DNS течове (причини и поправки)

Какво е теч на DNSБраузърите използват системата за имена на домейни (DNS), за да преодолеят разликата между интернет IP адреси (номера) и имена на домейни на уебсайтове (думи).

Когато въведете име на уеб, то се изпраща първо на DNS сървър, където името на домейна е съпоставено със свързания IP адрес, така че заявката да може да бъде препратена към правилния компютър.

Това е огромен проблем за поверителността тъй като целият стандартен интернет трафик трябва да преминава през DNS сървър, където и подателят, и дестинацията са регистрирани.

Този DNS сървър обикновено принадлежи на ISP на потребителя и е под юрисдикцията на националното законодателство. Например във Великобритания информацията, която се съхранява от доставчиците на интернет услуги, трябва да бъде предадена на органите на реда при поискване. Подобно се случва и в САЩ, но с добавената опция за ISP да продава данните на маркетинговите компании.

Въпреки че съдържанието на комуникациите между локалния компютър на потребителя и отдалечения уебсайт може да бъде криптирано с SSL / TLS (показва се като „https“ в URL адреса), адресите на подателя и получателя не могат да бъдат кодирани. В резултат на това всяка посетена дестинация ще бъде известна на всеки, който има легален (или наказателен) достъп до DNS регистрационните файлове - тоест при нормални обстоятелства потребителят няма поверителност къде отиде в интернет.


VPN мрежите са проектирани да разрешат този проблем чрез създаване на празнина между компютъра на потребителя и уебсайта на местоназначението. Но те не винаги работят перфектно. Поредица от проблеми означават, че при определени обстоятелства данните от DNS могат да се изтеглят обратно към интернет доставчика и следователно в полето на държавните и маркетинговите компании.

Проблемите са известни като течове на DNS. За целите на тази дискусия относно течовете на DNS, до голяма степен ще приемем, че вашият VPN използва най-често срещания VPN протокол, OpenVPN.

Какво е теч на DNS?

VPN установява криптирана връзка (обикновено наричана „тунел“) между вашия компютър и VPN сървъра; и VPN сървърът изпраща вашата заявка до необходимия уебсайт. При условие че VPN работи правилно, всичко, което ви предлага интернет доставчикът, е, че се свързвате с VPN - не може да види къде VPN ви свързва. Интернет снуперите (правителствени или престъпни) не могат да виждат съдържание, защото е криптирано.

Изтичане на DNS възниква, когато се случи нещо неволно и VPN сървърът се заобиколи или игнорира. В този случай операторът на DNS сървър (често вашият интернет доставчик) ще види къде отиваш в интернет, докато смяташ, че той не може.

Това е лоша новина, тъй като побеждава целта на използването на VPN. Съдържанието на вашия уеб трафик все още е скрито (от криптирането на VPN), но най-важните части за анонимността - вашето местоположение и данни за сърфиране - се оставят незащитени и най-вероятно се регистрират от вашия интернет доставчик.

Как да разбера дали в моя VPN има изтичане на DNS?

Има добри и лоши новини за откриване на теч в DNS. Добрата новина е, че проверката дали вашият VPN изтича вашите DNS заявки е бърза, лесна и проста; лошата новина е, че без проверка е малко вероятно някога да разберете за теча, докато не стане твърде късно.

Има много инструменти в браузъра за тестване дали вашият VPN има DNS или друга форма на изтичане на данни, включително някои, направени от доставчици на VPN като AirVPN (преглед) или VPN.ac. Ако не сте сигурни какво да правите, можете просто да отидете на ipleak.net, докато смятате, че вашата VPN работи. Този сайт автоматично ще провери за изтичане на DNS (и между другото, предоставя и много повече информация).

  1. Въведете ipleak.net в адресната лента на вашия браузър.
  2. След като уеб страницата се зареди, тестът започва автоматично и ще ви се покаже IP адрес.
  3. Ако адресът, който виждате, е вашият IP адрес и показва вашето местоположение и използвате VPN, това означава, че имате изтичане на DNS. Ако е показан IP адресът на вашия VPN, той работи нормално.

Ако е възможно, добре е да тествате с множество онлайн пулове.

Фигура 1 показва ipleak.net, използван с неправилно конфигуриран VPN. Той връща правилния IP адрес. Това е изтичане на DNS.

