Tässä artikkelissa käsitellään DNS-hakuja – mitä ne ovat, miten ne toimivat ja miten ne vaikuttavat verkkoyksityisyyteen ja sensuuriin.
DNS-haulla tarkoitetaan prosessia, jossa selaimenne osoitepalkkiin syöttämänne URL-osoite (selkokielinen verkkotunnus) yhdistetään sitä vastaavaan IP-osoitteeseen.
Kaikki suoraan internetiin yhdistettävät laitteet tunnistetaan numeerisella tunnisteella, jota kutsutaan IP-osoitteeksi. Jotta asia olisi ihmisille helpompi, tämä osoite voidaan tunnistaa myös helppolukuisempien ja helpommin muistettavien verkkotunnusten avulla. Nimipalvelujärjestelmä (DNS) yhdistää nämä verkkotunnukset niitä vastaaviin IP-osoitteisiin.
Esimerkiksi Proton VPN -verkkosivusto käyttää verkkotunnusta protonvpn.com, joka vastaa IP-osoitetta 185.159.159.140. Kun kirjoitatte www.protonvpn.com selaimenne URL-palkkiin, verkkotunnus on muunnettava sitä vastaavaksi IP-osoitteeksi, jotta tietokoneet voivat ymmärtää sitä.
Tämä muunnos tehdään DNS-järjestelmän avulla. Kun siis kirjoitatte osoitteen protonvpn.com, DNS muuntaa verkkotunnuksen IP-osoitteeksi: 185.159.159.140. Tämän ansiosta selaimenne voi löytää oikean verkkosivuston ja yhdistää siihen.
Verkkotunnukset ovat olemassa vain ihmisten mukavuuden vuoksi, eikä niitä tarvita internetin toimintaan. Jos pystyisitte muistamaan IP-osoitteet, voisitte kirjoittaa ne suoraan osoitepalkkiin. Nähdäksenne tämän käytännössä syöttäkää osoite 185.159.159.140 selaimenne URL-palkkiin, niin se ohjaa teidät Proton VPN -verkkosivustolle.
- Miten DNS-haku toimii
- DNS, sensuuri ja valtion valvonta
- Ulkopuolisten tahojen DNS-palvelut
- DNS ja VPN-yhteydet
- NetShield Ad-blocker
- DNS-vuodot
- Yleiset DNS-tietuetyypit
- DNS-hakukomennot
- DNS-hakutyökalut
Miten DNS-haku toimii
DNS-järjestelmää verrataan usein puhelinluetteloon, joka yhdistää verkkotunnukset ja niitä vastaavat IP-osoitteet. Tämä on hyödyllinen vertauskuva DNS-järjestelmän toiminnan ymmärtämiseksi, mutta todellisuudessa sen toiminta on monimutkaisempaa.
DNS-selvittäjä
Kun syötätte verkkotunnuksen selaimenne URL-palkkiin, DNS-kysely lähetetään erityiselle palvelimelle, jota kutsutaan DNS-selvittäjäksi (myös rekursiivinen DNS-palvelin tai vain DNS-palvelin).
Kuten nimestä voi päätellä, DNS-selvittäjä ”selvittää” DNS-kyselyn hakemalla verkkotunnusta vastaavan IP-osoitteen ja lähettämällä sen takaisin selaimellenne. Nyt kun selaimenne tietää sen verkkosivuston IP-osoitteen, jolla haluatte vierailla, se voi muodostaa siihen yhteyden.
Tähän asti kaikki on ollut yksinkertaista. Mutta miten DNS-selvittäjä hakee verkkotunnuksen oikean DNS-osoitteen (prosessia monimutkaistaa se, että uusia verkkotunnuksia luodaan jatkuvasti ja IP-osoitteita määritetään usein dynaamisesti verkkotunnuksille, jolloin ne muuttuvat säännöllisesti)?
Miten verkkotunnus selvitetään DNS-järjestelmän avulla
DNS-haku ylätason verkkotunnukselle(uusi ikkuna) (TLD) sisältää yleensä seuraavat vaiheet:
1. Kirjoitatte protonvpn.com selaimenne URL-palkkiin. Selaimenne lähettää tämän kyselyn internetin kautta DNS-selvittäjälle.
2. DNS-selvittäjä lähettää kyselyn DNS-juurinimipalvelimelle. Tämä on palvelin, joka tallentaa tietoja ylätason verkkotunnuksista (kuten .com tai .net tai maatunnuksista, kuten .ch tai .uk). Koska kyselymme koski osoitetta protonvpn.com, DNS-juurinimipalvelin osoittaisi ”.com”-ylätason verkkotunnusten DNS-selvittäjään.
3. Tämän tiedon avulla DNS-selvittäjä tekee nyt kyselyn .com-ylätason nimipalvelimelle, joka ylläpitää luetteloa kaikista .com-verkkotunnuksista. Ylätason nimipalvelin vastaa ilmoittamalla verkkotunnuksen auktoritatiivisen nimipalvelimen IP-osoitteen.
4. DNS-selvittäjä voi nyt tehdä kyselyn verkkotunnuksen auktoritatiiviselle nimipalvelimelle. Tätä ylläpitää yleensä verkkotunnustoimittaja(uusi ikkuna) – yritys, joka vuokraa ja hallitsee verkkotunnuksia (kuten GoDaddy tai Namecheap). Auktoritatiivinen nimipalvelin on lopullinen totuuden lähde verkkotunnuksesta ja voi palauttaa sen IP-osoitteen DNS-selvittäjälle (meidän tapauksessamme tämä on 185.159.159.140).
5. DNS-selvittäjä lähettää oikean IP-osoitteen selaimellenne, joka voi nyt muodostaa yhteyden osoitteeseen 185.159.159.140.

