Wycieki DNS (przyczyny i poprawki)

Co to jest wyciek DNSPrzeglądarki używają systemu nazw domen (DNS) do wypełnienia luki między internetowymi adresami IP (liczbami) a nazwami domen internetowych (słów).


Po wprowadzeniu nazwy internetowej jest ona najpierw wysyłana na serwer DNS, na którym nazwa domeny jest dopasowywana do powiązanego adresu IP, aby żądanie mogło zostać przesłane na właściwy komputer.

To jest ogromny problem dla prywatności ponieważ cały standardowy ruch internetowy musi przechodzić przez serwer DNS, na którym rejestrowany jest zarówno nadawca, jak i odbiorca.

Ten serwer DNS zwykle należy do dostawcy usług internetowych użytkownika i podlega jurysdykcji prawa krajowego. Na przykład w Wielkiej Brytanii informacje przechowywane przez dostawców usług internetowych muszą być przekazywane organom ścigania na żądanie. Podobnie dzieje się w USA, ale z dodatkową opcją sprzedaży danych przez dostawców usług internetowych firmom marketingowym.

Chociaż treść komunikacji między komputerem lokalnym użytkownika a zdalną witryną można szyfrować za pomocą protokołu SSL / TLS (pojawia się jako „https” w adresie URL), adresy nadawcy i odbiorcy nie mogą być szyfrowane. W rezultacie każde odwiedzone miejsce docelowe będzie znane każdemu, kto ma legalny (lub kryminalny) dostęp do dzienników DNS - to znaczy, w normalnych okolicznościach użytkownik nie ma prywatności w miejscu, w którym korzysta z Internetu.

Sieci VPN zostały zaprojektowane w celu rozwiązania tego problemu poprzez utworzenie luki między komputerem użytkownika a docelową witryną. Ale nie zawsze działają idealnie. Szereg problemów oznacza, że ​​w niektórych okolicznościach dane DNS mogą wyciekać z powrotem do dostawcy usług internetowych, a tym samym do kompetencji rządowych i firm marketingowych.

Problemy są znane jako wycieki DNS. Do celów tej dyskusji na temat wycieków DNS w dużej mierze założymy, że twoja sieć VPN korzysta z najpopularniejszego protokołu VPN, OpenVPN.

Co to jest wyciek DNS?

VPN ustanawia szyfrowane połączenie (zwykle nazywane „tunelem”) między komputerem a serwerem VPN; a serwer VPN wysyła zapytanie do wymaganej witryny. Pod warunkiem, że VPN działa poprawnie, wszystko, co widzi twój dostawca usług internetowych, to połączenie się z VPN - nie może zobaczyć, gdzie VPN się łączy. Szpiedzy internetowi (rządowi lub przestępcy) nie widzą żadnych treści, ponieważ są one szyfrowane.

Wyciek DNS występuje, gdy dzieje się coś niezamierzonego, a serwer VPN jest omijany lub ignorowany. W takim przypadku operator serwera DNS (często twój dostawca usług internetowych) zobaczy, dokąd idziesz w Internecie, podczas gdy ty uważasz, że nie może.

To zła wiadomość, ponieważ podważa cel korzystania z VPN. Zawartość twojego ruchu internetowego jest nadal ukryta (przez szyfrowanie VPN), ale najważniejsze części anonimowości - twoja lokalizacja i dane przeglądania - pozostają niechronione i najprawdopodobniej zarejestrowane przez twojego dostawcę usług internetowych.

Jak sprawdzić, czy moja sieć VPN ma wyciek DNS?

Są dobre i złe wiadomości na temat wykrycia wycieku DNS. Dobrą wiadomością jest to, że sprawdzanie, czy Twoja sieć VPN wycieka z twoich żądań DNS, jest szybkie, łatwe i proste; zła wiadomość jest taka, że ​​bez sprawdzania, prawdopodobnie nie dowiesz się o wycieku, dopóki nie będzie za późno.

Istnieje wiele narzędzi przeglądarki do testowania, czy twoja sieć VPN ma DNS lub inną formę wycieku danych, w tym niektóre wykonane przez dostawców VPN, takich jak AirVPN (recenzja) lub VPN.ac. Jeśli nie masz pewności, co zrobić, możesz po prostu przejść do witryny ipleak.net, jeśli uważasz, że Twoja sieć VPN działa. Ta strona automatycznie sprawdzi, czy nie ma wycieków DNS (i, nawiasem mówiąc, zawiera również o wiele więcej informacji).

