Утечки DNS (причины и исправления)

Что такое утечка DNSБраузеры используют систему доменных имен (DNS) для преодоления разрыва между IP-адресами (числами) в Интернете и доменными именами (словами)..


Когда веб-имя вводится, оно сначала отправляется на DNS-сервер, где имя домена сопоставляется с соответствующим IP-адресом, чтобы запрос мог быть перенаправлен на правильный компьютер..

Это огромная проблема для конфиденциальности поскольку весь стандартный интернет-трафик должен проходить через DNS-сервер, на котором регистрируются и отправитель, и адресат.

Этот DNS-сервер обычно принадлежит интернет-провайдеру пользователя и находится под юрисдикцией национального законодательства. Например, в Великобритании информация, хранящаяся у интернет-провайдеров, должна передаваться правоохранительным органам по требованию. Подобное происходит в США, но с добавленной возможностью для интернет-провайдера продавать данные маркетинговым компаниям.

Хотя содержимое сообщений между локальным компьютером пользователя и удаленным веб-сайтом может быть зашифровано с помощью SSL / TLS (оно отображается как «https» в URL), адреса отправителя и получателя не могут быть зашифрованы. В результате каждый посещенный пункт назначения будет известен тому, кто имеет законный (или криминальный) доступ к журналам DNS, то есть при нормальных обстоятельствах пользователь не имеет конфиденциальности в отношении того, куда он выходит в Интернет.

VPN предназначены для решения этой проблемы путем создания разрыва между компьютером пользователя и целевым веб-сайтом. Но они не всегда работают идеально. Ряд проблем означает, что в определенных обстоятельствах данные DNS могут просочиться обратно в интернет-провайдера и, следовательно, в компетенцию государственных и маркетинговых компаний..

Проблемы известны как утечки DNS. Для целей этого обсуждения утечек DNS мы будем в основном предполагать, что ваша VPN использует наиболее распространенный протокол VPN, OpenVPN..

Что такое утечка DNS?

VPN устанавливает зашифрованное соединение (обычно называемое «туннелем») между вашим компьютером и сервером VPN; и VPN-сервер отправляет ваш запрос на нужный веб-сайт. При условии, что VPN работает правильно, все, что увидит ваш интернет-провайдер, это то, что вы подключаетесь к VPN - он не может видеть, где VPN соединяет вас. Интернет-шпионы (правительственные или криминальные) не могут видеть контент, потому что он зашифрован.

Утечка DNS происходит, когда происходит что-то непреднамеренное, а VPN-сервер игнорируется или игнорируется. В этом случае оператор DNS-сервера (часто ваш интернет-провайдер) увидит, куда вы идете в Интернете, хотя вы считаете, что он не может.

Это плохая новость, так как она побеждает цель использования VPN. Содержание вашего веб-трафика по-прежнему скрыто (с помощью шифрования VPN), но наиболее важные части для анонимности - ваше местоположение и данные просмотра - остаются незащищенными и, скорее всего, регистрируются вашим провайдером.

Как определить, есть ли утечка DNS в моем VPN??

Есть хорошие и плохие новости для обнаружения утечки DNS. Хорошей новостью является то, что проверка того, пропускает ли ваша VPN ваши DNS-запросы, быстрая, простая и простая; плохая новость заключается в том, что без проверки вы вряд ли когда-либо узнаете об утечке, пока не станет слишком поздно.

Есть много инструментов в браузере, чтобы проверить, есть ли у вашей VPN DNS или другая форма утечки данных, включая некоторые, сделанные провайдерами VPN, такими как AirVPN (обзор) или VPN.ac. Если вы не уверены, что делать, вы можете просто зайти на ipleak.net и в то же время убедиться, что ваш VPN работает. Этот сайт будет автоматически проверять утечку DNS (и, кстати, также предоставляет гораздо больше информации).

  1. Войти ipleak.net в адресную строку вашего браузера.
  2. Как только веб-страница загрузится, тест начнется автоматически, и вам будет показан IP-адрес.
  3. Если адрес, который вы видите, является вашим IP-адресом и показывает ваше местоположение, и вы используете VPN, это означает, что у вас утечка DNS. Если отображается IP-адрес вашего VPN, значит, он работает нормально.

Если возможно, рекомендуется протестировать несколько онлайн-шашек..