Todellisuudessa tilanne on hieman monimutkaisempi. Esimerkiksi monet verkkotunnukset liittyvät useisiin IP-osoitteisiin (mukaan lukien sekä IPv4- että IPv6-osoitteet), ja lisävaiheita tarvitaan, jos vierailette aliverkkotunnuksella (kuten blog.protonvpn.com).
Tietoja myös tallennetaan rutiininomaisesti välimuistiin (paikallisesti) prosessin kaikissa vaiheissa – selaimenne, DNS-selvittäjän ja eri nimipalvelimien toimesta. Jos tarvittava tieto löytyy välimuistista, pyyntöä ei lähetetä, jolloin jotkin vaiheet jäävät välistä.
Pähkinänkuoressa DNS toimii kuitenkin näin tavallisen verkkosivustovierailun yhteydessä.
DNS, sensuuri ja valtion valvonta
Oletusarvoisesti selaimenne lähettää DNS-kyselyne internet-palveluntarjoajanne (ISP) ylläpitämälle DNS-selvittäjälle. Internet-palveluntarjoajanne voi käyttää erilaisia menetelmiä nähdäkseen, mitä teette internetissä, mutta ylivoimaisesti helpoin (and halvin) tapa on yksinkertaisesti valvoa DNS-kyselyitänne.
Useimmat valtioiden massavalvontaohjelmat perustuvat siihen, että internet-palveluntarjoajia vaaditaan pitämään lokeja asiakkaidensa selaushistoriasta. Koska se on helppoa ja halpaa, useimmat internet-palveluntarjoajat täyttävät nämä lakisääteiset velvoitteensa pitämällä vain DNS-lokeja.
Vastaavasti, kun valtiot haluavat sensuroida internet-sisältöä sosiaalisista, uskonnollisista, poliittisista tai ”moraalisista” syistä, ne pyytävät kotimaisia internet-palveluntarjoajia asettamaan nämä estot. Helpoin tapa tehdä tämä on estää DNS-kyselyt tiettyihin verkkosivustoihin ja sovelluksiin.
Ulkopuolisten tahojen DNS-palvelut
Yksi tapa välttää ainakin osa tästä sensuurista ja valvonnasta on käyttää ulkopuolisen tahon DNS-selvittäjää, kuten Cloudflare 1.1.1.1:tä tai OpenNIC:tä.
Joillakin näistä palveluista voi olla hyvät tietosuojakäytännöt, mutta ellei yhteyksiä DNS-selvityspalvelimiin ole salattu käyttämällä DNS over TLS (DoT)- tai DNS over HTTPS (DoH) -protokollaa, internet-palveluntarjoajanne voi nähdä pyynnöt selkokielisenä, jos se päättää tarkistaa ne.
DNS-kyselyiden salaaminen vaikeuttaa (ja siten tekee kalliimmaksi) internet-palveluntarjoajallenne selaushistorianne seurannan, mutta se voi silti melko helposti selvittää, mihin verkkosivustoihin ja sovelluksiin muodostatte yhteyden, jos se niin haluaa.
DNS ja VPN-yhteydet
Kun käytätte VPN-yhteyttä (kuten Proton VPN -palvelua), yhteytenne VPN-palvelimeen on salattu. Pienellä vaivalla internet-palveluntarjoajanne voi nähdä, että olette muodostaneet yhteyden VPN-palvelimelle kuuluvaan IP-osoitteeseen, mutta ei muuta.
DNS-kyselyt lähetetään VPN-tunnelin kautta ja ne selvittää VPN-palveluntarjoaja, joka saattaa ylläpitää omaa DNS-selvittäjäänsä tai käyttää ulkopuolisen tahon VPN-selvittäjää. Tällä ei ole vaikutusta yksityisyyteen, sillä DNS-kyselyt näyttävät tulevan VPN-palvelimelta, eivät VPN-käyttäjältä.