Вашият IP адрес №2

Фигура 1

Фигура 2 показва ipleak, използван с ExpressVPN, конфигуриран да използва белгийски сървър (ExpressVPN ви позволява да избирате от редица различни страни). Няма видим изтичане на DNS.

Вашият IP адрес

Фигура 2

За повечето потребители извършването на тази проверка преди да продължите да разглеждате други сайтове ще бъде достатъчно. За някои потребители това няма да бъде идеално решение, тъй като изисква да се свържете с интернет и да изпратите DNS заявки за достъп до инструментите за проверка.

Възможно е да тествате за DNS и други течове, без да използвате някой от тези уебсайтове, въпреки че това изисква да знаете собствения си IP адрес и как да използвате командния ред на Windows. Освен това изисква надежден тестов сървър, за да можете да „ping“ директно ; това може да е частен сървър, който познавате и на когото имате доверие, или един от следните публични тестови сървъри:

  • whoami.akamai.net
  • resolver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

За да направите това, отворете командния ред (отидете в менюто "Старт", въведете "cmd" и натиснете Enter) и след това въведете следния текст:

  • ping [име на сървър] -n 1

Заменете [име на сървъра] с адреса на избрания от вас тестов сървър (например „ping whoami.akamai.net -n 1“) и натиснете Enter. Ако някой от IP адресите, намерени в получения текст, съвпада с вашия личен или местен IP, това е индикатор за наличие на изтичане на DNS; трябва да се показва само IP адресът на вашата VPN.

Фигура 3 показва резултата при изпълнение на ExpressVPN. Забележете, че единственият върнат IP адрес е белгийският IP, както е показано на фигура 2. Няма видим теч на DNS.

FREEDOME

Фигура 3

Ако установите, че вашият VPN има изтичане на DNS, време е да спрете да сърфирате, докато не намерите причината и да отстраните проблема. Някои от най-вероятните причини за изтичане на DNS и техните решения са изброени по-долу.

DNS течове Проблеми и решения

Проблем №1: Неправилно конфигурирана мрежа

Проблеми и корекции на течовете в DNS

Това е една от най-честите причини за изтичане на DNS за потребители, които се свързват към интернет чрез различни мрежи; например някой, който често превключва между домашния си рутер, WiFi на кафенето и обществените горещи точки. Преди да се свържете с криптирания тунел на VPN, устройството ви първо трябва да се свърже с локалната мрежа.

Без подходящите настройки на място, можете да оставите отворени за течове на данни. Когато се свързвате с която и да е нова мрежа, настройките на DHCP (протоколът, който определя IP адреса на вашето устройство в рамките на мрежата) може автоматично да назначи DNS сървър, който да обработва вашите заявки за търсене - такъв, който може да принадлежи на доставчика на интернет услуги или такъв, който може да не е правилно обезопасени. Дори ако се свържете с вашия VPN в тази мрежа, вашите DNS заявки ще заобиколят шифрования тунел, причинявайки изтичане на DNS.

Поправката:

В повечето случаи конфигурирането на вашата VPN на вашия компютър да използва DNS сървъра, предоставен или предпочитан от вашата VPN, ще принуди DNS заявки да преминат през VPN, а не директно от локалната мрежа. Не всички доставчици на VPN имат свои собствени DNS сървъри, но в този случай използването на независим DNS сървър като OpenDNS или Google Public DNS трябва да позволява на DNS заявките да преминават през VPN, а не директно от вашата клиентска машина. За съжаление, промяната на конфигурацията по този начин зависи много от вашия конкретен доставчик на VPN и кой протокол използвате - може да можете да ги настроите да се свързват автоматично с правилния DNS сървър, без значение към коя локална мрежа се свързвате; или може да се наложи да се свържете ръчно с предпочитания сървър всеки път. Проверете поддръжката за вашия VPN клиент за конкретни инструкции.

Ако трябва ръчно да конфигурирате компютъра си, за да използва избран независим DNS сървър, можете да намерите стъпка по стъпка инструкции в раздела „Промяна на настройките на доверен, независим DNS сървър“ по-долу.

Проблем №2: IPv6

Обикновено, когато мислите за IP адрес, се сещате за 32-битов код, състоящ се от 4 набора с до 3 цифри, като например 123.123.123.123 (както е описано по-горе). Това е IP версия 4 (IPv4), понастоящем най-често срещаната форма на IP адрес. Обаче пулът от налични неизползвани IPv4 адреси става много малък и IPv4 се заменя (много бавно) от IPv6.

