Teknoloji Haberleri
Aşağı Git
Tüm Forumlar
Haberleşme ve Dijital Platformlar
İnternet Servis Sağlayıcılar
Diğer İnternet Servis Sağlayıcıları
İnternetimizi Hijack eden ISS'lar | Encrypted SNI ile Korunmak | Gizlilik İçin Programlar
Bu konudaki kullanıcılar: 1 misafir, 1 mobil kullanıcı
392
Cevap 42569
Tıklama 197
Öne Çıkarma
Cevap 42569
Tıklama 197
Öne Çıkarma
-
İnternetimizi Hijack eden ISS'lar | Encrypted SNI ile Korunmak | Gizlilik İçin Programlar
-
En Çok Beğenilenler Tümü Tüm Yorumları Aç
| Hukuki boyutta yine haklı olduğumu düşünüyorum. Çünkü ben ISS'nin bana vermiş olduğu dns hizmetini kullanmıyorum. ISS ler kendi dns hizmetlerinde istedikleri siteyi e... |
| ISS'lerin bu kısıtlama cambazlıkları gün geçtikçe artıyor ve kullanıcının elini kolunu bağlayıp internet=sosyal medya algısı oluşturup ölümü gösterip sıtmaya raz... |
|
Konuya Ufak bir Update ESNI Şuanda tüm siteler için çalışmıyor. Sadece Cloudflare Proxy si ve ESNI destekleyen sistemlerde çalışıyor. Http de hiç şansınız yok. |
|
Hukuki boyutta yine haklı olduğumu düşünüyorum. Çünkü ben ISS'nin bana vermiş olduğu dns hizmetini kullanmıyorum. ISS ler kendi dns hizmetlerinde istedikleri siteyi engelleyebilir. Buna bir şey diyemeyiz çünkü bu hizmeti onlar sunmaktadır. Fakat iş benim yapmış olduğum haberleşmenin arasına sahte paketler yerleştirmeye gelirse bu bir suçtur. Araya sahte paketler yerleştirmek yerine farklı engelleme yöntemleri uygulanabilir. Ve bu bir suç olmaz, engellenmesi gereken site engellenmiş olur, fazlası yapılmaz. Söylediğiniz silsilede suç işleyen kuruluş ISS'ler olmaktadır. Çünkü engellenmesi gereken web sitesini engellemek yerine değiştirmiştir. Paket değişikliği yapılmıştır. Bu paket değişikliği kritik uygulamalarda veri kaybına neden olabilir. Engellenmesi gereken siteler dışındaki siteleri etkileyebilir. Başka sitelerde ciddi zararlara yol açabilir. Mesela a bankasının web sitesi ile engellenen x sitesi aynı ip adresi üzerinden yayın yapsın. BTK x sitesini engellemiş olsun. Bu şartlar altına a bankasının web sitesine kolaylıkla erişilebilinir. Ve ben a bankasının online bankacılığında çok kritik bir işlem yapıyor olabilirim. Bu sırada benimle aynı modeme bağlı başka bir cihaz x sitesine erişmeye çalışsın. Bu durumda x sitesinin ip adresiyle yapılan tüm handshakeler iptal edilecektir. Yani ben bankamdaki işlemi yerine getiremeyecek olup ciddi maddi zararlara girebiliyor olacağım. Çünkü ISS'ım bankadan geliyormuş gibi gözüken sahte bir paket göndermiştir. Bu sadece bir örnekti. Yapılan iletişim kullandıkları DPI sistemleri ile her türlü değişikliğe uğratılabilir. Şuanda ISS lerimiz Sandvine şirketine bu sistem için kim bilir kaç para döküyordur. Ben bu şirkete güvenmiyorum, internet haberleşmeme istedikleri gibi müdahalede bulunabilirler. Ortaya çok ciddi güvenlik riskleri çıkmakta. Yapılması gereken tek başına DNS bazlı engelleme yapmak. Veya IPV6'e geçiş. |
Bu mesaja 2 cevap geldi.
Bu mesajda bahsedilenler: @XpressMusic34
|
ISS'lerin bu kısıtlama cambazlıkları gün geçtikçe artıyor ve kullanıcının elini kolunu bağlayıp internet=sosyal medya algısı oluşturup ölümü gösterip sıtmaya razı etmeye çalışıyorlar. Yazdıklarında güzel konulara değinmişsin, en azından basitçe anlatmışsın paket tranmsiyonlarını ve headerları/handshakeleri.Eline sağlık, ama feysbuka giriyor mu giriyor, online oyun oynayabiliyom mu oynayabiliyom diyen birisinin bundan ne haberi olur nede umurunda olur. Benim de yıllardır anlatmaya çalıştığım durum aslında seninkiyle aynı paralellikte yani internet denen sistem aslında ağların birbirine bağlandığı bir sistem, ISS dediğimiz de bizim bu ağlara erişmemizi sağlayan bir aracı. BTK yada Haberleşme Bakanlığı'nın kısıtladığı siteyi ISS'de kısıtlar ona bir şey demem ama senin dediğin gibi benim gönderdiğim paketlerde değişiklik yapıyorsa yada yönlendirme yapıyorsa ben de harbiden senin gibi "Hooop dur bakalım, sen benim adıma nasıl değişiklik yaparsın?" diye de hesap sorma hakkına sahipim.Tamam engelle, sonuçta mahkeme kararı var ama bunu benim adıma paket değişikliği yaparak değil başka türlü yap. Ülkemizde demiyeyimde dünyadaki kullanıcıların büyük çoğunluğu INTERNET kavramını ne yazık ki tam olarak anlamış değil, anlayanların çoğu da büyük bir ihtimalle bu anlatmakla meşgul değil. İlerleyen yıllarda insanlar bilinçlendikçe yada başlarına bir işler gelmeye başladıkça ISS'lerin ne kadar başıboş kaldığını, yeteri kadar denetlenmediğini, kafalarına göre iş yaptıklarını, kural koyduklarını ve müşteriyi nasıl düdüklediklerini görecekler. Gün gelecek toplumlar INTRANET'e geri dönecek. :) |
Bu mesaja 1 cevap geldi.