On syytä huomata, että salattua DNS-palvelua ei tarvita VPN-yhteyttä käytettäessä, sillä kaikki DNS-kyselyt lähetetään joka tapauksessa salatun VPN-tunnelin kautta.
Ei myöskään ole suositeltavaa käyttää ulkopuolisen tahon DNS-selvittäjää yhdessä VPN-yhteyden kanssa. Järjestelmän määrittäminen tällä tavalla voi johtaa siihen, että DNS-kyselynne lähetetään VPN-tunnelin ulkopuolella ulkopuolisen tahon DNS-selvittäjälle.
NetShield Ad-blocker
Proton VPN tarjoaa NetShield Ad-blocker -mainoseston kaikissa sovelluksissamme. Tämä on DNS-suodatustoiminto, joka estää DNS-kyselyt verkkotunnuksiin, joiden tiedetään kuuluvan mainosyhtiöille, verkkoseuraimille ja haittaohjelmille. Se (ja muut vastaavat DNS-suodatuspalvelut) toimii DNS-selvittäjän tasolla jättämällä yksinkertaisesti selvittämättä DNS-kyselyt, jotka suuntautuvat estolistalla oleviin verkkotunnuksiin.
Lue lisää NetShield-mainosestosta
Tekniski ottaen tämä on DNS-vuoto (katso alta). Tämä ei välttämättä ole suuri ongelma, jos DNS-kysely on salattu ja luotatte DNS-selvittäjään, mutta se tuo tarpeettoman ulkopuolisen tahon (ja siten mahdollisen heikon kohdan) mukaan yhtälöön.
DNS-vuodot
VPN-yhteyttä käytettäessä kaikkien DNS-kyselyiden tulisi kulkea VPN-tunnelin läpi VPN-palveluntarjoajan selvitettäviksi. Jos DNS-kysely jostain syystä lähetetään VPN-tunnelin ulkopuolelle ulkopuoliselle DNS-selvittäjälle, kyseessä on DNS-vuoto. Yleinen syy DNS-vuotoihin on se, että IPv6 DNS -pyyntöjä ei ohjata asianmukaisesti VPN-tunnelin läpi.
Koska tämä ulkopuolinen taho olisi todennäköisesti internet-palveluntarjoajanne, DNS-vuodot ovat vakava yksityisyysongelma. On sanomattakin selvää, että kaikissa Proton VPN -sovelluksissa on vahva sisäänrakennettu DNS-vuotosuojaus.
Yleiset DNS-tietuetyypit
Tässä on joitakin tärkeimpiä DNS-tietuetyyppejä, joita voidaan hakea:
- A (Address) -tietue: Yhdistää verkkotunnuksen IPv4-osoitteeseen. Esimerkki: example.com → 192.0.2.1
- AAAA (Quad A) -tietue: Yhdistää verkkotunnuksen IPv6-osoitteeseen. Esimerkki: example.com → 2001:0db8:85a3:0000:0000:8a2e:0370:7334
- CNAME (Canonical Name) -tietue: Yhdistää verkkotunnuksen toiseen verkkotunnukseen eli käytännössä luo aliaksen nimeltä toiselle. Esimerkki: www.example.com → example.com
- MX (Mail Exchange) -tietue: Määrittää sähköpostipalvelimet, jotka vastaavat sähköpostin vastaanottamisesta verkkotunnuksen puolesta. Esimerkki: example.com → mail.example.com (prioriteetti 10 — prioriteettinumero osoittaa ensisijaisuuden, jolloin pienemmän prioriteetin pyynnöt ovat ensisijaisia).
- PTR (Pointer) -tietue: Yhdistää IP-osoitteen verkkotunnukseen, käytetään pääasiassa käänteisiin DNS-hakuihin. Esimerkki: 192.0.2.1 → example.com
- NS (Name Server) -tietue: Määrittää verkkotunnuksen auktoritatiiviset nimipalvelimet. Esimerkki: example.com → ns1.example.com, ns2.example.com