IPv6 адресите се състоят от 8 набора от 4 знака, които могат да бъдат букви или цифри, като 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334.

Интернет все още е в преходна фаза между IPv4 и IPv6. Това създава много проблеми, особено за VPN. Освен ако VPN изрично има поддръжка на IPv6, всяка заявка до или от вашата машина, изпратена през IPv6 - или изпратена с тунел с двоен стек за преобразуване на IPv4 в IPv6 (вижте Teredo по-долу) - напълно ще заобиколи VPN тунела, оставяйки личните ви данни незащитени , Накратко, IPv6 може да наруши вашата VPN, без да сте наясно с това.

Повечето уебсайтове имат както IPv6, така и IPv4 адреси, въпреки че значителен брой все още е само IPv4. Има и няколко уебсайта, които са само IPv6. Дали вашите заявки за DNS са за IPv4 или IPv6 адреси обикновено ще зависят от вашия интернет доставчик, мрежовото ви оборудване (като безжичен рутер) и конкретния уебсайт, до който се опитвате да получите достъп (с внедряването на IPv6 все още не е пълно, не всички потребители ще могат за достъп до уебсайтове само за IPv6). По-голямата част от търсенията в DNS ще продължат да бъдат IPv4, но повечето потребители не знаят дали правят заявки за IPv4 или IPv6, ако са в състояние да направят и двете.

Проучване на изследователи от Римския университет Sapienza и Лондонския университет Queen Mary през 2015 г. изследва 14 търговски VPN доставчици и установява, че 10 от тях - смущаващо висок дял - са подложени на течове на IPv6.

  • HideMyAss
  • IPVanish
  • Astrill
  • ExpressVPN
  • StrongVPN
  • PureVPN
  • AirVPN
  • Tunnelbear
  • ProXPN
  • Hotspot Shield Elite

Въпреки че изтичането на IPv6 не е абсолютно същото като стандартното изтичане на DNS, това има много същия ефект върху поверителността. Това е проблем, с който всеки потребител на VPN трябва да е наясно.

Поправката:

Ако вашият доставчик на VPN вече има пълна поддръжка за IPv6 трафик, този вид теч не би трябвало да е проблем за вас. Някои VPN без поддръжка на IPv6 вместо това ще имат възможност да блокират IPv6 трафик. Във всеки случай се препоръчва да се използва VPN-съвместима VPN, тъй като тунелите с два стека могат все още да заобиколят IPv6 блок. (Вижте Teredo по-долу.) За съжаление по-голямата част от VPN мрежите няма да бъдат предвидени за IPv6 и следователно винаги ще пропускат IPv6 трафик. Уверете се, че знаете преди да използвате търговски VPN дали са предвидили IPv6 и изберете само тази, която има пълна поддръжка на протокола.

Проблем №3: Прозрачни DNS прокси

Някои доставчици на интернет услуги са приели политика за принуждаване на собствен DNS сървър в картината, ако потребителят промени настройките си, за да използва трети сървър. Ако бъдат открити промени в настройките на DNS, ISP ще използва прозрачен прокси - отделен сървър, който прихваща и пренасочва уеб трафик - за да се увери, че вашата DNS заявка е изпратена до техния собствен DNS сървър. Това на практика интернет доставчикът „принуждава“ изтичане на DNS и се опитва да го прикрие от потребителя. Повечето инструменти за откриване на течове от DNS ще могат да открият прозрачен DNS прокси по същия начин като стандартния теч.

Поправката:

За щастие, последните версии на OpenVPN протокола имат лесен метод за борба с прозрачни DNS прокси. Първо, намерете .conf или .ovpn файла за сървъра, към който искате да се свържете (те се съхраняват локално и обикновено са в C: \ Program Files \ OpenVPN \ config; вижте ръководството за OpenVPN за повече подробности), отворете в текстов редактор като бележник и добавете реда:

  • блок-извън-DNS

Потребителите на по-стари версии на OpenVPN трябва да актуализират до най-новата версия на OpenVPN. Ако вашият доставчик на VPN не поддържа това, може да е време да потърсите по-нов VPN. Освен поправката на OpenVPN, много от по-добре направените VPN клиенти ще имат вградени собствени разпоредби за борба с прозрачните DNS прокси сървъри. За повече подробности се обърнете към поддръжката на вашата конкретна VPN.