  1. Wchodzić ipleak.net w pasku adresu przeglądarki.
  2. Po załadowaniu strony test rozpoczyna się automatycznie i wyświetla się adres IP.
  3. Jeśli widzisz adres to adres IP i pokazuje swoją lokalizację, a korzystasz z VPN, oznacza to, że masz przeciek DNS. Jeśli wyświetlony jest adres IP Twojej sieci VPN, oznacza to, że działa normalnie.

Jeśli to możliwe, dobrym pomysłem jest przetestowanie wielu kontrolerów online.

Rysunek 1 pokazuje ipleak.net używany ze źle skonfigurowaną siecią VPN. Zwraca poprawny adres IP. To jest wyciek DNS.

Twój adres IP # 2

Rycina 1

Rysunek 2 pokazuje ipleak używany z ExpressVPN skonfigurowanym do korzystania z serwera belgijskiego (ExpressVPN pozwala wybierać z wielu różnych krajów). Nie ma widocznego wycieku DNS.

Twój adres IP

Rysunek 2

W przypadku większości użytkowników sprawdzenie to przed kontynuowaniem przeglądania innych witryn będzie wystarczające. Dla niektórych użytkowników nie będzie to idealne rozwiązanie, ponieważ wymaga połączenia z Internetem i wysyłania żądań DNS w celu uzyskania dostępu do narzędzi sprawdzania.

Możliwe jest testowanie DNS i innych przecieków bez korzystania z jednej z tych stron internetowych, chociaż wymaga to znajomości własnego adresu IP i sposobu korzystania z wiersza polecenia systemu Windows, wymaga również zaufanego serwera testowego, aby można było bezpośrednio „pingować” ; może to być prywatny serwer, który znasz i któremu ufasz, lub jeden z następujących publicznych serwerów testowych:

  • whoami.akamai.net
  • resolver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

Aby to zrobić, otwórz wiersz polecenia (przejdź do menu Start, wpisz „cmd” i naciśnij klawisz Enter), a następnie wprowadź następujący tekst:

  • ping [nazwa serwera] -n 1

Zamień [nazwa serwera] na adres wybranego serwera testowego (na przykład „ping whoami.akamai.net -n 1”) i naciśnij Enter. Jeśli którykolwiek z adresów IP znalezionych w wynikowym tekście pasuje do twojego osobistego lub lokalnego adresu IP, oznacza to, że występuje przeciek DNS; powinien być pokazywany tylko adres IP twojej sieci VPN.

Rysunek 3 pokazuje wynik działania ExpressVPN. Zauważ, że jedynym zwróconym adresem IP jest belgijski adres IP, jak pokazano na rysunku 2. Nie widać żadnego wycieku DNS.

WOLNY

Rycina 3

Jeśli okaże się, że Twoja sieć VPN ma wyciek DNS, czas przerwać przeglądanie, dopóki nie znajdziesz przyczyny i rozwiązania problemu. Niektóre z najbardziej prawdopodobnych przyczyn wycieku DNS i ich rozwiązania są wymienione poniżej.

DNS Wycieki Problemy i rozwiązania

Problem nr 1: Niepoprawnie skonfigurowana sieć

DNS Problemy z wyciekami i poprawki

Jest to jedna z najczęstszych przyczyn wycieków DNS dla użytkowników łączących się z Internetem za pośrednictwem różnych sieci; na przykład ktoś, kto często przełącza się między routerem domowym, WiFi w kawiarni i publicznymi hotspotami. Przed połączeniem z zaszyfrowanym tunelem VPN urządzenie musi najpierw połączyć się z siecią lokalną.

Bez odpowiednich ustawień możesz być narażony na wycieki danych. Podczas łączenia się z dowolną nową siecią ustawienia DHCP (protokół, który określa adres IP urządzenia w sieci) mogą automatycznie przypisywać serwer DNS do obsługi żądań wyszukiwania - taki, który może należeć do dostawcy usług internetowych lub taki, który może być nieprawidłowy zabezpieczone. Nawet jeśli połączysz się z VPN w tej sieci, twoje żądania DNS ominą zaszyfrowany tunel, powodując wyciek DNS.