- SOA (Start of Authority) -tietue: Tarjoaa tärkeitä tietoja verkkotunnuksesta, mukaan lukien ensisijaisen nimipalvelimen, verkkotunnuksen ylläpitäjän sähköpostiosoitteen, verkkotunnuksen sarjanumeron (joka auttaa hallitsemaan ja synkronoimaan DNS-tietoja useiden DNS-palvelimien välillä) sekä päivityksen, uusisuusyrityksen ja vanhenemisen ajastimet (Esimerkki: example.com → ns1.example.com, admin.example.com, 2024041501)
- TXT (Text) -tietue: Sisältää vapaavalintaista tekstidataa, jota käytetään usein sähköpostin vahvistukseen (kuten SPF tai DKIM) ja muihin varmennustarkoituksiin. Esimerkki: example.com → “v=spf1 include:example.com ~all”
- SRV (Service) -tietue: Määrittää palvelimien sijainnin tietyille palveluille, kuten SIP(uusi ikkuna)-internetpuheluprotokollalle, XMPP(uusi ikkuna)-pikaviestiprotokollalle jne. Esimerkki: _sip._tcp.example.com → 0 5 5060 sipserver.example.com
- CAA (Certification Authority Authorization) -tietue: Määrittää, mitkä varmenteiden antajat (CA) saavat myöntää varmenteita verkkotunnukselle. Esimerkki: example.com → 0 issue “letsencrypt.org”
- NAPTR (Naming Authority Pointer) -tietue: Käytetään URL-osoitteiden selvittämiseen ja uudelleenkirjoitussääntöjen määrittämiseen eri palveluille, kuten VoIP:lle. Esimerkki: example.com → 100 50 “s” “SIP+D2U” “” _sip._udp.example.com
- DNSKEY: Sisältää julkisen allekirjoitusavaimen, jota käytetään DNSSEC-tekniikassa (määritysjoukko, joka on suunniteltu lisäämään ylimääräinen suojaustaso DNS-järjestelmään).
- . Esimerkki: example.com → 256 3 13 …
- DS (Delegation Signer) -tietue: Sisältää DNSKEY-tietueen hajautusarvon delegoinnin suojaamiseksi DNSSEC:ssä. Esimerkki: example.com → 12345 13 2 …
- SPF (Sender Policy Framework) -tietue: Määrittää, millä IP-osoitteilla on valtuudet lähettää sähköpostia verkkotunnuksen puolesta. Esimerkki: example.com → “v=spf1 ip4:192.0.2.0/24 -all”
DNS-hakukomennot
DNS-komentoja käytetään DNS-palvelimien ja -tietueiden kyselyyn, testaamiseen ja vianmääritykseen. Nämä komennot ovat verkon ylläpitäjille välttämättömiä sen varmistamiseksi, että DNS-palvelut toimivat oikein, sillä DNS on ratkaisevan tärkeä verkkotunnusten selvittämiseksi IP-osoitteiksi.
Alla on joitakin yleisesti käytettyjä DNS-komentoja. Voitte suorittaa nämä komennot pääteikkunassa (Linux), Terminalissa (macOS), komentokehotteessa (cmd) tai PowerShellissä (Windows) tai jopa mobiililaitteenne pääte-emulaattorisovelluksessa. Kaikki nämä komennot eivät välttämättä ole suoraan käytettävissä alustallanne, mutta lähes kaikissa tapauksissa ne on helppo asentaa.
nslookup
nslookup-komento on työkalu DNS-kyselyjen tekemiseen verkkotunnuksen tai IP-osoitteen vastaavuuden selvittämiseksi. Voitte myös määrittää tietyn DNS-palvelimen käytettäväksi ja suorittaa käänteisen DNS-haun.