Проблем № 4: несигурни „функции“ на Windows 8, 8.1 или 10

Операционните системи на Windows от 8 нататък са въвели функцията „Smart Multi-Homed Name Resolution“, предназначена да подобри скоростта на сърфиране в мрежата. Това изпраща всички DNS заявки до всички налични DNS сървъри. Първоначално това би приемало отговори само от нестандартни DNS сървъри, ако любимите (обикновено собствените сървъри на интернет доставчика или тези, зададени от потребителя) не успеят да отговорят. Това е достатъчно лошо за VPN потребителите, тъй като значително увеличава честотата на изтичане на DNS, но както при Windows 10 тази функция по подразбиране ще приеме отговора от който и да е DNS сървърът най-бързо реагира. Това не само има един и същ проблем с изтичането на DNS, но също така оставя потребителите уязвими към DNS атаките за подправяне.

Поправката:

Това е може би най-трудният вид изтичане на DNS, особено в Windows 10, защото това е вградена част от Windows и може да бъде почти невъзможно да се промени. За VPN потребители, използващи OpenVPN протокола, свободно достъпен плъгин с отворен код (достъпен тук) е възможно най-доброто и надеждно решение.

Smart Multi-Homed Name Resolution може да се изключи ръчно в редактора на локални групови правила на Windows, освен ако не използвате домашно издание на Windows. В този случай Microsoft просто не ви позволява да изключите тази функция. Дори ако сте в състояние да го изключите по този начин, Windows ще продължи да изпраща заявката до всички налични сървъри в случай, че първият сървър не успее да отговори. Силно препоръчително е да използвате приставката OpenVPN, за да разрешите изцяло този проблем.

Може да бъде полезно да проверите и указанията на US-CERT тук. Smart Multi-Homed Name Resolution има толкова важни проблеми със сигурността, свързани с него, че правителствената агенция издаде собствен сигнал по темата.

Проблем №5: Тередо

Teredo е технологията на Microsoft за подобряване на съвместимостта между IPv4 и IPv6 и е вградена функция на операционните системи Windows. За някои това е съществена преходна технология, която позволява на IPv4 и IPv6 да съществуват съвместно без проблеми, позволявайки да се изпращат, получават и разбират v6 адреси на v4 връзки. За VPN потребителите е по-важно страхотна дупка за сигурност. Тъй като Teredo е протокол за тунелиране, той често може да има предимство пред криптирания тунел на вашия VPN, заобикаляйки го и по този начин причинявайки течове на DNS.

Поправката:

За щастие, Teredo е функция, която лесно се деактивира от Windows. Отворете командния ред и напишете:

netsh интерфейс teredo набор състояние деактивиран

Въпреки че може да срещнете някои проблеми, когато се свързвате с определени уебсайтове или сървъри или използвате торент приложения, деактивирането на Teredo е много по-сигурен избор за VPN потребителите. Също така се препоръчва да изключите Teredo и други опции за IPv6 в настройките на вашия рутер или мрежов адаптер, за да се гарантира, че никакъв трафик не може да заобиколи тунела на вашата VPN.

Предотвратяване на бъдещи течове

предотвратяване на dns vpn течовеСега, когато сте тествали за изтичане на DNS и или излизате чисти, или откривате и отстранявате теч, е време да разгледате минимизирането на шансовете вашият VPN да изведе теч в бъдеще.

На първо място, уверете се, че всички по-горе корекции са извършени предварително; деактивирайте Teredo и Smart Multi-Homed Resolution Name, уверете се, че вашата VPN поддържа или блокира IPv6 трафик и т.н..

1. Променете настройките на доверен и независим DNS сървър

Вашият маршрутизатор или мрежов адаптер трябва да има начин да промени настройките на TCP / IP, където можете да посочите конкретни доверени DNS сървъри по техните IP адреси. Много VPN доставчици ще имат свои собствени DNS сървъри и използването на VPN често автоматично ще ви свърже с тях; проверете поддръжката на VPN за повече информация.