|
Konuya Ufak bir Update ESNI Şuanda tüm siteler için çalışmıyor. Sadece Cloudflare Proxy si ve ESNI destekleyen sistemlerde çalışıyor. Http de hiç şansınız yok. https://github.com/ValdikSS/GoodbyeDPI Bu programı goodbyedpi.exe -3 ile çalıştırınca sorunsuz, şuana kadar aklıma gelebilecek tüm engelli siteleri açtı. dns için bunun dns sini kullanmayın. Şifreleme sunmuyor. Stubby ile DNS over tls tavsiye ederim, iss log tutmaz. Ama gerek yok, normal dns de çalıştırıyor. Program SNI leri ve paketleri parçalayıp gönderiyor. Bu sayede firewall algılayamıyor. Speedtest denemeleri de yaptım. Gecikme sürelerim, internet hızım hala aynı. Kim bilir bu iss ler Deep Packet inspection cihazlarına kaç para vermiştir.... |
Bu mesaja 3 cevap geldi.
|
Hukuki boyutta haksız olamam, hayır. 4 Sezon Better Call Saul izledim. Hukuk hakkında hiç bir şey bilmiyor değilim yani, dersime çalışıp geldim. Hukuk hakkında pek bir şey bilmiyorum ama ben bir vatandaş olarak haksızlığa uğratıldığımı düşünüyorum. Bırakın komik gözükeyim. Çok ciddiye alınırsam işin sonu kötü biter.  |
Bu mesaja 1 cevap geldi.
Bu mesajda bahsedilenler: @XpressMusic34
Faydalı konu.  |
< Bu ileti mobil sürüm kullanılarak atıldı >
|
Daha yeni VPN üyeliğimi yeniledim. 24 aylığına 40 dolar gibi bir para verdim. Hizmet hızı da iyi gibi. 100mbit internetim var. VPN açıkken 60mbit alabiliyorum, ki yetiyor. Firma adı veremeyeceğim. Yaygınlaşanı kitleme ihtimalleri daha yüksek olduğu gibi, kullanıcı sayısı hızlı artan VPN hizmetinin yavaşlama sorunsalı da var. 40 dolar para bayıldım. Hiç olmazsa 1 sene iyi hizmet alayım. Kalan 1 sene de idare edeyim falan... Mevcut VPN hizmeti henüz Netflix tarafından da farkedilmemiş. Bir sürü VPN hizmetinde Netflix kullanılamıyor. Bu VPN hizmetinde şimdilik kullanılabiliyor. Tabi Netflix bunun farkına varana kadar sürer. Orası ayrı. Dolayısı ile Netflix ABD üyeliği sömürmem mümkün oluyor. Ancak VPN'i router'a kurduğumda iş ilginçleşiyor. Hızım 3mbit'lere düşüyor. Niye bilemedim. Ancak aldığım VPN hizmetinde sınırsız ürüne kurulum hakkım var. Dolayısı ile VPN kullanmam gereken her alete ayrı ayrı kurulum yapabilirim. VPN kullanmanın ana amacının yasaklı site aşmak olduğunu sanan da var. Yok böyle bir şey. Uzaktan bir ağa güvenle bağlanıp, o ağın parçası gibi hareket etmek için de kullanılıyor. Bankalar, büyük şirketler VPN bol bol kullanıyor. Benim kullanım alanlarımdan biri drone, biri 3d printer mesela. 3d printer'ıma uzaktan erişim sağlayabiliyorum. Kamera vasıtası ile baskı nasıl gidiyor görebiliyorum. 3d printer'ın kontrol menüsüne uzaktan erişebiliyorum. Ancak bunların bilgisi zayıf olan benim tarafımdan internete açılmış olduğu ve tek korumanın bir dandik şifre olduğu gerçeği var. Dolayısı ile, isteyen, çok kısa sürede bu aleti ele geçirebilir. Ve hatta gerekli önlemleri almamış olsam 3d printer'ı tehlikeli şekilde ısıtıp yangın bile çıkartabilir. Ancak bu yayını VPN'den yapınca, bu ihtimal kalmıyor. Drone'da da kullanım amacı benzer. Kamera görüntüsü, telemetri verileri, verdiğim emirlerin iletilmesi, ve hatta drone'un bir gamepad ile kontrol edilmesini drone üzerinde bir raspberry pi, yerde bir laptop ile sağlayabiliyorum. Dronedaki raspberry'ye usb 3g modem bağlı. Yerdeki kontrol için olan laptop da cep telefonumdan internete bağlı. Bitti. Görüntü verici/alıcı yok. Telemetri verici/alıcı yok. RC verici/alıcı yok. Toplamda yerde 3, drone üzerinde 3 anten yok. Bir kamyon kablo yok. Basit, pratik ve 3g çektiği sürece menzili pil belirler... Böyle bir kurulumda iletişimin kolay sağlanması ve güvenli olması için de VPN kullanmak lazım. Düşünsenize, biri araya girdi, gitti drone'u götürdü askeri araziye soktu. Ayvayı yersin. Derdini anlatana kadar 1 ay içerde kalırsın. Özetle VPN'in kullanım alanı çok. Konudan anlamayan arkadaşların konu hakkındaki görüşleri bulanıksa diye belirteyim istedim. Bir de tabi işi gücü nefret kusmak olan yobazlara da bir çift sözüm var: Çekemiyorsanız anten takın.  ----------------------- Bu anlattığınız yöntem de anladığım kadarı ile bir çok internet sitesinde işe yaramayacaktır. Zamanla onlar da Proxy hizmeti kullanırsa, bu bir standart haline gelirse falan işe yarar bir çözüm olur. ----------------------- Yasa konusunda da atladığınız bir konu var. Konu ile ilgili düzenleme mevcut ve devletin yetkili organı bu yasa çerçevesinde yapılası gerekeni ISS'ye iletiyor. Yapılan teorik olarak bir güvenlik açığı oluşturuyorsa bile, yasal. Ha, uygulama tartışılır ayrı konu, sonuna kadar akrşı da çıkılır; ama durum yasadışı değil. Yasal düzenleme nezdinde konuşmak gerekirse eklemek gereken çok önemli bir şey var: Yasalarımızın mantığında "SİTENİN KULLANICIYA ULAŞMASI ENGELLENİYOR." KULLANICININ SİTEYE ULAŞMASI ENGELLENMİYOR VE KULLANICININ HERHANGİ BİR YÖNTEM KULLANARAK SİTEYE ULAŞMASI YASADIŞI DEĞİL. Bu konuda yeni bir yasal düzenleme olursa tabi, iş değişir de... Sanmıyorum öyle bir düzenleme gelsin. Gelse bile tespiti zor. "Yasadışı olsa da yaptığımız şeyler" listesine bir kalem daha eklenir. İkinci dünya ülkesinde yaşamanın getirdiği alışkanlıklar... Necmi yürürken sokağa çöp atıyor. Veli kırmızıda geçiyor. Ali vergi kaçırıyor. Nazif imar kanununa aykırı hareket ediyor. Rıza rüşvet veriyor. Zafer rüşvet alıyor. Melih yürütmeyi durdurmayı tınmıyor. Köşedeki bakkal boğma rakıyı alttan satıyor. Edirne'deki hemen her bakkal da kaçak içki satıyor. Tunalı'da işi tester satmak olan "şizo kaçakçı abi" var falan... Bize de düşen VPN kullanmak olsun. Çok koymaz. Kendi adıma suçtan bile saymam. |
Bu mesaja 3 cevap geldi.
|
Merhaba. Konunun içeriğine bir şey demeyeceğim ama keşke hukuki bilginiz yok ise kanun maddeleri eklemeseydiniz. Çok komik gözükmüş çünkü. Site engellemeleri, mahkeme kararı ile yapılıyor. Bu mahkeme kararlarını uygulamaya koyan ise BTK. BTK bu kararları İSS firmalarına iletiyor ve mahkemenin almış olduğu kararı BTK ve İSS ler uyguluyor. Yani burada "silsile" var. (Silsile: birbiriyle yakından ilişkili, birbirine bağlı şeylerin oluşturduğu dizi, sıra." Örnek vermek gerekirse, 5651 sayılı "İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun" 23 Mayıs 2007 tarihinde 26530 sayılı Resmi Gazete'de yayımlanarak yürürlüğe girmiştir. 5651 sayılı kanun kapsamında yapılan teknik inceleme ve hukuki değerlendirme sonucunda alınan Telekominikasyon iletişim başkanlığı'nın şu şu tarih ve şu şu sayılı kararına istinaden bu internet sitesi hakkında idari tedbir uygulanmaktadır. Mesela burada kararı alan Telekominikasyon iletişim başkanlığı. Bazı sitelerde ise, "Şu şu sayılı şu il mahkemesinin şu sayılı kararı" diye karşımıza çıkar. Bu durumda, kamunun bir başkanlığı olan BTK, kendi görev ve sorumluluğundaki mahkeme kararlarını uygulamakla da görevlendirilmiştir. Kendisine ulaşan her mahkeme kararını uygulamaya alır ve İSS lere tevdi edilir. İSS ler mahkeme kararını uygulamak zorundadır. Burada itirazlar nereye yapılabilir? Bildiğiniz gibi Vikipedia sitesi çok uzun zaman engelliydi. Kendileri Anayasa mahkemesine başvurdu ve kazandılar. Bu sebepten ötürü, karar yazısı yazılıp BTK ya ulaştığında karar İSS lere gönderildi ve ilgili site erişime yeniden açıldı. Bir web sitesi sahibiyseniz ve siteniz engelledi ise mahkemeye başvurmak zorundasınız. Sizin bahsettiğiniz bir sisteme zarar verme suçuna gelirsek; Örneğin, bir telekom şirketi çalışanısınız (veya değilsiniz) ve görev ve yetkinizi kötüye kullanarak sistemi elverişsiz hale getirdiniz veya diğer rakiplerin istediği şekilde değiştirdiniz veya bozdunuz, çaldınız vs. Bu durumda, "mala zarar verme" , bir sistemi engelleme, bilgileri değiştirme, yok etme" ve daha pek çok ayrı suçtan yargılanırsınız. Aynı zamanda firma sizden maddi manevi tazminat talep edebilir. Konunun içeriğine bir şey demiyorum ama hukuki boyutu bu şekildedir. |
< Bu mesaj bu kişi tarafından değiştirildi XpressMusic34 -- 22 Nisan 2020; 21:6:38 >
Bu mesaja 4 cevap geldi.