На рисунке 1 показан ipleak.net, используемый с плохо настроенным VPN. Возвращает правильный IP-адрес. Это утечка DNS.

Ваш IP-адрес № 2

фигура 1

На рисунке 2 показан ipleak, используемый с ExpressVPN, настроенным для использования бельгийского сервера (ExpressVPN позволяет выбирать из ряда разных стран). Нет явной утечки DNS.

Ваш IP адрес

фигура 2

Для большинства пользователей будет достаточно выполнить эту проверку перед продолжением просмотра других сайтов. Для некоторых пользователей это не будет идеальным решением, так как требует подключения к Интернету и отправки DNS-запросов для доступа к инструментам проверки..

Можно проверить на наличие DNS и других утечек, не используя один из этих веб-сайтов, хотя для этого требуется, чтобы вы знали свой собственный IP-адрес и как использовать командную строку Windows, также требуется доверенный тестовый сервер, чтобы вы могли напрямую «пинговать» ; это может быть частный сервер, которому вы доверяете, или один из следующих общедоступных тестовых серверов:

  • whoami.akamai.net
  • resolver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

Для этого откройте командную строку (перейдите в меню «Пуск», введите «cmd» и нажмите Enter), а затем введите следующий текст:

  • ping [имя сервера] -n 1

Замените [имя сервера] адресом выбранного тестового сервера (например, «ping whoami.akamai.net -n 1») и нажмите Enter. Если какой-либо из найденных в тексте IP-адресов совпадает с вашим личным или локальным IP-адресом, это свидетельствует о наличии утечки DNS; должен отображаться только IP-адрес вашего VPN.

На рисунке 3 показан результат при работе ExpressVPN. Обратите внимание, что единственным возвращаемым IP-адресом является бельгийский IP-адрес, как показано на рисунке 2. Утечка DNS отсутствует.

FREEDOME

Рисунок 3

Если вы обнаружите, что в вашей VPN есть утечка DNS, пора прекратить просмотр, пока вы не сможете найти причину и устранить проблему. Ниже перечислены некоторые из наиболее вероятных причин утечки DNS и способы их устранения..

DNS утечки проблемы и решения

Проблема № 1: неправильно настроенная сеть

DNS утечка проблемы и исправления

Это одна из наиболее распространенных причин утечки DNS для пользователей, которые подключаются к Интернету через разные сети; например, тот, кто часто переключается между домашним роутером, Wi-Fi кафе и общественными точками доступа. Перед подключением к зашифрованному туннелю VPN ваше устройство должно сначала подключиться к локальной сети..

Без надлежащих настроек вы можете оставить себя открытым для утечки данных. При подключении к любой новой сети настройки DHCP (протокол, который определяет IP-адрес вашего устройства в сети) могут автоматически назначать DNS-сервер для обработки ваших запросов поиска - тот, который может принадлежать Интернет-провайдеру, или тот, который может быть некорректным обеспечено. Даже если вы подключитесь к VPN в этой сети, ваши запросы DNS будут обходить зашифрованный туннель, вызывая утечку DNS.

Исправление:

В большинстве случаев настройка вашей VPN на вашем компьютере для использования DNS-сервера, предоставленного или предпочтительного для вашей VPN, заставит DNS-запросы проходить через VPN, а не напрямую из локальной сети. Однако не все провайдеры VPN имеют свои собственные DNS-серверы, и в этом случае использование независимого DNS-сервера, такого как OpenDNS или Google Public DNS, должно позволять DNS-запросам проходить через VPN, а не напрямую с вашего клиентского компьютера. К сожалению, изменение конфигурации таким образом во многом зависит от вашего конкретного провайдера VPN и от того, какой протокол вы используете - вы можете настроить их на автоматическое подключение к правильному DNS-серверу независимо от того, к какой локальной сети вы подключаетесь; или вам, возможно, придется каждый раз вручную подключаться к предпочитаемому серверу. Проверьте поддержку вашего VPN-клиента для конкретных инструкций.

Если вам необходимо вручную настроить компьютер для использования выбранного независимого DNS-сервера, вы можете найти пошаговые инструкции в разделе «Изменение настроек на доверенный независимый DNS-сервер» ниже..