Poprawka:

W większości przypadków skonfigurowanie sieci VPN na komputerze w celu korzystania z serwera DNS dostarczonego lub preferowanego przez sieć VPN zmusi żądania DNS do przejścia przez sieć VPN, a nie bezpośrednio z sieci lokalnej. Jednak nie wszyscy dostawcy VPN mają własne serwery DNS, w takim przypadku korzystanie z niezależnego serwera DNS, takiego jak OpenDNS lub Google Public DNS, powinno umożliwić przesyłanie żądań DNS przez VPN, a nie bezpośrednio z komputera klienta. Niestety zmiana konfiguracji w ten sposób zależy w dużym stopniu od konkretnego dostawcy VPN i używanego protokołu - możesz być w stanie ustawić go tak, aby automatycznie łączył się z właściwym serwerem DNS bez względu na to, z którą siecią lokalną się łączysz; lub konieczne może być ręczne połączenie z preferowanym serwerem za każdym razem. Aby uzyskać szczegółowe instrukcje, sprawdź obsługę klienta VPN.

Jeśli musisz ręcznie skonfigurować komputer do korzystania z wybranego niezależnego serwera DNS, instrukcje krok po kroku znajdziesz w sekcji „Zmień ustawienia na zaufany, niezależny serwer DNS” poniżej.

Problem nr 2: IPv6

Zwykle, gdy myślisz o adresie IP, masz na myśli 32-bitowy kod składający się z 4 zestawów po 3 cyfry, na przykład 123.123.123.123 (jak opisano powyżej). Jest to wersja IP 4 (IPv4), obecnie najpopularniejsza forma adresu IP. Jednak pula dostępnych nieużywanych adresów IPv4 staje się bardzo mała, a IPv4 jest zastępowany (bardzo powoli) przez IPv6.

Adresy IPv6 składają się z 8 zestawów 4 znaków, które mogą być literami lub cyframi, na przykład 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334.

Internet wciąż znajduje się w fazie przejściowej między IPv4 i IPv6. Powoduje to wiele problemów, szczególnie w przypadku sieci VPN. O ile sieć VPN nie obsługuje bezpośrednio protokołu IPv6, każde żądanie wysłane do lub z komputera wysłane przez IPv6 - lub wysłane za pomocą tunelu z dwoma stosami w celu konwersji IPv4 na IPv6 (patrz Teredo poniżej) - całkowicie obejdzie tunel VPN, pozostawiając twoje dane osobowe niezabezpieczone . Krótko mówiąc, IPv6 może zakłócać twoją sieć VPN bez twojej wiedzy.

Większość witryn ma zarówno adresy IPv6, jak i adresy IPv4, choć znaczna liczba nadal dotyczy tylko IPv4. Istnieje również kilka stron internetowych, które są tylko IPv6. To, czy twoje żądania DNS dotyczą adresów IPv4, czy IPv6, będzie zwykle zależeć od twojego dostawcy usług internetowych, twojego sprzętu sieciowego (takiego jak router bezprzewodowy) i konkretnej witryny, do której próbujesz uzyskać dostęp (przy implementacji IPv6 wciąż niekompletna, nie wszyscy użytkownicy będą mogli aby uzyskać dostęp do stron internetowych tylko IPv6). Większość wyszukiwań DNS nadal będzie dotyczyć IPv4, ale większość użytkowników nie będzie wiedziała, czy wysyłają żądania IPv4, czy IPv6, jeśli są w stanie wykonać obie te czynności.

Badanie przeprowadzone przez naukowców z Sapienza University of Rome i Queen Mary University of London w 2015 r. Zbadało 14 komercyjnych dostawców VPN i wykazało, że 10 z nich - niepokojąco wysoki odsetek - było narażonych na wycieki IPv6.

  • HideMyAss
  • IPVanish
  • Astrill
  • ExpressVPN
  • StrongVPN
  • PureVPN
  • AirVPN
  • Tunnelbear
  • ProXPN
  • Hotspot Shield Elite

Chociaż wyciek IPv6 nie jest dokładnie taki sam jak standardowy wyciek DNS, ma on taki sam wpływ na prywatność. Jest to problem, o którym powinien wiedzieć każdy użytkownik VPN.

Poprawka:

Jeśli Twój dostawca VPN ma już pełną obsługę ruchu IPv6, ten rodzaj wycieku nie powinien być dla Ciebie problemem. Niektóre sieci VPN bez obsługi IPv6 będą miały zamiast tego opcję blokowania ruchu IPv6. W każdym razie zaleca się korzystanie z sieci VPN z obsługą IPv6, ponieważ tunele z dwoma stosami mogłyby nadal ominąć blok IPv6. (Zobacz Teredo poniżej.) Większość sieci VPN niestety nie będzie miała żadnych przepisów dotyczących IPv6, a zatem zawsze będzie przeciekać ruch IPv6. Przed użyciem komercyjnej sieci VPN upewnij się, że wiesz, czy wprowadzili postanowienia dotyczące IPv6, i wybierz tylko taką, która ma pełne wsparcie dla protokołu.

Problem nr 3: Przejrzyste proxy DNS

Niektórzy dostawcy usług internetowych przyjęli zasadę wymuszania na serwerze własnego serwera DNS, jeśli użytkownik zmieni ustawienia, aby używać serwera innej firmy. Jeśli zostaną wykryte zmiany w ustawieniach DNS, dostawca usług internetowych użyje przezroczystego serwera proxy - oddzielnego serwera, który przechwytuje i przekierowuje ruch internetowy - aby upewnić się, że żądanie DNS zostanie wysłane do ich własnego serwera DNS. Jest to skutecznie „zmuszanie” ISP do wycieku DNS i próba ukrycia go przed użytkownikiem. Większość narzędzi do wykrywania wycieków DNS będzie w stanie wykryć przezroczysty serwer proxy DNS w taki sam sposób, jak standardowy wyciek.

Poprawka:

Na szczęście najnowsze wersje protokołu OpenVPN mają łatwą metodę zwalczania przezroczystych serwerów proxy DNS. Najpierw zlokalizuj plik .conf lub .ovpn dla serwera, z którym chcesz się połączyć (są one przechowywane lokalnie i zwykle znajdują się w C: \ Program Files \ OpenVPN \ config; więcej szczegółów znajdziesz w instrukcji OpenVPN), otwórz w edytor tekstu jak notatnik i dodaj wiersz:

  • block-outside-dns

Użytkownicy starszych wersji OpenVPN powinni zaktualizować do najnowszej wersji OpenVPN. Jeśli Twój dostawca VPN nie obsługuje tego, być może czas poszukać nowszej VPN. Oprócz poprawki OpenVPN, wiele lepszych klientów VPN będzie miało własne wbudowane zabezpieczenia do zwalczania przezroczystych serwerów proxy DNS. Aby uzyskać więcej informacji, zapoznaj się z obsługą konkretnego VPN.

Problem nr 4: Niebezpieczne „funkcje” systemu Windows 8, 8.1 lub 10

Systemy operacyjne Windows od 8 roku wprowadziły funkcję „Smart Multi-Homed Name Resolution”, mającą na celu poprawę szybkości przeglądania stron internetowych. To wysyła wszystkie żądania DNS do wszystkich dostępnych serwerów DNS. Pierwotnie akceptowałoby to odpowiedzi z niestandardowych serwerów DNS tylko wtedy, gdy ulubione (zwykle własne serwery ISP lub te ustawione przez użytkownika) nie odpowiedziały. Jest to wystarczająco złe dla użytkowników VPN, ponieważ znacznie zwiększa częstość wycieków DNS, ale od Windows 10 ta funkcja domyślnie przyjmuje odpowiedź od dowolnego serwera DNS, który zareaguje najszybciej. Ma to nie tylko ten sam problem wycieku DNS, ale także naraża użytkowników na ataki fałszowania DNS.

Poprawka:

Jest to prawdopodobnie najtrudniejszy rodzaj wycieku DNS, szczególnie w systemie Windows 10, ponieważ jest to wbudowana część systemu Windows i jego zmiana może być prawie niemożliwa. Dla użytkowników VPN korzystających z protokołu OpenVPN bezpłatna wtyczka typu open source (dostępna tutaj) jest prawdopodobnie najlepszym i najbardziej niezawodnym rozwiązaniem.