Ако вашата VPN няма собствени сървъри, популярна алтернатива е да използвате отворен, трети страни DNS сървър, като Google Open DNS. За да промените настройките на DNS в Windows 10:

  1. Отидете на вашия контролен панел
  2. Кликнете върху „Мрежа и интернет“
  3. Кликнете върху „Център за мрежа и споделяне“
  4. Кликнете върху „Промяна на настройките на адаптера“ в панела отляво.
  5. Щракнете с десния бутон върху иконата на вашата мрежа и изберете „Properties“
  6. Намерете „Internet Protocol Version 4“ в прозореца, който се отваря; щракнете върху него и след това кликнете върху „Свойства“
  7. Кликнете върху „Използване на следните адреси на DNS сървъра“

Вече можете да въведете предпочитан и алтернативен адрес за DNS сървъри. Това може да бъде всеки сървър, който желаете, но за Google Open DNS предпочитаният DNS сървър трябва да бъде 8.8.8.8, докато алтернативният DNS сървър трябва да бъде 8.8.4.4. Вижте фигура 4.

IPV 4

Фигура 4

Можете също така да искате да промените настройките на DNS на вашия рутер - вижте ръководството или поддръжката за вашето конкретно устройство за допълнителна информация.

2. Използвайте защитна стена или вашата VPN, за да блокирате трафик, който не е VPN

Някои VPN клиенти ще включват функция за автоматично блокиране на всеки трафик, който не преминава през VPN - потърсете опция „IP Обвързване“. Ако все още нямате VPN, помислете за получаване на такъв от тук.

Освен това можете да конфигурирате защитната си стена така, че да позволява трафик във и извън само чрез вашата VPN. Можете също да промените настройките на защитната стена на Windows:

  1. Уверете се, че вече сте свързани с вашата VPN.
  2. Отворете Центъра за мрежи и споделяне и се уверете, че можете да видите както вашата ISP връзка (която трябва да се показва като „Мрежа“), така и вашата VPN (която трябва да се показва като име на VPN). „Мрежа“ трябва да бъде домашна мрежа, докато вашият VPN трябва да бъде обществена мрежа. Ако някой от тях е настроен на нещо различно, ще трябва да кликнете върху тях и да ги зададете на подходящия тип мрежа в прозореца, който се отваря.
  3. Уверете се, че сте влезли като администратор на вашето устройство и отворете настройките на защитната стена на Windows (точните стъпки за това варират в зависимост от това коя версия на Windows използвате).
  4. Кликнете върху „Разширени настройки“ (вижте Фигура 5).
  5. Намерете „Входящи правила“ в левия панел и щракнете върху него.
  6. В панела отдясно, под „Действия“, трябва да видите опция за „Ново правило…“. Щракнете върху това.
  7. В новия прозорец изберете „Програма“ и щракнете върху Напред.
  8. Изберете „Всички програми“ (или изберете индивидуална програма, за която искате да блокирате не-VPN трафик) и щракнете върху Напред.
  9. Изберете „Блокиране на връзката“ и щракнете върху Напред.
  10. Отметнете „Domain“ и „Private“, но се уверете, че „Public“ не е маркиран. Щракнете върху Напред.
  11. Трябва да се върнете в менюто за допълнителни настройки за защитна стена на Windows; намерете „Изходящи правила“ и повторете стъпки 6 до 10.

Windows

Фигура 5

3. Редовно провеждайте тест за изтичане на DNS

Вижте раздела „Как да разбера дали моята VPN има изтичане на DNS?“ По-горе за инструкции. Профилактиката не е желязо и е важно да проверявате често дали всичките ви предпазни мерки все още се държат бързо.

4. Помислете за наблюдение на VPN софтуера

Това може да добави допълнителен разход над съществуващия ви абонамент за VPN, но възможността да наблюдавате трафика на VPN в реално време ще ви позволи да видите с един поглед дали DNS проверка отива на грешен сървър. Някои продукти за наблюдение на VPN предлагат и допълнителни, автоматизирани инструменти за коригиране на течове в DNS.

5. Променете вашата VPN, ако е необходимо

Имате нужда от максимално възможна поверителност. Идеалният VPN ще има вградена защита от течове на DNS, пълна съвместимост с IPv6, поддръжка за най-новите версии на OpenVPN или протокол по ваш избор и ще разполага с функционалност за противодействие на прозрачните DNS прокси сървъри. Опитайте задълбочените сравнения и отзиви на thebestvpn.com, за да намерите VPN, който предлага всичко необходимо, за да запазите личните си данни за сърфиране.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me