|
Hukuki boyutta haksızsınız maalesef. Engelleme kararlarını alan Telekomünikasyon İletişim Başkanlığı veya mahkemeler. Bu mahkeme kararlarına veya TİB'in kararlarına itiraz edilebiliyor. DNS adresleri kanunen engellenebilir, web siteleri kapatılabilir,ip adresleri,VPN uygulaları engellenebilir. Hangi kanuna göre yapıldığını size yukarıdaki mesajımda aktarmıştım. Kanunun yapısı veya işleyişine bir itirazınız var ise idare mahkemelerine başvurmalısınız. İSS ler tek başlarına hiçbir şey yapma yetkisine sahip değiller. Tarife fiyatları da buna dahil, BTK ve Rekabet kurulundan olur alınıyor bir paketin ücreti duyurulmadan önce. Yani en basit şey değil mi? Benim hizmetimin bedeli bu diyemiyorlar, öncelikle iki kurumdan izin almaları gerekiyor. Size yolladığım, "5651 sayılı "İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun" kanunu incelerseniz, durumla ilgili geniş bilgi veriliyor. Tekrar söylediğim gibi, ben konunun içeriğinden bağımsız olarak hukuki açıdan bilgilendirme yazdım. Ayrıca hukuki bir bilginiz olmadan hukuki şeylerden bahsetmemelisiniz. Mesela benim yazılımsal konularla ilgili bir bilgim olmadığı için, sizin bahsettiğiniz duruma hiç değinmedim dikkat ederseniz. Daima konudan bağımsız bir mesaj yazdığımı belirttim. Size de hakkında hiçbir bilgiye sahip olmadığınız şeyler hakkında konuşmamayı tavsiye ederim, en azından komik düşmezsiniz mesela. Bir de şu var, bir teori ortaya atıyorsunuz ama hakkında bilgi sahibi olmadığınız bir konudan da bahsettiğiniz için bu durum teorinizin önüne geçiyor mesela. Yani demek istediğim çok net anlaşılmıştır diye düşünüyorum. |
< Bu mesaj bu kişi tarafından değiştirildi XpressMusic34 -- 22 Nisan 2020; 23:9:10 >
Bu mesaja 3 cevap geldi.
Bu mesajda bahsedilenler: @CoolSnow
|
Forumda böyle faydalı konular görmeye hasret kalmışız hocam . Bu arada dediğnizi Ubuntu'da denedim ve oldu teşekkür ederiz ! < Resime gitmek için tıklayın > |
| ülkenin adalet sistemine hukuk sistemine sen güveniyormusun? adamlar bir gecede istedikleri kanunu çıkartır istediklerini yapar bu gücü ellerine halk verdi cezasınıda yine halk çekiyor çekmeye devam edecek. fakat mahkeme kararı varsa kesin haklıdır diyemem çünkü herşey ortada. internetin sansürü diğer olayların yanında devede kulak kalıyor. |
Bu mesaja 1 cevap geldi.
Bu mesajda bahsedilenler: @XpressMusic34
|
Ben şu şekilde yapıyorum Öncelikle Firefox Quantum tarayıcınızın adres satırına “about:config” yazarak gelişmiş ayarlara giriyoruz. Komutu yazdıktan sonra bir uyarı ile karşılaşıyoruz. “Riski Kabul Ediyorum!” ile devam edelim. < Resime gitmek için tıklayın > Tüm ayarlar “network.trr.” değişkeni içinde yer almaktadır. Arama kısmına “network.trr.” yazarak değerleri filtreleyelim. < Resime gitmek için tıklayın > Düzenlemeniz gereken ayarlar şu şekilde; network.trr.allow-rfc1918 : DoH protokolünü etkinleştirir. “True” olarak ayarlayın. network.trr.mode : Varsayılan 0‘dır. DoH özelliği kapalıdır. “1” olarak ayarlarsanız, bu Race modudur. DoH ile birlikte yerel DNS çözümleyici birlikte çalışırlar. Hangisinden hızlı yanıt gelirse o kullanılır. “2” olarak ayarlarsanız, bu First modudur. DoH öncelikli olarak çalışır. Herhangi bir hata durumunda, yerel DNS çözümleyicilere başvurulur. “3” olarak ayarlarsanız, bu sadece DoH modudur. Sadece DoH çözümleyici çalışır. “4” olarak ayarlarsanız, bu Shadow modudur. DoH çözümlesi yerel çözümleyiciler tarafından yapılır. “5” olarak ararlarsanız, bu Off by choice modudur. 0 modu ile aynıdır. Ama varsayılan olarak değil de seçime dayalı olarak çalışır. Size tavsiyem olarak “2” veya “3” modunu ayarlamanız olacaktır. network.trr.uri : DoH sunucu adresini belirleyeceğiniz kısım. Güncel olarak kullanabileceğiniz DoH sunucularGüncel olarak kullanabileceğiniz DoH sunucuları: https://mozilla.cloudflare-dns.com/dns-query https://dns.google/dns-query https://doh.cleanbrowsing.org/doh/family-filter/ https://dns.dnsoverhttps.net/dns-query https://doh.crypto.sx/dns-query https://doh.securedns.eu/dns-query Cloudflare DNS ile DoH Testi Eğer Cloudflare kullanırsanız, DoH bağlantısının aktif olup olmadığını kullanabileceğiniz bir yardımcı mevcut. https://1.1.1.1/help veyahttps://1.0.0.1/help adresini ziyaret ederek DoH kullanıp kullanmadığınızı görebilirsiniz. Hangi CDN sunucusunu kullandığınız bilgisine kadar tüm bilgileri görebilirsiniz. < Resime gitmek için tıklayın > Yukarıdaki çıktıda gördüğünüz gibi 1.1.1.1 DNS sunucusuna DNS over HTTPS (DoH) ile bağlantı sağlanmıştır. Connected to 1.1.1.1 Yes |
|
bu kadar baştan kestirip atmanız çok anlamsız. ücretsiz vpnler hem hız anlamında rezalet hem de bütün internet trafiğinizi gözlemleyip satma riski çok yüksek.paralı vpnlere ise ayda en az 4-5dolar ödemek lazım. ben böyle bir sistemi bilmiyordum ve uyguladım çok da memnunum hız kaybı yaşamadan yasaklı sitelere girebiliyorum. şu anda kullandığım iss'nin(vodafone) uyguladığı dns saçmalığı yüzünden imgur'a erişim açılmasına rağmen giremiyordum. bu yöntemi uygulayarak sorunsuz ve hızlı şekilde girmeye başladım. ayrıca kullandığım bazı private trackerlar'a vpn ile giriş bloklu olduğu için sürekli vpn aç-kapat derdi de yaşamamış oluyorum. |
Bu mesaja 1 cevap geldi.
