15.05.2014

Türk halkının TCP/IP ile imtihanı

Başlık benim değil, manlyphall adlı ekşisözlük yazarının :)

Artık her yaştan internet kullanıcısı DNS değitşrimenin ne demek olduğunu ve ne işe yaradığını öğrendi bu ülkede.


İnternet servis sağlayıcımızın kendi DNS sunucularında yasaklanan URL'ler için gerçeğin dışında bir yönlendirme yapması durumuna karşı bizim de genel kullanıma açık diğer DNS sunucuları kullanarak bu yasakları aşmamıza karşı geliştirlen bir teknik var. Bu teknik uzun zamandır kötü niyetli hacker'lar tarafından kullanılmaktaydı. Hayırlı olsun, şimdi artık bizzat hükümet destekli kendi internet servis sağlayıcılarımız tarafından kullanılıyor.

Uzun zamandır bir dedikodu halinde konuşulup yazılıyor. Bir taraftan "Yuh artık, bu kadarı da yapılmaz herhalde" derken geçtiğimiz günlerde karşlaştığım trace route sonuçlarına bakınca inanmak istemedim bi süre. Sonra acı gerçeği kabullendim.

Yeni internet düzenlemelerine göre yasakları uygulamanın sorumluluğu internet servis sağlayıcılara yüklenince, onlar da youtube'u yasaklamak için kendi içlerinde "fake" DNS sunucular kurmuşlar. Bunlara da popüler OpenDNS, Google DNS gibi DNS sunucuların IP adreslerini  vermişler. Kendi ağlarından gelen bütün trafiği bunlara yönlendirmişler, çakallar!

Diğer ülkelerdeki internet servis sağlayıcıların yaptığı gibi var olmayan adreslerin için reklam dolu sayfalara yönlendirme değil amaç; daha çok yasağı uygulama, belki de kayıt altına alma.

Yine ekşisözlük'te şöyle tarif edilmiş durum [1]:
- taksiye biniyorsun
- “gezi parkina gidecegim” diyorsun
- taksici “ben karsinin taksisiyim abi bi soralim neredeymis” diyor
- taksici gezi parkinin adresini almak icin duragi ariyor
- duraktaki arkadaslari rehin almislar; telsiz basinda baska biri var
- telsiz basindaki kisi gezi parki yerine taksiciye yanlis bir adres veriyor ve gezi parkina gitmek isteyen yolcunun kim oldugunu sorup not aliyor
- gezi parki diye alakasiz bir yere gidiyorsun
Ben de bu durum üzerine kullandığım DNS sunucunun gerçek mi, yoksa sahtesi mi olduğunu nasıl anlayabilirim diye düşünmeye başladım. DNS sorgularına dönülen cevaplardan bir sonuç çıkarmak imkansız. IP adresini verip coğrafi konumunu sorgulamak da anlamasız, çünkü bu haricen statik bir veritabanından sorgulanıyor.

Ping sonuçları çok az bilgi veriyor (aslıda [3]'te söylendiği gibi korsan bir DNS sunucu, normal sunucuya kıyasla çok daha hızlı cevap verecektir; ama bu kesin bir sonuç değil). Bunun yerine trace route çıktıları faydalı olabilir. Trade route, belirtilen hedefe kadar geçilen her router'a gönderilen ICMP paketlerinin sonuçlarını gösteriyor. Yolumuzda bazı noktalardan cevap alamıyor olabiliriz, ama en azından yol bize bir bilgi verecektir.

Benim aldığım bir örnek aşağıdaki gibi:

C:\>tracert -d 8.8.4.4

Tracing route to 8.8.4.4 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  xxx.xxx.xxx.xxx
  2     1 ms     1 ms     1 ms  xxx.xxx.xxx.xxx
  3     1 ms     1 ms     1 ms  xxx.xxx.xxx.xxx
  4     6 ms     2 ms     1 ms  xxx.xxx.xxx.xxx
  5     2 ms     2 ms     1 ms  xxx.xxx.xxx.xxx
  6     9 ms     9 ms     8 ms  81.212.217.225
  7     8 ms     9 ms    11 ms  81.212.197.62
  8    29 ms    27 ms    31 ms  72.14.217.118
  9    27 ms    26 ms    26 ms  72.14.235.39
 10    33 ms    33 ms    33 ms  8.8.4.4

Trace complete.

Burada önemli olan hedeften birkaç adım öncesi. Mesela yukarıdaki örnekte 72.14 ile başlayan IP adresleri. Bunların konumlarını sorgulamak için Nirsoft'un IPNetInfo aracını kullandım ben.


Yukarıdaki örnekte trace route işlemi 81.212 ile başlayan TTNET router'larından sonra 72.14 ile başlayan Google'a ait IP adreslerine, oradan da 8.8.4.4 hedefine ulaşmış. Bu örnekte DNS sunucumuz temiz gözüküyor. Elbette internet servis sağlayıcımızın sadece hedef IP'sini (yani 8.8.4.4'ü) kopyaladığını, diğer Google IP'lerini (72.14 ile başlayan diğer noktalar) kopyalamadığını (fake olarak) varsayıyoruz. Bunu yapıyor olsaydı eminim Google'ın bir sürü hizmeti Türkiye'den erişilmez olurdu.

Ama örneğin şu bağlantıda anlatılan durumda 81.212 ile başlayan TTNET adreslerinden hemen sonra bir 8.8.8.8 hedefine ulaşılmış. Yani şöyle olmuş:

C:Usersxxx>tracert -d 8.8.8.8

Tracing route to 8.8.8.8 over a maximum of 30 hops

 1     87 ms     1 ms     1 ms  192.168.2.1
 2     11 ms     8 ms     9 ms  xxx.xxx.xxx.xx
 3     11 ms     9 ms     9 ms  xxx.xxx.xxx.xx
 4     *        12 ms    10 ms  xxx.xxx.xxx.1xx
 5     12 ms    10 ms    10 ms  81.212.25.72
 6     20 ms    19 ms    20 ms  81.212.204.205
 7     26 ms    21 ms    22 ms  81.212.219.209
 8     20 ms    18 ms    18 ms  8.8.8.8

Trace complete.

İşte bu DNS sunucusundan şüphe etmek lazım. Google'a ait hiç bir adrese uğramadan doğrudan 8.8.8.8'e gitme şansımız yok. Buna bir kez ben de şahit oldum, ama sonuçlarını kaydedemediğim bir durumdu. Bu sebeple jiyan.org'dan alıntı yaptım.

Bu durum benim veya birkaç kişinin farkettiği bir şey olmaktan uzak. Gayet iyi bir şekilde, üstelik de neredeyse yapılır yapılmaz otoriteler tarafından farkedilmiş ve belgelenmiş [2,3].

Gördüğüm kadarıyla bu işin başlangıcı 29 Mart 2014'e kadar gidiyor.

Hiç yorum yok: