerinin atanmasını yöneten bir işletmedir . Alan adları, web sitelerine erişmek için kullanılan alfasayısal takma adlardır; örneğin, Cloudflare'nin alan adı 'cloudflare.com'dur ve IP adresi 192.0.2.1 gibi bir şey olabilir (yalnızca bir örnek). Alan adları, alfanümerik IP adreslerini ezberlemek ve girmek zorunda kalmadan web sitelerine erişmeyi kolaylaştırır.
Kayıt şirketlerinin alan adlarını fiilen yönetmediği ve korumadığına dikkat edilmelidir; bu kısım bir alan adı kaydı tarafından yapılır.
Kayıt Yaptırıcısı (Registrar) ve Kayıt Defteri (Registry) Arasındaki Fark
Registries, 'com' ve 'net' gibi üst düzey alan adlarının (TLD'ler) kayıtlarını, hangi bireysel alan adlarının, hangi kişilere ve kuruluşlara ait olduğunu tutarak yöneten kuruluşlardır. Bu kayıtlar, İnternet'in temel işlevlerini destekleyen çeşitli işlemler ve veritabanlarını koordine eden küresel bir organizasyon olan Internet Corporation for Assigned Names and Numbers (ICANN) bünyesinde bir departman olan Internet Assigned Numbers Authority (IANA) tarafından yönetilir.
Registries, alan adı kayıt işlemlerinin ticari satışını registrar'lara devreder. Örneğin, bir registrar bir kullanıcıya ('registrant') '.com' alan adı kaydı satarsa, registrar bu durumu 'com' alan adlarının registry'si olan VeriSign'e bildirmek zorundadır. Registrar, VeriSign'e bir ücret ödemek zorundadır ve bu ücret, registrar'ın son kullanıcıya fiyatlandırdığı fiyata dahil edilir.
Bu düzenleme, bir araba satış bayisi ile benzer şekilde çalışır. Bir araba satın almak isteyen bir müşteri, showroom'u ziyaret eder ve mevcut arabaları deneyimli bir satış temsilcisi tarafından gösterilir. Müşteri bir araba satın almayı seçerse (bu örnekte stokta olan bir araba değilse), satıcı daha sonra aracı üreticiden sipariş etmek zorundadır. Müşteri sonunda arabayı alır ve satıcıdan müşteri hizmeti alır.
Bir registrar, alan adları için bir bayi gibi davranırken, registry ise üreticiye benzer bir rol oynar. Registrar işlemleri kolaylaştırır ve destek hizmetleri sağlarken, registry mal üretmekten ve teslim etmekten sorumludur. Bir alan adı kaydetmenin bir araba satın almadan farklı olarak, arabalar tüketici tarafından sahiplenilebilirken, alan adları teknik olarak yalnızca kiralanabilir.