Bu mesajda bahsedilenler: @Why Shy
|
Finfisher 10+ seneden beri var ve DNS Hijack olayının ortaya çıkmasına da bence o neden oldu 8-9 yıldır.Ondan önce de buna benzer sistemler vardı. Hiçbir zaman güvende ve korumada değiliz.Kullanıcılar en azından bunun farkında olurlarsa daha dikkatli olurlar. Videoyu izlemek için tıklayınız EDiT: Kullanan ülkeler. < Resime gitmek için tıklayın > Daha fazla bilgi için . . . EDiT 2 : Buda Finfisher'ın o zamanki tüm uygulamalarının bir derlemesi :) Videoyu izlemek için tıklayınız |
< Bu mesaj bu kişi tarafından değiştirildi Charmlander -- 23 Nisan 2020; 1:29:18 >
Bu mesajda bahsedilenler: @BilgisayarMeraklısı
|
|
Cidden ilk mesajı okudunuz mu? Dns değiştirerek sitelere erişememenin nedeni Server Name Indication'ı tarayarak TCP RST Saldırıları gönderen DPI sistemlerine sahip olmaları. SNI kısmını halledersen istediğin siteye erişirsin. Eskiden İp engellemesi vardı. Artık web siteleri ip adresi bazında engellenmiyor. Çünkü bir ip adresinden onlarca web sitesi yayın yapıyor. 172.69.117.149 adresine whois atın bakalım bu adres kime ait? Bu DNS poisoning değildir. Bu Cloudflare'in ülkemizdeki DNS sunucusudur. Tüm dünya üzerinde binlerce sunucuya sahip. Bu sayede düşük ping sürelerine sahipler. Ve yük dağıtılıyor. SSL handshakeleri konusunda lütfen biraz araştırma yapın. Önbellekleme ile CA sertifikalı paketleri yeniden gönderemezler. Her bir Handshake Eşsizdir. Aynı cevapları copy paste yaparak gönderemezler. Sahte bir imzaya tarayıcının güvenebilmesinin tek yolu ilgili Sertifikanın bir şekilde bilgisayarında yüklü olması. Bu sayede MITM atakları yapılabilir. Dışarıdan güvenmediğim sertifikaları bilgisayarıma yüklemediğime göre ve de sertifika otoritelerinin (CA) sahte bir sertifika imzalamasının büyük skandallar doğuracağı ve o şirketin batacağı gerekçesi yüzünden sahte bir SSL sertifikası üretmek ve bunu toplu şekilde kullanıcılara yedirmek çok zordur. (yine de böyle skandallar ülkemizde olabiliyor, örneğin TürkTrust şirketi) Bana attığın linki okumadığını düşünüyorum. Server Name Indication ile metadata toplanabileceğinden ve bu yüzden Dot ve DoH'un hala tam bir güvenlik sağlamadığından bahsetmiş. Biz Server Name Indication'ı (SNI) firefox ile ŞİFRELİYORUZ. Şifreleyemesek bile GoodbyeDPI ile parçalıyoruz. Bu da bize dolayısı ile çok iyi bir anonimite sunuyor. Ayrıca Kurduğumuz şifreli bağlantılar ardından istediğimiz siteye engellenmiş olsun ya da olmasın bağlanabiliyoruz. Umarım anlamışsındır, anlamasan bile umarım başka arkadaşlara yardımcı olmuşumdur. Sağlıcakla kal... |
Bu mesajda bahsedilenler: @murat.karagoz
|
Düzenleme: Konfigürasyonumu tamamladım. Pi-Hole (1.5 milyona yakın blacklist) + Unbound DNS. < Resime gitmek için tıklayın > |
< Bu mesaj bu kişi tarafından değiştirildi Der Meister. -- 2 Kasım 2020; 18:14:29 >
Bu mesaja 2 cevap geldi.