Проблема № 2: IPv6

Обычно, когда вы думаете об IP-адресе, вы думаете о 32-битном коде, состоящем из 4 наборов по 3 цифры, таких как 123.123.123.123 (как описано выше). Это IP версия 4 (IPv4), в настоящее время наиболее распространенная форма IP-адреса. Однако пул доступных неиспользуемых адресов IPv4 становится очень маленьким, и IPv4 заменяется (очень медленно) на IPv6..

Адреса IPv6 состоят из 8 наборов из 4 символов, которые могут быть буквами или цифрами, например 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334.

Интернет все еще находится на переходном этапе между IPv4 и IPv6. Это создает много проблем, особенно для VPN. Если VPN явно не поддерживает IPv6, любой запрос к или с вашего компьютера, отправленный через IPv6 - или отправленный с использованием туннеля с двумя стеками для преобразования IPv4 в IPv6 (см. Teredo ниже), - полностью обойдет туннель VPN, оставив ваши личные данные незащищенными. , Короче говоря, IPv6 может нарушить работу вашего VPN без вашего ведома..

Большинство веб-сайтов имеют как IPv6-адреса, так и IPv4-адреса, хотя значительное количество по-прежнему только для IPv4. Есть также несколько сайтов, которые только IPv6. То, будут ли ваши запросы DNS для адресов IPv4 или IPv6, обычно зависит от вашего интернет-провайдера, вашего сетевого оборудования (например, беспроводного маршрутизатора) и конкретного веб-сайта, к которому вы пытаетесь получить доступ (поскольку реализация IPv6 все еще не завершена, не все пользователи смогут для доступа к веб-сайтам, использующим только IPv6). Большинство поисков DNS по-прежнему будет IPv4, но большинство пользователей не будут знать, делают ли они запросы IPv4 или IPv6, если они могут выполнить оба.

Исследование, проведенное учеными из Университета Сапиенца в Риме и Университета Королевы Марии в Лондоне в 2015 году, изучило 14 коммерческих провайдеров VPN и обнаружило, что 10 из них - чрезвычайно высокая доля - подвержены утечкам IPv6..

  • HideMyAss
  • IPVanish
  • Astrill
  • ExpressVPN
  • StrongVPN
  • PureVPN
  • AirVPN
  • Tunnelbear
  • ProXPN
  • Горячая точка Щит Элита

Хотя утечка IPv6 не является строго такой же, как утечка стандартного DNS, она почти не влияет на конфиденциальность. Это проблема, о которой должен знать любой пользователь VPN.

Исправление:

Если ваш VPN-провайдер уже полностью поддерживает трафик IPv6, утечка такого рода не должна быть для вас проблемой. Некоторые VPN без поддержки IPv6 будут иметь возможность блокировать трафик IPv6. В любом случае рекомендуется использовать VPN с поддержкой IPv6, поскольку туннели с двумя стеками могут по-прежнему обходить блок IPv6. (См. Teredo ниже.) Большинство VPN, к сожалению, не будут выделять IPv6 и, следовательно, всегда будут пропускать трафик IPv6. Прежде чем использовать коммерческие VPN, убедитесь, что они создали условия для IPv6, и выберите только тот, который поддерживает протокол полностью..

Проблема № 3: Прозрачные DNS-прокси

Некоторые интернет-провайдеры приняли политику принуждения своего DNS-сервера к изображению, если пользователь изменяет свои настройки на использование стороннего сервера. Если обнаружены изменения в настройках DNS, интернет-провайдер будет использовать прозрачный прокси - отдельный сервер, который перехватывает и перенаправляет веб-трафик - чтобы убедиться, что ваш запрос DNS отправляется на их собственный DNS-сервер. По сути, это интернет-провайдер «форсирует» утечку DNS и пытается скрыть ее от пользователя. Большинство инструментов обнаружения утечек DNS смогут обнаруживать прозрачный DNS-прокси так же, как и стандартные утечки..

Исправление:

К счастью, в последних версиях протокола OpenVPN есть простой способ борьбы с прозрачными DNS-прокси. Во-первых, найдите файл .conf или .ovpn для сервера, к которому вы хотите подключиться (они хранятся локально и обычно находятся в C: \ Program Files \ OpenVPN \ config; см. Руководство OpenVPN для получения более подробной информации), откройте в текстовый редактор, как блокнот и добавьте строку:

  • блок-вне-DNS

Пользователи более старых версий OpenVPN должны обновиться до последней версии OpenVPN. Если ваш провайдер VPN не поддерживает это, возможно, пришло время искать более новый VPN. Помимо исправления OpenVPN, многие из более качественных VPN-клиентов будут иметь свои собственные встроенные средства для борьбы с прозрачными DNS-прокси. Обратитесь к поддержке вашего конкретного VPN для получения дополнительной информации.