Inteligentne rozpoznawanie nazw w wielu domach można wyłączyć ręcznie w lokalnym edytorze zasad grupy systemu Windows, chyba że używasz wersji domowej systemu Windows. W takim przypadku Microsoft po prostu nie zezwala na wyłączenie tej funkcji. Nawet jeśli możesz to wyłączyć w ten sposób, system Windows nadal wyśle ​​żądanie do wszystkich dostępnych serwerów w przypadku, gdy pierwszy serwer nie zareaguje. Zaleca się użycie wtyczki OpenVPN, aby w pełni rozwiązać ten problem.

Pomocne może być również sprawdzenie tutaj wytycznych US-CERT. Inteligentne rozpoznawanie nazw wielu domów wiąże się z tak istotnymi problemami bezpieczeństwa, że ​​agencja rządowa wydała własny alert na ten temat.

Problem nr 5: Teredo

Teredo to technologia firmy Microsoft, która poprawia kompatybilność między IPv4 i IPv6, i jest wbudowaną funkcją systemów operacyjnych Windows. Dla niektórych jest to niezbędna technologia przejściowa, która pozwala IPv4 i IPv6 na współistnienie bez problemów, umożliwiając wysyłanie, odbieranie i zrozumienie adresów v6 na połączeniach v4. Dla użytkowników VPN, co ważniejsze, jest rażącą luką bezpieczeństwa. Ponieważ Teredo jest protokołem tunelowania, często może mieć pierwszeństwo przed własnym szyfrowanym tunelem VPN, omijając go i powodując wycieki DNS.

Poprawka:

Na szczęście Teredo to funkcja, którą można łatwo wyłączyć w systemie Windows. Otwórz wiersz polecenia i wpisz:

netsh interface teredo ustawiono stan wyłączony

Chociaż mogą wystąpić pewne problemy podczas łączenia się z określonymi stronami internetowymi lub serwerami lub korzystania z aplikacji torrentowych, wyłączenie Teredo jest znacznie bezpieczniejszym wyborem dla użytkowników VPN. Zaleca się również wyłączenie Teredo i innych opcji IPv6 w ustawieniach routera lub karty sieciowej, aby zapewnić, że żaden ruch nie może ominąć tunelu VPN.

Zapobieganie przyszłym wyciekom

zapobieganie wyciekom dns VPNTeraz, gdy przetestowałeś wyciek DNS i albo wyszedłeś na czysto, albo odkryłeś i usunąłeś wyciek, nadszedł czas, aby zminimalizować szanse, że twoja VPN wycieknie w przyszłości.

Przede wszystkim upewnij się, że wszystkie powyższe poprawki zostały wykonane wcześniej; wyłącz rozpoznawanie nazw Teredo i Smart Multi-Homed, upewnij się, że sieć VPN obsługuje lub blokuje ruch IPv6 itp.

1. Zmień ustawienia na zaufany, niezależny serwer DNS

Router lub karta sieciowa powinny mieć możliwość zmiany ustawień TCP / IP, w których można określić określone zaufane serwery DNS według ich adresów IP. Wielu dostawców VPN będzie miało własne serwery DNS, a korzystanie z VPN często automatycznie łączy się z nimi; sprawdź wsparcie swojej sieci VPN, aby uzyskać więcej informacji.

Jeśli Twoja sieć VPN nie ma zastrzeżonych serwerów, popularną alternatywą jest użycie otwartego serwera DNS innej firmy, takiego jak Google Open DNS. Aby zmienić ustawienia DNS w systemie Windows 10:

  1. Przejdź do panelu sterowania
  2. Kliknij „Sieć i Internet”
  3. Kliknij „Centrum sieci i udostępniania”
  4. Kliknij „Zmień ustawienia adaptera” na lewym panelu.
  5. Kliknij prawym przyciskiem myszy ikonę swojej sieci i wybierz „Właściwości”
  6. Znajdź „Internet Protocol Version 4” w oknie, które zostanie otwarte; kliknij go, a następnie kliknij „Właściwości”
  7. Kliknij „Użyj następujących adresów serwerów DNS”

Możesz teraz wprowadzić preferowany i alternatywny adres dla serwerów DNS. Może to być dowolny serwer, ale dla Google Open DNS preferowanym serwerem DNS powinna być wersja 8.8.8.8, podczas gdy alternatywnym serwerem DNS powinna być wersja 8.8.4.4. Zobacz rysunek 4.