|
Hosting firmasının dışında araya 3. kişi yani farklı bir DNS sağlayıcısı sokmak istemiyorsanız Unbound iyi olur. Fakat Unbound sorgularını da DoH/DoT ile şifrelemek istiyor musunuz? O zaman biraz karışık olacaktır. Zaten gereksiz olur, çünkü kendi sunucunuzda çalışacak. Tercih ettiğiniz DNS sağlayıcısına güveniyorsanız direkt AdGuard Home'un arayüzünden şifreli DNS, DoH/DoT vs. de atayabilirsiniz. Yani hiçbirine gerek kalmaz. Zaten AGH varsayılan olarak Quad9 (DoH) seçiyor. Ben Pi-hole'da DoH tercih etmedim. Dün akşam Quad9'ı Unbound ile değiştirmiştim. Unbound'u daha çok düşük gecikme konusunda tercih ediyorlar diye biliyorum. Bir ara ben de ev ağımda kullanıyordum. VPS'te özellikle ABD ve Avrupa konumlu sunucularda Quad9, Cloudflare, Google, vs. DNS sağlayıcılarına zaten genelde 1-5ms değerlerle erişiliyor. İmla. |
< Bu mesaj bu kişi tarafından değiştirildi Der Meister. -- 25 Eylül 2020; 20:36:28 >
Bu mesaja 1 cevap geldi.
Bu mesajda bahsedilenler: @Balliba
|
Arkadaşlar AdGuard DNS kullanmanızı önermem. Çünkü Rusya'daki ISP/Data Center her neyse bağlarını koparmadılar. Neden buna ısrar ettiklerini bir türlü anlayamadım. Rusya, Çin, İran ve Türkiye'nin bu konuda ortak noktalarını yazıya dökmeye gerek yok. < Resime gitmek için tıklayın > DNS üzerinden reklam engellemek istiyorsanız bir sürü çözüm var. AdGuard'ın DNS hizmeti yanlarında çırak kalır.  Bu arada DNS'leri DNS over HTTPS (DoH) veya DNS over TLS (DoT) şeklinde tercih etmenizi öneririm. Diğer türlü sorgularınız şifrelenmez plain text yani düz metin olarak işlenir. Router'da DoH & DoT yoksa tarayıcılarınızdan ve telefonlarınızdan da tek tek ayarlayabilirsiniz. Öncelik DoH olsun, çünkü portu 443. |
Bu mesaja 2 cevap geldi.
Bu mesajda bahsedilenler: @Celonfix , @ogulcanbb
Dikkat! Konunun amacı Engelli sitelere erişmek değil, ISS'lerin yapmış olduğu saldırıları önlemek ve korunmaktır. Bunun sonucunda Engelli sitelere erişebilir veya erişemeyebilirsiniz. Bu durum ISS'nize bağlıdır.
------------------------------
Bildiğiniz gibi yaklaşık on yıldır internetimiz çok ağır bir şekilde ISS'ler ve devlet kuruluşları tarafından sansürlenmekte, içerikler engellenmektedir. Bu içeriklerin engellenmesine sitem etmeyeceğim. O konunun yeri farklı bir yer.
Bugün size aktaracağım şey içeriklerin nasıl engellendiği, ortaya çıkan gizlilik ve güvenlik sıkıntılarından nasıl kurtulabileceğimiz. Eskiden dns tabanlı bir engelleme yapılmaktaydı. İnsanlarımız alternatif servisleri kullanarak bu engellemeden kolayca kurtuluyordu. Ta ki internet servis sağlayıcılarımız internet adresleriyle yapmış olduğumuz haberleşmeye müdahale edene kadar.
Günümüzde yapılan müdahale ise bir internet protokolü saldırısı olarak biliniyor. Gerçekleşen Handshake’ler izlenir ve stratejik veri paketlerine müdahale edilerek haberleşme kesilir. Bunun nasıl yapıldığını gösteren paket akışını aşağıda görebilirsiniz.
< Resime gitmek için tıklayın >
Burada hiçbir insana zararı olmayan ama yasaklı olan pastebin.com sitesine erişmeye çalıştık.
Görmüş olduğunuz SSL paketi yapısı gereği şifrelidir fakat bir kısmı hariç. Server Name Indication (SNI) olarak adlandırılan kısımda ulaşmaya çalıştığımız sitenin adresi apaçık meydanda. Daha fazla bilgi içinhttps://tr.wikipedia.org/wiki/Server_Name_Indication
İş bu kadarla bitmiyor. Bu haberleşmenin nereyle yapıldığını öğrenen FireWall bir bilişim suçu işleyerek, bize karşı taraftan gönderilen paketlere müdahale ediyor.
< Resime gitmek için tıklayın >
Burada bize gelmiş olan TCP protokolünde Reset bayrağı bulunmaktadır. Yani HTTPS için handshake başlamadan bitmiştir. Paketin içeriği oynanmış ve iletişim sekteye uğratılmıştır. Bu bir bilişim saldırısı yöntemidir.https://en.wikipedia.org/wiki/TCP_reset_attack
Görmüş olduğunuz haberleşmenin tümü şifrelidir. Hatta DNS paketleri bile DNS over TLS ile şifrelidir. Bu haberleşmenin içeriğini kurcalamaya ne ISS’lerin ne de devletin hakkı vardır. Bunun bir suç olup olmadığı konusunu size bırakıyorum. ISS'niz başka bir siteden geliyormuş gibi gözüken sahte paketler üretebilmeli mi?
TCK. MADDE 244
Sistemi engelleme, bozma, verileri yok etme veya değiştirme
(1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.
(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır. ...
----------------------------------------################################----------------------------------------
Konumuzun en güzel kısmı ise şimdi başlıyor, Haberleşmeyi tamamen şifreleyerek kendimizi İSS’lerden korumak.