Проблема № 4: небезопасные «функции» Windows 8, 8.1 или 10

В операционных системах Windows с 8 лет появилась функция «Smart Multi-Homed Name Resolution», предназначенная для повышения скорости просмотра веб-страниц. Это отправляет все запросы DNS на все доступные DNS-серверы. Первоначально он принимал ответы от нестандартных DNS-серверов только в том случае, если избранное (обычно собственные серверы интернет-провайдера или те, которые установлены пользователем) не отвечало. Это достаточно плохо для пользователей VPN, так как это значительно увеличивает частоту утечек DNS, но в Windows 10 эта функция по умолчанию будет принимать ответ от того, какой DNS-сервер ответит быстрее всего. Это не только имеет ту же проблему утечки DNS, но также делает пользователей уязвимыми для атак спуфинга DNS.

Исправление:

Это, пожалуй, самый сложный вид утечки DNS, особенно в Windows 10, потому что это встроенная часть Windows, которую практически невозможно изменить. Для пользователей VPN, использующих протокол OpenVPN, свободно доступный плагин с открытым исходным кодом (доступен здесь), возможно, является лучшим и наиболее надежным решением..

Smart Multi-Homed Name Resolution можно отключить вручную в редакторе локальной групповой политики Windows, если вы не используете Home Edition Windows. В этом случае Microsoft просто не позволяет вам отключить эту функцию. Даже если вы сможете отключить его таким образом, Windows все равно отправит запрос всем доступным серверам в случае, если первый сервер не сможет ответить. Настоятельно рекомендуется использовать плагин OpenVPN, чтобы полностью решить эту проблему.

Также может быть полезно проверить рекомендации US-CERT здесь. Решение Smart Multi-Homed Name Resolution имеет настолько серьезные проблемы с безопасностью, что правительственное агентство выпустило собственное предупреждение по этому вопросу..

Проблема № 5: Тередо

Teredo - это технология Microsoft для улучшения совместимости между IPv4 и IPv6, а также встроенная функция операционных систем Windows. Для некоторых это важная переходная технология, которая позволяет IPv4 и IPv6 сосуществовать без проблем, позволяя отправлять, получать и понимать адреса v6 в соединениях v4. Для пользователей VPN это более важная проблема безопасности. Поскольку Teredo является протоколом туннелирования, он часто может иметь приоритет над собственным зашифрованным туннелем VPN, обходя его и, таким образом, вызывая утечки DNS.

Исправление:

К счастью, Teredo - это функция, которая легко отключается из Windows. Откройте командную строку и введите:

состояние интерфейса netsh teredo отключено

Хотя при подключении к определенным веб-сайтам или серверам или при использовании торрент-приложений могут возникнуть некоторые проблемы, отключение Teredo является гораздо более безопасным выбором для пользователей VPN. Также рекомендуется отключить Teredo и другие параметры IPv6 в настройках маршрутизатора или сетевого адаптера, чтобы гарантировать, что трафик не сможет обойти туннель VPN..

Предотвращение будущих утечек

предотвращение утечек днс впнТеперь, когда вы проверили утечку DNS и либо обнаружили ее чистой, либо обнаружили и устранили утечку, пришло время изучить возможность минимизации вероятности утечки VPN в будущем..

Прежде всего, убедитесь, что все вышеперечисленные исправления были выполнены заранее; отключите Teredo и Smart Multi-Homed Name Resolution, убедитесь, что ваш VPN поддерживает или блокирует трафик IPv6 и т. д..

1. Измените настройки на доверенный независимый DNS-сервер

Ваш маршрутизатор или сетевой адаптер должен иметь возможность изменять настройки TCP / IP, где вы можете указать определенные доверенные DNS-серверы по их IP-адресам. Многие провайдеры VPN имеют свои собственные DNS-серверы, и использование VPN часто автоматически подключает вас к ним; проверьте поддержку вашего VPN для получения дополнительной информации.