dig
dig-komento (Domain Information Groper) on tehokkaampi ja joustavampi DNS- ja IP-hakutyökalu kuin nslookup. Verkon ylläpitäjät pitävät sitä usein parempana sen yksityiskohtaisen tulosteen ja edistyneiden asetusten vuoksi.

dig-komennolla voitte myös hakea tiettyä DNS-tietuetyyppiä, kysyä tiettyä DNS-palvelinta ja suorittaa käänteisen DNS-haun.
host
host-komento on toinen työkalu DNS-hakujen tekemiseen. Se on yksinkertaisempi kuin dig, mutta tarjoaa riittävästi tietoa perustehtäviin, kuten tietyn DNS-palvelimen kyselyyn ja käänteisten DNS-hakujen tekemiseen.

ping
ping-komentoa käytetään ensisijaisesti isännän tavoitettavuuden tarkistamiseen IP-verkossa, mutta se suorittaa myös DNS-selvityksen osana toimintaansa.

traceroute / tracert
traceroute– (Linuxissa ja macOS:ssä) ja tracert-komentoja (Windowsissa) käytetään seuraamaan paketin sijaintia sen lähteestä määränpäähän. Komento selvittää verkkotunnuksen IP-osoitteeksi ja näyttää jokaisen välipisteen matkalla määränpäähän.

ipconfig / ifconfig
ifconfig– (Linuxissa ja macOS:ssä) ja ipconfig-komentoja (Windowsissa) voidaan käyttää verkkomääritysten näyttämiseen, mukaan lukien järjestelmän käyttämät DNS-palvelimet. Sellaisenaan käytettynä komento näyttää vain aktiiviset liitännät. Nähdäksenne kaikki liitännät Windowsissa käyttäkää komentoa ipconfig /all.

DNS-hakutyökalut
Edellä käsiteltyjen komentorivityökalujen lisäksi on olemassa monia verkkoon yhdistettyjä DNS-hakutyökaluja, jotka tarjoavat graafisen käyttöliittymän (GUI) DNS-kyselyjen tekemiseen. Hyvä esimerkki on maksuton suojattu IP-skannerimme, jonka avulla voitte suorittaa tavallisia DNS-hakuja, MX-hakuja, NS-hakuja, CNAME-hakuja ja TXT-hakuja.

Se voi myös suorittaa käänteisiä DNS-hakuja (IP-hakuja).

Loppuajatukset
Pohjimmiltaan DNS on vain monimutkainen, automatisoitu puhelinluettelo. Se tekee internetistä ihmisille käyttökelpoisen, mutta hallitukset voivat käyttää (ja käyttävätkin) sitä väärin vakoillakseen kansalaisiaan ja sensuroidakseen heidän näkemäänsä sisältöä. Paras tapa kiertää nämä DNS:n väärinkäytökset on käyttää VPN-palvelua, kuten Proton VPN -palvelua.
VPN-palvelu selvittää DNS-kyselynne turvallisesti internet-palveluntarjoajanne sijaan, ja useimmat hyvämaineiset VPN-palvelut pitävät yksityisyytenne suojaamista ensiarvoisen tärkeänä tehtävänään.
Tietenkin VPN tarjoaa myös monia muita etuja, kuten todellisen IP-osoitteenne piilottamisen vierailemiltanne verkkosivustoilta, parannetun suojan internet-palveluntarjoajien suorittamaa internet-toimintanne valvontaa tai sensurointia vastaan, mahdollisuuden suoratoistaa suosikkisisältöänne matkustaessanne ja paljon muuta.