Yapılması gereken iki şey var. DNS ve SNI haberleşmesini şifrelemek. Bu sayede İSS’ler müşterileri hakkında ne log tutabilir ne de erişim engeli uygulayabilir!
Yukarıda ulu ortada görmüş olduğunuz web sitesinin adresi paketlerdeki SNI olarak bilinen kısımın zafiyetinden kaynaklanmaktadır. Bu kısmı şifreleyebiliriz veya başka programlarla parçalara ayırabiliriz.
Encrypted SNI Protokolü şuanda Cloudflare ve Mozilla tarafından geliştirilme aşamasında fakat Mozilla Firefox’ta erkenden stabil bir versiyonuna ulaşabilirsiniz. Ne yazık ki sadece Firefox için bulunmakta. Şuanda Windows ve Linux için hazır kurabileceğiniz bir program yok.
Tek Tuşla En Kolay ve En Güvenli Çözüm
1. Adım: Firefox Stabil versiyonunu indirip kurun.
2. Adım DNS over HTTPS’i etkinleştirin. (Bu aynı zamanda girdiğiniz sitelerin İSS tarafından kayıt altına alınmasını önleyecektir.)
Görseldeki adımları uygulayın.
< Resime gitmek için tıklayın >
< Resime gitmek için tıklayın >
3. Adım ESNI özelliğini aktif edin. Bunun için adres satırına about:config yazın. Çıkan uyarıya evet deyip arama çubuğuna esni yazın ve çıkan sonucu etkinleştirin.
< Resime gitmek için tıklayın >
4. Adım: PasteBin’i test edin.https://pastebin.com/PqHJPAx7
Önemli notlar:
ESNI protokolüyle sadece ESNI özelliğini destekleyen web sitelerine bağlanabilirsiniz. Yani engellenen web sitesinin Cloudflare proxy'sinde ve türevlerinde bulunması gerek. Bu da şuanda engellenen sitelerin yaklaşık yarısını kapsıyor.
Sistem Sadece https:// uzantılı web sitelerinde ISS'lere karşı koruma sağlamakta. Eğer site açılmazsa Başına https koymayı deneyin. Yine açılmıyorsa o web sitesi ip adresi engeli yemiş ve Proxy hizmeti kullanmıyor demektir. Diğer yöntemleri kullanabilirsiniz.
ESNI protokolü yakın zamanda routerlar ve modern işletim sistemlerine adapte olur diye düşünüyorum. O zaman hayatımız çok daha kolay olacaktır. Çünkü ISS’lerin Proxy kullanan Web sitelerini engellemeleri İMKANSIZ hale gelecektir. İnternet standartlarının daha güvenli olduğu bir gelecek umuduyla beklmekteyiz...
ESNI'nin çalışıp çalışmadığını buradan tespit edebilirsiniz. Burada gördüğünüz her şey yeşil olmalı.https://www.cloudflare.com/ssl/encrypted-sni/
Çalışmaz ise about:config'de network.trr.mode'u 3'e almanızı öneririm.
----------------------------------------################################----------------------------------------
Biraz Uğraştıran Ama Her Türlü Siteye Girmenizi Sağlayacak Garanti Yöntem GoodbyeDPI
Bu yöntemde Firefox kullanmayacağız Sistem genelinde bir değişiklik yapılarak cihazınızın internet erişimini garantiler. Https uzantılı tüm sitelere erişmenizi sağlar. Fakat ağınızı dinleyen herhangi birisi hangi sitelere girdiğinizi hala tespit edebilir. Firefox ESNI açıkken tamamen şifreli bir iletişim olduğundan sizi takip edemezler. İki programı da aynı anda kullanabilirsiniz. En optimal sonucu verecektir.
Bu program paketleri parçalamaktadır. Buna SNI de dahil. SNI kısmını şifrelemez. Hala hangi sitelere girdiğiniz takip edilebilir. Programın yapmış olduğu şey SNI'de pastebin.com yazan paketi parçalayarak bir pakette paste diğerinde bin.com adreslerinin gözükmesini sağlamaktır. Gerçek bir gizlilik sunmaz.
Kurulum
Programımızın adı GoodbyeDPI. Son sürümünü buradan indirebilirsiniz.https://github.com/ValdikSS/GoodbyeDPI/releases
İndirip Prgram Files gibi bir dizine çıkartın.
Çıkan dosyada bizi bir avuç .cmd dosyası beklemekte. Bu dosyalar Rus ISS leri için önceden hazırlanmış. Bizim kendimiz için Editleyeceğimiz dosya "service_install_russia_blacklist.cmd". Not defteri ile açıp içindeki 13. satıra bunu yazın:
sc create "GoodbyeDPI" binPath= "\"%CD%\%_arch%\goodbyedpi.exe\" -3
Böyle gözükmeli:
< Resime gitmek için tıklayın >
Dosyayı kaydet deyip kapatın. Sağ tıklayıp Yönetici olarak çalıştır deyin. Çıkan ekranda herhangi bir tuşa basın ve hizmet yüklenmiş olacak.
Windows arama sekmesine hizmetler yazın ve çıkan sonucu çalıştırın. Hizmetler listesinde GoodbyeDPI'ı bulup sağ tıklayıp özellikler deyin ve başlangıç türünü otomatik yapın.
Böyle gözükmeli:
< Resime gitmek için tıklayın >
Bu şekilde Bilgisayarımız her açıldığında çalışacak bir hizmet yükledik. İsterseniz Manuele alıp elle açıp kapatabilirsiniz. Servisi kaldırmak için "service_remove.cmd" kullanabilirsiniz.