IPV 4

Rycina 4

Możesz także zmienić ustawienia DNS routera - więcej informacji znajdziesz w instrukcji obsługi lub pomocy technicznej dla konkretnego urządzenia.

2. Użyj zapory ogniowej lub sieci VPN, aby zablokować ruch inny niż VPN

Niektórzy klienci VPN będą mieli funkcję automatycznego blokowania wszelkiego ruchu, który nie przechodzi przez VPN - poszukaj opcji „Wiązanie IP”. Jeśli nie masz jeszcze VPN, rozważ zakup go tutaj.

Alternatywnie możesz skonfigurować zaporę ogniową tak, aby zezwalała na ruch przychodzący i wychodzący tylko przez VPN. Możesz także zmienić ustawienia Zapory systemu Windows:

  1. Upewnij się, że masz już połączenie z VPN.
  2. Otwórz Centrum sieci i udostępniania i upewnij się, że widzisz zarówno połączenie z usługodawcą internetowym (które powinno pojawić się jako „Sieć”), jak i sieć VPN (która powinna pojawić się jako nazwa sieci VPN). „Sieć” powinna być siecią domową, a sieć VPN powinna być siecią publiczną. Jeśli któreś z nich jest ustawione na coś innego, musisz je kliknąć i ustawić odpowiedni typ sieci w oknie, które zostanie otwarte.
  3. Upewnij się, że jesteś zalogowany jako Administrator na swoim komputerze i otwórz ustawienia Zapory systemu Windows (dokładne kroki dla tego różnią się w zależności od wersji systemu Windows, z której korzystasz).
  4. Kliknij „Ustawienia zaawansowane” (patrz rysunek 5).
  5. Znajdź „Reguły ruchu przychodzącego” na lewym panelu i kliknij je.
  6. W prawym panelu, w części Działania, powinna być widoczna opcja „Nowa reguła…”. Kliknij to.
  7. W nowym oknie wybierz „Program” i kliknij Dalej.
  8. Wybierz „Wszystkie programy” (lub wybierz pojedynczy program, dla którego chcesz zablokować ruch inny niż VPN) i kliknij Dalej.
  9. Wybierz „Zablokuj połączenie” i kliknij Dalej.
  10. Zaznacz „Domena” i „Prywatny”, ale upewnij się, że „Publiczny” nie jest zaznaczony. Kliknij Następny.
  11. Powinieneś wrócić do menu Ustawienia zaawansowane dla Zapory systemu Windows; zlokalizuj „Reguły wychodzące” i powtórz kroki od 6 do 10.

Windows

Rycina 5

3. Regularnie wykonuj test szczelności DNS

Instrukcje znajdują się w sekcji „Jak sprawdzić, czy moja sieć VPN ma wyciek DNS?” Powyżej. Zapobieganie nie jest żelazną sprawą i ważne jest, aby często sprawdzać, czy wszystkie środki ostrożności nadal obowiązują.

4. Rozważ oprogramowanie monitorujące VPN

Może to stanowić dodatkowy koszt w stosunku do istniejącej subskrypcji VPN, ale możliwość monitorowania ruchu VPN w czasie rzeczywistym pozwoli Ci zobaczyć na pierwszy rzut oka, czy kontrola DNS trafi na zły serwer. Niektóre produkty do monitorowania VPN oferują również dodatkowe, automatyczne narzędzia do usuwania wycieków DNS.

5. W razie potrzeby zmień VPN

Potrzebujesz maksymalnej możliwej prywatności. Idealna sieć VPN będzie mieć wbudowaną ochronę przed wyciekiem DNS, pełną zgodność z IPv6, obsługę najnowszych wersji OpenVPN lub wybranego protokołu oraz funkcjonalność umożliwiającą przeciwdziałanie przezroczystym serwerom proxy DNS. Wypróbuj szczegółowe porównania i recenzje thebestvpn.com, aby znaleźć sieć VPN, która oferuje wszystko, czego potrzebujesz, aby zachować prywatność danych przeglądania.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me