Если ваша VPN не имеет собственных серверов, популярной альтернативой является использование открытого стороннего DNS-сервера, такого как Google Open DNS. Чтобы изменить настройки DNS в Windows 10:

  1. Перейти к вашей панели управления
  2. Нажмите «Сеть и Интернет»
  3. Нажмите «Центр управления сетями и общим доступом»
  4. Нажмите «Изменить настройки адаптера» на левой панели.
  5. Щелкните правой кнопкой мыши значок вашей сети и выберите «Свойства»
  6. Найдите «Internet Protocol Version 4» в открывшемся окне; щелкните по нему и затем нажмите «Свойства»
  7. Нажмите «Использовать следующие адреса DNS-серверов»

Теперь вы можете ввести предпочтительный и альтернативный адрес для DNS-серверов. Это может быть любой сервер, который вы хотите, но для Google Open DNS предпочтительный DNS-сервер должен быть 8.8.8.8, а альтернативный DNS-сервер должен быть 8.8.4.4. См. Рисунок 4.

IPV 4

Рисунок 4

Вы также можете изменить настройки DNS на своем маршрутизаторе - обратитесь к руководству или поддержке вашего конкретного устройства для получения дополнительной информации..

2. Используйте брандмауэр или VPN для блокировки трафика не-VPN

Некоторые VPN-клиенты будут иметь функцию автоматической блокировки любого трафика, не проходящего через VPN - ищите опцию «IP Binding». Если у вас еще нет VPN, рассмотрите возможность его получения здесь.

Кроме того, вы можете настроить брандмауэр таким образом, чтобы пропускать и пропускать трафик только через VPN. Вы также можете изменить настройки брандмауэра Windows:

  1. Убедитесь, что вы уже подключены к VPN.
  2. Откройте Центр управления сетями и общим доступом и убедитесь, что вы видите как ваше интернет-соединение (которое должно отображаться как «Сеть»), так и вашу VPN (которая должна отображаться как имя VPN). «Сеть» должна быть домашней сетью, а ваша VPN - публичной сетью. Если какой-либо из них настроен на что-то другое, вам нужно будет нажать на них и установить для них соответствующий тип сети в открывшемся окне..
  3. Убедитесь, что вы вошли в систему как администратор на своем компьютере и откройте настройки брандмауэра Windows (точные шаги для этого зависят от версии Windows, которую вы используете).
  4. Нажмите «Расширенные настройки» (см. Рисунок 5)..
  5. Найдите «Входящие правила» на левой панели и щелкните по нему.
  6. На правой панели, под Действиями, вы должны увидеть опцию «Новое правило…». Нажмите эту.
  7. В новом окне выберите «Программа» и нажмите «Далее»..
  8. Выберите «Все программы» (или выберите отдельную программу, для которой вы хотите заблокировать не VPN-трафик) и нажмите «Далее»..
  9. Выберите «Блокировать соединение» и нажмите «Далее»..
  10. Отметьте галочкой «Домен» и «Приватный», но убедитесь, что «Публичный» не отмечен. Нажмите кнопку "Далее.
  11. Вы должны вернуться в меню расширенных настроек брандмауэра Windows; найдите «Исходящие правила» и повторите шаги с 6 по 10.

Windows

Рисунок 5

3. Регулярно проводите тестирование утечки DNS

Для получения инструкций обратитесь к разделу «Как узнать, имеет ли VPN утечка DNS?» Выше. Профилактика не железная, и важно часто проверять, все ли меры предосторожности все еще сохраняются.

4. Рассмотрим VPN-мониторинг программного обеспечения

Это может добавить дополнительные расходы в дополнение к существующей подписке VPN, но возможность отслеживать трафик VPN в режиме реального времени позволит вам сразу увидеть, идет ли проверка DNS на неправильный сервер. Некоторые продукты для мониторинга VPN также предлагают дополнительные автоматизированные инструменты для устранения утечек DNS.

5. При необходимости измените VPN

Вам нужна максимально возможная конфиденциальность. Идеальный VPN будет иметь встроенную защиту от утечек DNS, полную совместимость с IPv6, поддержку последних версий OpenVPN или протокола по вашему выбору и функциональность для противодействия прозрачным прокси DNS. Попробуйте подробные сравнения и обзоры thebestvpn.com, чтобы найти VPN, которая предлагает все, что вам нужно для сохранения конфиденциальности ваших данных..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me