DNS Sunucunuzu ISS'nin verdiğinden farklı bir sunucuyla değiştirdiğinizden emin olun. Bu şartlar altında sorunsuz olarak tüm sitelere girebilmelisiniz. Ekstra DNS güvenliği için SimpleDNSCrypt programını öneriyorum. Veya Stubby programını da kullanabilirsiniz fakat konfigürasyonu biraz zordur. Şifreli DNS olmadan da çalışmakta fakat kolayca DNS spoofing yöntemleriyle engel yiyebilirsiniz. Ayrıca bununla beraber ISS'niz girdiğiniz web sitelerini kayıt altına alamayacaktır.
Oldukça basit bir program. Buradan indirebilirsinizhttps://simplednscrypt.org/
Benim tavsiyem programda Cloudflare DNS over Https (DoH) kullanmanız yönünde. Bu konuda tercih serbest.
Dediğim her şey yalnızca web siteleriyle güvenli Https bağlantıları için geçerli. Bu yüzden her zaman tarayıcınızın adres çubuğunda https yazdığından emin olun.
Ayrıca Forumdan @m231 arkadaşımızın yapmış olduğu bir grafik arayüzü varmış. Kullanmadım ama detaylı bilgiye Github sayfasından ulaşabilirsiniz.https://github.com/mguludag/GUI-for-GoodbyeDPI
----------------------------------------################################----------------------------------------
Daha basit bir çözüm: GoodbyeDPI Alternatifi PowerTunnel
Alternatif olarak grafik arayüzlü PowerTunnel programını kullanabilirsiniz. Default ayarlarıyla çalışmakta. DoH kendi içinde gelmekte.
https://github.com/krlvm/PowerTunnel/releases buradan PowerTunnel.jar'ı indirebilirsiniz. Ayrıca Java'ya ihtiyacınız var. Yüklü değilse indirin.https://www.java.com/tr/
İçinde DNS over https yüklü geliyor. DoH resolver'a
Google için https://dns.google/dns-query
Cloudflare için https://cloudflare-dns.com/dns-query yazabilirsiniz. Program Google'da daha stabil çalıştığını söylemiş.
DoH sağlayıcıları listesi için burayı kontrol edebilirsiniz:https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Public+Resolvers
Android için
PowerTunnel'ın Android versiyonu bulunmakta. Default ayarlarda çalışmakta. DoH desteği var. Aynı şekilde ayarlardan Cloudflare DoH'u etkinleştirebilirsiniz.
https://github.com/krlvm/PowerTunnel-Android/releases buradan apk yı indirip kurabilirsiniz.
PowerTunnel Çalışmıyorsa FullChunking mode'u etkinleştirmeyi deneyebilirsiniz. Android'de bazen uygulamayı yeninden başlatınca sıkıntılar çözülüyor.
----------------------------------------################################----------------------------------------
Sık Sık Sorulan Sorular
Bu yöntemlerin VPN den farkı ne?
Bu yöntemin VPN'den farkı kendi ip adresiniz üzerinden internete çıkmanızdır. Bir sanal ağa bağlı olmazsınız. VPN'de yaşadığınız gecikme sürelerindeki artışı yaşamazsınız. İnternet hızınızda da bir kayıp yaşamazsınız.
Bağlantım VPN'den daha mı güvenli?
Ücretsiz bir VPN kullanan birisiyseniz evet daha güvenli. Bunun dışında paralı ve log tutmayan bir servis kullanıyorsanız VPN her zaman en üst güvenlik hizmetini sağlayacaktır.
Daha güvenli bir bağlantı için hangi yöntemleri önerirsiniz?
İlk önce DNS trafiğiniz şifrelenmeli. Bunun için SimpleDnsCrypt, Stubby gibi programları veya PowerTunnel'ın DoH özelliğini kullanmalısınız. Ayrıca Router'ınız bu hizmeti destekliyorsa her şeyi kökten Router üzerinden de halledebilirsiniz.
Bunun dışında her zaman Https'li bağlantılar kurun. Ve Firefox'un ESNI özelliğini açık tutun. Bu sayede internette neler yaptığınızı neredeyse takip edilemez bir konuma getiriyorsunuz. Ama ESNI her site tarafından desteklenmemekte ve yine sıkıntılar doğurabilmektedir.
Güvenli bir bağlantının formülü= DoT veya DoH + HTTPS + firefox ESNI'dir.
GoodByeDpi gibi programlar sadece ISS'lerin güvenlik duvarına takılmamanızı sağlar. Bağlantınızı dinleyen birisi sizi hala takip edebilir.
GoodbyeDPI mı powertunnel mi?
Powertunnel bazen sıkıntı yaşatabiliyor ama en basit yöntemdir. GoodByeDPI ise çok daha gelişmiş bir program. ISS ler daha agresif bir filtreleme yaparsa gelecekte işimize yarayacaktır.
DH forumlarında vakit geçirmekten keyif alıyor gibisin ancak giriş yapmadığını görüyoruz.
Üye Ol Şimdi DeğilÜye olduğunda özel mesaj gönderebilir, beğendiğin konuları favorilerine ekleyip takibe alabilir ve daha önce gezdiğin konulara hızlıca erişebilirsin.
< Bu mesaj bu kişi tarafından değiştirildi CoolSnow -- 11 Mayıs 2020; 14:2:12 >
Bu mesajda bahsedilenler: @m231